Text size:

Money Laundering and Terrorist Financing Prevention Act

Issuer:Riigikogu
Type:act
In force from:27.11.2017
In force until:31.12.2017
Translation published:17.11.2017

Chapter 1 GENERAL PROVISIONS 

Division 1 Purpose and Scope of Regulation of Act 

§ 1.  Purpose and scope of regulation of Act

 (1) The purpose of this Act is, by increasing the trustworthiness and transparency of the business environment, to prevent the use of the financial system and economic space of the Republic of Estonia for money laundering and terrorist financing.

 (2) This Act regulates:
 1) the principles of assessment, management and mitigation of risks related to money laundering and terrorist financing;
 2) the grounds of the activities of the Financial Intelligence Unit;
 3) supervision over obliged entities in complying with this Act;
 4) duties and obligations of legal persons in relation to the collection and disclosure of the data of their beneficial owners;
 5) duties and obligations related to the collection and disclosure of the data of liability account holders;
 6) the liability of obliged entities for a breach of the requirements arising from this Act.

 (3) The provisions of the Administrative Procedure Act apply to administrative proceedings prescribed in this Act, taking account of the variations provided for in this Act.

§ 2.  Application of Act

 (1) This Act applies to the economic and professional activities of the following persons: 1) credit institutions;
 2) financial institutions;
 3) gambling operators, except for organisers of commercial lotteries;
 4) persons who mediate transactions involving the acquisition or the right of use of real estate;
 5) traders within the meaning of the Trading Act, where a cash payment of no less than 10 000 euros or an equal amount in another currency is made to or by the trader, regardless of whether the financial obligation is performed in the transaction in a lump sum or by way of several linked payments over a period of up to one year, unless otherwise provided by law;
 6) persons engaged in buying-in or wholesale of precious metals, precious metal articles or precious stones, except precious metals and precious metal articles used for production, scientific or medical purposes;
 7) auditors and providers of accounting services;
 8) providers of accounting or tax advice services;
 9) providers of trust and company services;
 10) providers of a service of exchanging a virtual currency against a fiat currency;
 11) providers of a virtual currency wallet service;
 12) a central securities depository where it arranges the opening of securities accounts and provides services related to register entries without the mediation of an account operator;
 13) undertakings providing a cross-border cash and securities transportation service;
 14) pawnbrokers.

 (2) This Act applies to the economic or professional activities of notaries, attorneys, enforcement officers, bankruptcy trustees, interim trustees and providers of other legal services where they act in the name and on account of a customer in a financial or real estate transaction. This Act also applies to the economic or professional activities of a said person where the person guides the planning or making of a transaction or makes a professional act or provides a professional service related to:
 1) the purchase or sale of an immovable, business or shares of a company;
 2) the management of the customer’s money, securities or other property;
 3) the opening or management of payment accounts, deposit accounts or securities accounts;
 4) the acquisition of funds required for the foundation, operation or management of a company;
 5) the foundation, operation or management of a trust, company, foundation or legal arrangement.

 (3) This Act applies to non-profit associations for the purposes of the Non-profit Associations Act and to other legal persons governed by the provisions of the Non-profit Associations Act as well as to foundations for the purposes of the Foundations Act where they are paid or they pay over 5000 euros in cash or an equal amount in another currency, regardless of whether it is paid in a lump sum or by way of several linked payments over a period of up to one year.

 (4) This Act applies to Eesti Pank where it removes from circulation or exchanges banknotes or coins worth of over 10 000 euros or an equal sum in another currency or where it is paid over 10 000 euros in cash or an equal sum in another currency for collector coins or other numismatic-bonistic products, regardless of whether it is paid in a lump sum or in several linked payments over a period of up to one year.

Division 2 Definitions 

§ 3.  Definitions used in Act

  For the purposes of this Act, the following definitions apply:
 1) ‘cash’ means cash within the meaning of Article 2(2) of Regulation (EC) No 1889/2005 of the European Parliament and of the Council on controls of cash entering or leaving the Community (OJ L 309, 25.11.2005, pp 9–12);
 2) ‘property’ means any object as well as the right of ownership of such object or a document certifying the rights related to the object, including an electronic document, and the benefit received from such object;
 3) ‘obliged entity’ means a person specified in § 2 of this Act;
 4) ‘business relationship’ means a relationship that is established upon conclusion of a long-term contract by an obliged entity in economic or professional activities for the purpose of provision of a service or sale of goods or distribution thereof in another manner or that is not based on a long-term contract, but whereby a certain duration could be reasonably expected at the time of establishment of the contact and during which the obliged entity repeatedly makes separate transactions in the course of economic or professional activities while providing a service or professional service, performing professional acts or offering goods;
 5) ‘customer’ means a person who has a business relationship with an obliged entity;
 6) ‘precious stones’ means natural and artificial precious stones and semi-precious stones, their powder and dust, and natural and cultivated pearls;
 7) ‘precious metal’ means precious metal within the meaning of the Precious Metal Articles Act;
 8) ‘precious metal article’ means a precious metal article within the meaning of the Precious Metal Articles Act;
 9) ‘virtual currency’ means a value represented in the digital form, which is digitally transferable, preservable or tradable and which natural persons or legal persons accept as a payment instrument, but that is not the legal tender of any country or funds for the purposes of Article 4(25) of Directive (EU) 2015/2366 of the European Parliament and of the Council on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC (OJ L 337, 23.12.2015, pp. 35–127) or a payment transaction for the purposes of points (k) and (l) of Article 3 of the same Directive;
 10) ‘virtual currency wallet service’ means a service in the framework of which keys are generated for customers or customers’ encrypted keys are kept, which can be used for the purpose of keeping, storing and transferring virtual currencies;
 11) ‘politically exposed person’ means a natural person who is or who has been entrusted with prominent public functions including a head of State, head of government, minister and deputy or assistant minister; a member of parliament or of a similar legislative body, a member of a governing body of a political party, a member of a supreme court, a member of a court of auditors or of the board of a central bank; an ambassador, a chargé d'affaires and a high-ranking officer in the armed forces; a member of an administrative, management or supervisory body of a State-owned enterprise; a director, deputy director and member of the board or equivalent function of an international organisation, except middle-ranking or more junior officials;
 12) ‘local politically exposed person’ means a person specified in clause 11 of this section who is or who has been entrusted with prominent public functions in Estonia, another contracting state of the European Economic Area or an institution of the European Union;
 13) ‘family member’ means the spouse, or a person considered to be equivalent to a spouse, of a politically exposed person or local politically exposed person; a child and their spouse, or a person considered to be equivalent to a spouse, of a politically exposed person or local politically exposed person; a parent of a politically exposed person or local politically exposed person;
 14) ‘person known to be close associate’ means a natural person who is known to be the beneficial owner or to have joint beneficial ownership of a legal person or a legal arrangement, or any other close business relations, with a politically exposed person or a local politically exposed person; and a natural person who has sole beneficial ownership of a legal entity or legal arrangement which is known to have been set up for the de facto benefit of a politically exposed person or local politically exposed person;
 15) ‘senior management of obliged entity’ means an officer or employee with sufficient knowledge of the institution’s money laundering and terrorist financing risk exposure and sufficient seniority to take decisions affecting its risk exposure, and need not, in all cases, be a member of the management board;
 16) ‘foreign exchange services’ means the exchanging of a valid currency against another valid currency by an undertaking in its economic or professional activities;
 17) ‘group’ means a group of undertakings which consists of a parent undertaking, its subsidiaries within the meaning of § 6 of the Commercial Code, and the entities in which the parent undertaking or its subsidiaries hold a participation, as well as undertakings that constitute a consolidation group for the purposes of subsection 3 of § 27 of the Accounting Act;
 18) ‘high-risk third country’ means a country specified in a delegated act adopted on the basis of Article 9(2) of Directive (EU) 2015/849 of the European Parliament and of the Council on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing, amending Regulation (EU) No 648/2012 of the European Parliament and of the Council, and repealing Directive 2005/60/EC of the European Parliament and of the Council and Commission Directive 2006/70/EC (OJ L 141/73, 05.06.2015, pp 73–117).

§ 4.  Money laundering

 (1) ‘Money laundering’ means:
 1) the conversion or transfer of property derived from criminal activity or property obtained instead of such property, knowing that such property is derived from criminal activity or from an act of participation in such activity, for the purpose of concealing or disguising the illicit origin of the property or of assisting any person who is involved in the commission of such an activity to evade the legal consequences of that person’s actions;
 2) the acquisition, possession or use of property derived from criminal activity or property obtained instead of such property, knowing, at the time of receipt, that such property was derived from criminal activity or from an act of participation therein;
 3) the concealment or disguise of the true nature, source, location, disposition, movement, rights with respect to, or ownership of, property derived from criminal activity or property obtained instead of such property, knowing that such property is derived from criminal activity or from an act of participation in such an activity.

 (2) Money laundering also means participation in, association to commit, attempts to commit and aiding, abetting, facilitating and counselling the commission of any of the activities referred to in subsection 1 of this section.

 (3) Money laundering is regarded as such also where a criminal activity which generated the property to be laundered was carried out in the territory of another country.

 (4) Knowledge, intent or purpose required as an element of the activities referred to in subsections 1–3 of this section may be inferred from objective facts.

 (5) Money laundering is regarded as such also where the details of a criminal activity which generated the property to be laundered have not been identified.

§ 5.  Terrorist financing

  ‘Terrorist financing’ means the financing and supporting of an act of terrorism and commissioning thereof within the meaning of § 2373 of the Penal Code.

§ 6.  Credit institution and financial institution

 (1) For the purposes of this Act, ‘credit institution’ means:
 1) a credit institution within the meaning of Article 4(1)(1) of Regulation (EU) No 575/2013 of the European Parliament and of the Council on prudential requirements for credit institutions and investment firms and amending Regulation (EU) No 648/2012 (OJ L 176, 27.06.2013, pp 1–337);
 2) the branch of a foreign credit institution registered in the Estonian commercial register.

 (2) For the purposes of this Act, ‘financial institution’ means:
 1) a foreign exchange service provider;
 2) a payment service provider within the meaning of the Payment Institutions and E-money Institutions Act, except for a payment initiation service provider and an account information service provider;
 3) an e-money institution within the meaning of the Payment Institutions and E-money Institutions Act;
 4) an insurance undertaking within the meaning of the Insurance Activities Act (hereinafter insurance undertaking) to the extent that it provides services related to life insurance, except for services related to mandatory funded pension insurance contracts within the meaning of the Funded Pensions Act;
 5) an insurance broker within the meaning of the Insurance Activities Act (hereinafter insurance broker) to the extent that it is engaged in marketing life insurance or provides other instrument-related services;
 6) a management company, except upon managing a mandatory pension fund within the meaning of the Funded Pensions Act, and an investment fund founded as a public limited company within the meaning of the Investment Funds Act;
 7) an investment firm within the meaning of the Securities Market Act;
 8) a creditor and a credit intermediary within the meaning of the Creditors and Credit Intermediaries Act;
 9) a savings and loan association within the meaning of the Savings and Loan Associations Act;
 10) a central contact point designated by an e-money institution or a payment service provider;
 11) another financial institution within the meaning of the Credit Institutions Act;
 12) the branch of a foreign service provider registered in the Estonian commercial register providing a service specified in clauses 1–8.

§ 7.  Correspondent relationship

  For the purposes of this Act, ‘correspondent relationship’ means:
 1) the consistent and long-term provision of banking services by a credit institution (correspondent bank) to another credit institution (respondent bank), including providing a current account, liability account or other account service or other related services such as cash management, international funds transfers, cheque clearing, payable-through accounts and foreign exchange services;
 2) the relationships between and among credit institutions and financial institutions, including where similar services are provided by a correspondent bank to a respondent bank for the purpose of servicing its customers, and including relationships established for securities transactions or funds transfers.

§ 8.  Provider of trust and company services

  For the purposes of this Act, ‘provider of trust and company services’ means a natural person or a legal person who in its economic or professional activities provides a third party with at least one of the following services:
 1) foundation of a company or another legal person, including acts and steps related to the transfer of shareholding;
 2) acting as an officer or management board member in a company, as a partner in a general partnership or in such a position in another legal person, as well as arrangement of assumption of such position by another person;
 3) enabling use of the address of the seat or place of business, including granting the right to use the address as part of one’s contact details or for receiving mail as well as providing a company or another legal person, civil law partnership or a legal arrangement with services relating to the aforementioned;
 4) acting as a representative or trustee of a trust, except for a trust within the meaning specified in subsection 2 of § 2 of the Investment Funds Act, or that of a civil law partnership, community or a legal arrangement, or the appointment of another person to such position;
 5) acting as a representative of a shareholder of a public limited company or arrangement of the representation of a shareholder by another person, except in the case of companies whose securities have been listed in a regulated securities market and with respect to whom disclosure requirements complying with European Union legislation or equivalent international standards are applied.

§ 9.  Beneficial owner

 (1) For the purposes of this Act, ‘beneficial owner’ means a natural person who, taking advantage of their influence, makes a transaction, act, action, operation or step or otherwise exercises control over a transaction, act, action, operation or step or over another person and in whose interests or favour or on whose account a transaction or act, action, operation or step is made.

 (2) In the case of companies, a beneficial owner is the natural person who ultimately owns or controls a legal person through direct or indirect ownership of a sufficient percentage of the shares or voting rights or ownership interest in that person, including through bearer shareholdings, or through control via other means.

 (3) Direct ownership is a manner of exercising control whereby a natural person holds a shareholding of 25 per cent plus one share or an ownership interest of more than 25 per cent in a company. Indirect ownership is a manner of exercising control whereby a company which is under the control of a natural person holds or multiple companies which are under the control of the same natural person hold a shareholding of 25 per cent plus one share or an ownership interest of more than 25 per cent in a company.

 (4) Where, after all possible means of identification have been exhausted, the person specified in subsection 2 of this section cannot be identified and there is no doubt that such person exists or where there are doubts as to whether the identified person is a beneficial owner, the natural person who holds the position of a senior managing official is deemed as a beneficial owner.

 (5) The obliged entity registers and keeps records of all actions taken in order to identify the beneficial owner under subsections 2 and 4 of this section.

 (6) In the case of a trust, civil law partnership, community or legal arrangement, the beneficial owner is the natural person who ultimately controls the association via direct or indirect ownership or otherwise and is such associations’:
 1) settlor or person who has handed over property to the asset pool;
 2) trustee or manager or possessor of the property;
 3) person ensuring and controlling the preservation of property, where such person has been appointed, or
 4) the beneficiary, or where the beneficiary or beneficiaries have yet to be determined, the class of persons in whose main interest such association is set up or operates.

 (7) In the case of a person or an association of persons not specified in subsections 2 and 6 of this section, a member or members of the management board may be designated as a beneficial owner.

 (8) ‘Control via other means’ means the exercising of dominant influence in accordance with the criteria set out in subsection 1 of § 27 of the Accounting Act.

 (9) This section does not apply to:
 1) a company listed on a regulated market that is subject to disclosure requirements consistent with European Union law or subject to equivalent international standards which ensure adequate transparency of ownership information;
 2) an apartment association provided for in the Apartment Associations Act;
 3) a building association provided for in the Building Association Act.

§ 10.  Risk appetite

 (1) ‘Risk appetite’ means the total of the exposure level and types of the obliged entity, which the obliged entity is prepared to assume for the purpose of its economic activities and attainment of its strategic goals, and which is established by the senior management of the obliged entity in writing.

 (2) Upon application of subsection 1 of this section, account must be taken of the risks that the obliged entity is prepared to assume or that the obliged entity wishes to avoid in connection with the economic activities as well as qualitative and quantitative compensation mechanisms such as the planned revenue, measures applied with the help of capital or other liquid funds, or other factors such as reputation risks as well as legal and risks arising from money laundering and terrorist financing or other unethical activities.

 (3) Upon application of subsection 1 of this section, the obliged entity determines at least the characteristics of the persons with whom the obliged entity wishes to avoid business relationships and with regard to which the obliged entity applies enhanced due diligence measures, and thereby the obliged entity assesses risks related to such persons and determines appropriate measures for mitigating these risks.

 (4) Upon application of subsection 1 of this section, the management board of a credit institution or financial institution also determines whether business relationships will be established with persons from a country outside the European Economic Area or with e-residents.

Chapter 2 MANAGEMENT OF RISKS RELATING TO MONEY LAUNDERING AND TERRORIST FINANCING 

Division 1 Assessment of Risks 

§ 11.  National risk assessment

 (1) The national risk assessment:
 1) provides for the needs of drafting and amending anti-money laundering and countering the financing of terrorism (hereinafter AML/CFT) legislation, other regulations of the field and related fields as well as guidelines of supervisory authorities;
 2) specifies, among other things, the sectors, fields, transaction amounts and types and, where necessary, countries or jurisdictions with regard to which obliged entities must apply enhanced due diligence measures and, where necessary, clarifies the measures;
 3) specifies, among other things, the sectors, fields, transaction amounts and types whereby the risk of money laundering and terrorist financing is smaller and where it is possible to apply simplified due diligence measures;
 4) gives instructions to the ministries and authorities in their area of government regarding allocation of resources and setting of priorities for AML/CFT purposes.

 (2) Upon implementation of subsection 1 of this section, relevant information, statistics and analyses which have been published or made available to the ministries or authorities in their area of government, including relevant risk assessments, reports and recommendations of international organisations and the European Commission are taken into account and collected, thereby taking account of data protection requirements.

 (3) The generalised results of the national risk assessment are published on the website of the Ministry of Finance and immediately made available to obliged entities, the European Commission, European supervisory authorities and other Member States of the European Union.

 (4) Based on the national risk assessment, the minister responsible for the field may by a regulation establish limit amounts, requirements for monitoring a business relationship or other risk-based restrictions aimed at mitigating the risks of money laundering or terrorist financing.

 (5) In addition to the information specified in subsection 3 of this section, the Ministry of Finance publishes the aggregate statistics of the field of money laundering and terrorist financing on its website.

§ 12.  AML/CFT Committee

 (1) The AML/CFT Committee is a government committee whose function is to:
 1) coordinate the preparation and updating of the national risk assessment;
 2) prepare a plan of measures and activities mitigating the risks identified in the national risk assessment (hereinafter action plan), designating the authorities that apply the risk-mitigating measures and carry out the risk-mitigating activities as well as the time limits within which the measures must be applied and the activities must be carried out;
 3) organise and check the implementation of the action plan;
 4) based on clauses 1–3 of this subsection, develop AML/CFT policies and make legislative amendment proposals to the ministers responsible for the field and related fields;
 5) pursue national cooperation in AML/CFT and in countering proliferation.

 (2) The AML/CFT Committee consists of the minister responsible for the field, the secretary general and the secretaries general of the ministries responsible for the related fields, representatives of the Financial Intelligence Unit, Eesti Pank, Estonian Financial Supervision Authority, and representatives of other relevant bodies and governmental authorities.

 (3) The AML/CFT Committee establishes a committee of the representatives of obliged entities (hereinafter Market Participants Advisory Committee) whose purpose is to advise the government committee in connection with the performance of its functions. In addition, ad hoc working groups and standing working groups of representatives of obliged entities and other experts may be established for performing the functions of the government committee. The rules of procedure and functions of the Market Participants Advisory Committee, ad hoc working groups and standing working groups are established and members are appointed by a directive of the minister responsible for the field.

 (4) The number of the members and the rules of procedure of the AML/CFT Committee are established by a regulation of the Government of the Republic.

 (5) The work of the AML/CFT Committee is organised by the Ministry of Finance.

§ 13.  Management of risks arising from activities of obliged entity

 (1) For the purpose of identification, assessment and analysis of risks of money laundering and terrorist financing related to their activities, obliged entities prepare a risk assessment, taking account of at least the following risk categories:
 1) risks relating to customers;
 2) risks relating to countries, geographic areas or jurisdictions;
 3) risks relating to products, services or transactions;
 4) risk relating to communication, mediation or products, services, transactions or delivery channels between the obliged entity and customers.

 (2) The steps taken to identify, assess and analyse risks must be proportionate to the nature, size and level of complexity of the economic and professional activities of the obliged entity.

 (3) As a result of the risk assessment, the obliged entity establishes:
 1) fields of a lower and higher risk of money laundering and terrorist financing;
 2) the risk appetite, including the volume and scope of products and services provided in the course of business activities;
 3) the risk management model, including simplified and enhanced due diligence measures, in order to mitigate identified risks.

 (4) The risk assessment specified in subsection 1 of this section and the establishment of the risk appetite specified in clause 2 of subsection 3 is documented, the documents are updated where necessary and based on the published results of the national risk assessment. At the request of the competent supervisory authority, the obliged entity submits the documents prepared on the basis of this section to the supervisory authority.

 (5) The competent supervisory authority exercising supervision over the obliged person may, at the request of the obliged entity, except for an obliged entity subject to supervision by the Financial Supervision Authority, and in accordance with the national risk assessment decide that the preparation of a documented risk assessment is not mandatory where the specific risks characteristic of the obliged person are clear and understandable or where the risk assessment prepared by the competent supervisory authority or the national risk assessment has established the risks, risk appetite and risk management model of the field and the obliged entity implements these.

 (6) The duties provided for in this section do not apply to notaries, auditors or to the obliged entities specified in subsections 3 and 4 of § 2 of this Act.

Division 2 Risk Management System of Obliged Entity 

§ 14.  Rules of procedure and internal control rules

 (1) The obliged person establishes rules of procedure that allow for effective mitigation and management of, inter alia, risks relating to money laundering and terrorist financing, which are identified in the risk assessment prepared in accordance with § 13 of this Act. To follow the rules of procedure, the obliged entity establishes internal control rules that describe the internal control system including the procedure for the implementation of internal audit and, where necessary, compliance control, which sets out, inter alia, the procedure for employee screening. The rules of procedure must contain at least the following:
 1) a procedure for the application of due diligence measures regarding a customer, including a procedure for the application of simplified due diligence measures specified in § 32 of this Act and of enhanced due diligence measures specified in § 36 of this Act;
 2) a model for identification and management of risks relating to a customer and its activities and the determination of the customer’s risk profile;
 3) the methodology and instructions where the obliged entity has a suspicion of money laundering and terrorist financing or an unusual transaction or circumstance is involved as well as instructions for performing the reporting obligation;
 4) the procedure for data retention and making data available;
 5) instructions for effectively identifying whether a person is a politically exposed person or a local politically exposed person subject to international sanctions or a person whose place of residence or seat is in a high-risk third country or country that meets the criteria specified in subsection 4 of § 37 of this Act;
 6) the procedure for identification and management of risks relating to new and existing technologies, and services and products, including new or non-traditional sales channels and new or emerging technologies.

 (2) The obliged entity arranges adherence to and implementation of the rules of procedure and internal control rules by the employees of the obliged entity.

 (3) The rules of procedure and the internal control rules specified in subsection 1 of this section may be contained in a single document or in multiple documents, these must be proportionate to the nature, size and level of complexity of the economic and professional activities of the obliged entity and these must be established by the senior management of the obliged entity. The obliged entity must regularly check if the established rules of procedure and the internal control rules are up to date and, where necessary, establish new rules of procedure and internal control rules or make required modifications therein.

 (4) Upon performance of the obligation provided for in clause 2 of subsection 1 of this section the credit institution and the financial institution takes account of the contents of the relevant instructions of the competent supervisory authority, European supervisory authorities and data protection supervisory authority.

 (5) Where the obliged entity has the internal audit obligation, adherence to the rules of procedure and the internal control rules for the purposes of this Act must be checked in the course of an internal audit.

 (6) The management board of a legal person that is an obliged entity, the director of a branch that is an obliged entity or, upon their absence, the obliged entity must ensure that the employees whose employment duties include the establishment of business relationships or the making of transactions are provided with training in the performance of the duties and obligations arising from this Act and such training must be provided when the employee commences performance of the specified employment duties, and thereafter regularly or when necessary. In training, information, inter alia, on the duties and obligations provided for in the rules of procedure, modern methods of money laundering and terrorist financing and the related risks, the personal data protection requirements, on how to recognise acts related to possible money laundering or terrorist financing, and instructions for acting in such situations must be given.

 (7) The obliged entity, except for a credit institution or financial institution, may apply to the competent supervisory authority for partial or full release from the obligation to prepared documented rules of procedure and internal control rules. Upon making a decision, the competent supervisory authority takes account of the national risk assessment, the nature, scope and level of complexity of the obliged entity and whether the specific risks related to the obliged person are small or effectively managed in accordance with this Act, legislation adopted on the basis thereof and instructions of competent supervisory authorities.

 (8) The minister responsible for the field may, by a regulation, establish more detailed requirements for the rules of procedure established by credit institutions and financial institutions, the internal control rules of controlling adherence thereto and implementation thereof.

 (9) The duties and obligations provided for in this section do not apply to the obliged entities specified in subsections 3 and 4 of § 2 of this Act.

§ 15.  Management of risks in group

 (1) Upon application of § 14 of this Act it is expected that an obliged entity that is the parent undertaking of a group applies group-wide rules of procedure and the internal control rules for controlling adherence thereto regardless of whether all the undertakings of the group are located in one country or in different countries. This obligation includes, inter alia, the establishment of a group-wide procedure for exchanging information on AML/CFT and the establishment of similar rules for protection of personal data. The obliged entity ensures that group-wide rules of procedure and the internal control rules for controlling adherence thereto take to the appropriate extent account of the law of another Member State of the European Union which implements Directive (EU) 2015/849 of the European Parliament and of the Council, where the obliged entity has a representation, branch or majority-owned subsidiary in that Member State.

 (2) Where the obliged entity has a representation, branch or majority-owned subsidiary in a third country where the minimum requirements for AML/CFT are not equivalent to those of Directive (EU) 2015/849 of the European Parliament and of the Council, the representation, branch and majority-owned subsidiary follow the rules of procedure and internal control rules complying with the requirements of this Act, including the requirements for protection of personal data, to the extent permitted by the law of the third country.

 (3) Where the obliged entity identifies a situation where the law of the third country does not allow for implementing rules of procedure or internal control rules complying with the requirements of this Act in its representation, branch or majority-owned subsidiary, the obliged entity informs the competent supervisory authority thereof. The competent supervisory authority notifies the Member States and, where relevant, the European supervisory authorities where it has become evident in accordance with the first sentence of this subsection that the law of the third country does not allow for applying rules of procedure or internal control rules complying with the requirements of Directive (EU) 2015/849 of the European Parliament and of the Council.

 (4) In the case specified in subsection 3 of this section, the obliged entity ensures the application of additional measures in the representation, branch or majority-owned subsidiary so that the risks relating to money laundering or terrorist financing are effectively managed in another manner, informing the competent supervisory authority of the measures taken. In such an event the competent supervisory authority has the right to issue a precept demanding, inter alia, that the obliged entity or its representation, branch or majority-owned subsidiary:
 1) refrain from establishing new business relationships in the country;
 2) terminate the existing business relationships in the country;
 3) suspend the provision of the service in part or in full;
 4) wind itself up;
 5) apply other measures provided for in regulatory technical standards adopted by the European Commission on the basis of Article 45(7) of Directive (EU) 2015/849 of the European Parliament and of the Council.

 (5) Within the group, information on a suspicion reported to the Financial Intelligence Unit may be shared, unless the Financial Intelligence Unit has ordered otherwise.

 (6) An e-money institution or a payment service provider that operates in Estonia in a form other than a branch and the headquarters of which are in another Member State appoints, on the basis of an order made by the competent supervisory authority and in accordance with regulatory technical standards established on the basis of Article 45(9) of Directive (EU) 2015/849 of the European Commission, a central contact point in Estonia whose function is to ensure in the name of the e-money institution or payment service provider compliance with the requirements of this Act and, at the request of the competent supervisory authority, submits documents and information on its activities.

 (7) Where a foreign service provider is an obliged entity and has a branch that has been registered in the Estonian commercial register or where a foreign service provider has a majority-owned subsidiary, it does not need to apply the group-wide rules of procedure or internal control rules to the extent that adherence thereto would be in conflict with the national risk assessment prepared on the basis of this Act or with requirements established in or on the basis of this Act.

§ 16.  Cooperation and exchange of information

  Obliged entities cooperate with one another and with state supervisory and law enforcement authorities in preventing money laundering and terrorist financing, thereby communicating information available to them and replying to queries within a reasonable time, following the duties, obligations and restrictions arising from legislation.

§ 17.  Appointment of management board member in charge and compliance officer

 (1) Where the obliged entity has more than one management board member, the obliged entity appoints a management board member who is in charge of implementation of this Act and legislation and guidelines adopted on the basis thereof.

 (2) The management board of a credit institution and financial institution and the director of the branch of a foreign credit institution and financial institution registered in the Estonian commercial register appoint a person who acts as a contact person of the Financial Intelligence Unit (hereinafter compliance officer). A compliance officer of the credit institution or financial institution reports directly to the management board of the credit institution or financial institution and has the competence, means and access to relevant information across all the structural units of the credit institution or financial institution.

 (3) The obliged entity who is not a credit institution or financial institution may appoint a compliance officer for performance of AML/CFT duties and obligations.

 (4) An employee or a structural unit may perform the duties of a compliance officer. Where a structural unit performs the duties of a compliance officer, the head of the respective structural unit is responsible for performance of the given duties. The Financial Intelligence Unit and the competent supervisory authority are informed of the appointment of a compliance officer.

 (5) Only a person who has the education, professional suitability, the abilities, personal qualities, experience and impeccable reputation required for performance of the duties of a compliance officer may be appointed as a compliance officer. The appointment of a compliance officer is coordinated with the Financial Intelligence Unit.

 (6) The Financial Intelligence Unit has the right to receive information from a compliance officer or compliance office candidate, their employer and state databases for the purpose of verifying the suitability of the compliance officer or compliance officer candidate. Where, as a result of the check carried out by the Financial Intelligence Unit, it becomes evident that the person’s reliability is under suspicion due to their past acts or omissions, the person’s reputation cannot be considered impeccable and the obliged entity may extraordinarily terminate the compliance officer’s employment contract due to the loss of confidence. Where the duties of a compliance officer are performed by a structural unit, the provisions of this subsection are applied to each employee of the structural unit.

 (7) The duties of a compliance officer include, inter alia:
 1) organisation of the collection and analysis of information referring to unusual transactions or transactions or circumstances suspected of money laundering or terrorist financing, which have become evident in the activities of the obliged entity;
 2) reporting to the Financial Intelligence Unit in the event of suspicion of money laundering or terrorist financing;
 3) periodic submission of written statements on compliance with the requirements arising from this Act to the management board of a credit institution or financial institution or to the director of the branch of a foreign credit institution or financial institution registered in the Estonian commercial register;
 4) performance of other duties and obligations related to compliance with the requirements of this Act.

 (8) A compliance officer has the right to:
 1) make proposals to the management board of a credit or financial institution or to the director of the branch of a foreign credit or financial institution registered in the Estonian commercial register for amendment and modification of the rules of procedure containing AML/CFT requirements and organisation of training specified in subsection 6 of § 14 of this Act;
 2) demand that a structural unit of the obliged entity eliminate within a reasonable time deficiencies identified in the implementation of the AML/CFT requirements;
 3) receive data and information required for performance of the duties of a compliance officer;
 4) make proposals for organisation of the process of submission of notifications of suspicious and unusual transactions;
 5) receive training in the field.

 (9) Where no compliance officer has been appointed, the duties of a compliance officer are performed by the management board of the legal person, a management board member appointed on the basis of subsection 1 of this section, the director of the branch of the foreign company registered in the Estonian commercial register or a self-employed person.

 (10) The duties and obligations provided for in this section do not apply to the obliged entities specified in subsections 3 and 4 of § 2 of this Act.

§ 18.  Relationships with shell banks

 (1) ‘Shell bank’ means a credit institution or financial institution, or an institution that carries out activities equivalent to those carried out by credit institutions and financial institutions, incorporated in a jurisdiction in which it has no physical presence, involving meaningful mind and management, and which is unaffiliated with a regulated credit or financial group.

 (2) Credit institutions and financial institutions are not allowed to establish or continue correspondent relationships with shell banks and such credit institutions or financial institutions that knowingly allow shell banks use their accounts.

 (3) An agreement violating the prohibition specified in subsection 2 of this section is void.

Chapter 3 DUE DILIGENCE MEASURES 

Division 1 Grounds for Application of Due Diligence Measures 

§ 19.  Obligation to apply due diligence measures

 (1) The obliged entity applies due diligence measures:
 1) upon establishment of a business relationship;
 2) upon making or mediating occasional transactions outside a business relationship where a cash payment of over 15 000 euros or an equal amount in another currency is made, regardless of whether the financial obligation is performed in the transaction in a lump sum or in several related payments over a period of up to one year, unless otherwise provided by law;
 3) upon verification of information gathered while applying due diligence measures or in the case of doubts as to the sufficiency or truthfulness of the documents or data gathered earlier while updating the relevant data;
 4) upon suspicion of money laundering or terrorist financing, regardless of any derogations, exceptions or limits provided for in this Act.

 (2) A trader applies due diligence measures at least every time a payment of over 10 000 euros or an equal sum in another currency is made to or by the trader in cash, regardless of whether the pecuniary obligation is performed in a lump sum or by way of several linked payments over a period of up to one year.

 (3) A gambling operator applies due diligence measures at least upon payment of winnings, making of a bet or on both occasions where the sum given or receivable by the customer is at least 2000 euros or an equal sum in another currency, regardless of whether the pecuniary obligation is performed in a lump sum or by way of several linked payments over a period of up to one month.

 (4) A payment service provider providing both the payer and the payee with a payment service identifies the customer in the case of each transfer of funds that meets the description provided for in Article 3(9) of Regulation (EU) No 2015/847 of the European Parliament and of the Council on information accompanying transfers of funds and repealing Regulation (EC) No 1781/2006 (OJ L 141, 05.06.2015, pp 1–18) and whereby the sum of the pecuniary obligation exceeds 1000 euros, regardless of whether the pecuniary obligation is performed in a lump sum or by way of several linked payments over a period of up to one month.

 (5) The obliged entity applies the due diligence measures provided in clauses 1–5 of subsection 1 of § 20 of this Act before each establishment of a business relationship or the making of each transaction outside a business relationship, unless otherwise provided for in this Act.

 (6) Where the duty to apply due diligence measures depends on the exceeding of a certain sum, the due diligence measures must be applied as soon as the exceeding of the sum becomes known or, where the exceeding of the sum depends on the making of several linked payments, as soon as the sum is exceeded.

 (7) The provisions of this Chapter regarding cash are also applicable to the performance of pecuniary obligations using a precious metal which is measured in bars or other units.

§ 20.  Due diligence measures

 (1) The obliged entity applies the following due diligence measures:
 1) identification of a customer or a person participating in an occasional transaction and verification of the submitted information based on information obtained from a reliable and independent source, including using means of electronic identification and of trust services for electronic transactions;
 2) identification and verification of a customer or a person participating in an occasional transaction and their right of representation;
 3) identification of the beneficial owner and, for the purpose of verifying their identity, taking measures to the extent that allows the obliged entity to make certain that it knows who the beneficial owner is, and understands the ownership and control structure of the customer or of the person participating in an occasional transaction;
 4) understanding of business relationships, an occasional transaction or act and, where relevant, gathering information thereon;
 5) gathering information on whether a person is a politically exposed person, their family member or a person known to be close associate;
 6) monitoring of a business relationship.

 (2) Upon implementation of clause 4 of subsection 1 of this section, the obliged entity must understand the purpose of the business relationship or the purpose of the occasional transaction, identifying, inter alia, the permanent seat, place of business or place of residence, profession or field of activity, main contracting partners, payment habits and, in the case of a legal person, also the experience of the customer or person participating in the occasional transaction.

 (3) In the case of an occasional transaction made outside of a business relationship, the obliged entity gathers information on the origin of the property used in the transaction, instead of applying clause 4 of subsection 1 of this section.

 (4) Where relevant, the obliged entity also gathers information on the origin of the customer’s wealth.

 (5) A person participating in a transaction made in economic or professional activities, a person participating in a professional act or a person using a professional service or a customer submits, at the request of the obliged entity, documents required for application of the due diligence measures specified in subsections 1–4 of this section and provides relevant information. A person participating in a transaction made in economic or professional activities, a person participating in a professional act or a person using a professional service or a customer certifies by signature, at the request of the obliged entity, the correctness of the submitted information and documents submitted for the application of the due diligence measures.

 (6) The obliged entity applies all the due diligence measures specified in subsection 1 of this section with regard to a customer, but determines the scope and exact manner of their application and the need specified in subsections 3 and 4 of this section based on previously assessed risks of money laundering and terrorist financing or those relating to a specific business relationship or to an occasional transaction, act or person. Upon assessment of the application of the due diligence measures of the obliged entity, the principle of reasonableness provided for in the Law of Obligations Act is taken into account.

 (7) Upon assessment of specific risks related to a customer specified in subsection 6 of this section, the obliged person determines, based on clause 2 of subsection 1 of § 14 of this Act, the risk profile of the customer or person participating in the transaction, taking account of the risk assessment drawn up on the basis of § 13 of this Act and at least the following factors:
 1) information gathered by the obliged entity upon implementation of clause 4 of subsection 1 of this section;
 2) the volume of the property deposited by the customer or the proprietary volume of the transaction or of transactions made in the course of a professional act;
 3) the estimated duration of the business relationship.

 (8) The obliged entity ensures that the due diligence measures applied by it, which are specified in its rules of procedure, comply with its risk assessment and that the obliged entity is prepared to explain them to the competent supervisory authority, including to the data protection supervisory authority.

§ 21.  Identification of natural person, documents serving as basis thereof and data collected on customer

 (1) The obliged entity identifies the customer and, where relevant, their representative and retains the following data on the person and, where relevant, their representative:
 1) name;
 2) personal identification code or, if none, the date and place of birth and the place of residence or seat;
 3) information on the identification and verification of the right of representation and scope thereof and, where the right of representation does not arise from law, the name of the document serving as the basis for the right of representation, the date of issue, and the name of the issuer.

 (2) The obliged entity verifies the correctness of the data specified in clauses 1 and 2 of subsection 1 of this section, using information originating from a credible and independent source for that purpose. Where the identified person has a valid document specified in subsection 3 of this section or an equivalent document, the person is identified and the person’s identity is verified on the basis of the document or using means of electronic identification and trust services for electronic transactions, and the validity of the document appears from the document or can be identified using means of electronic identification and trust services for electronic transactions, no additional details on the document need to be retained.

 (3) The obliged entity identifies a natural person based on the following documents:
 1) a document specified in subsection 2 of § 2 of the Identity Documents Act;
 2) a valid travel document issued in a foreign country;
 3) a driving licence that meets the requirements provided for in subsection 1 of § 4 of the Identity Documents Act, or
 4) a birth certificate specified in § 30 of the Vital Statistics Registration Act in the case of a person below the age of seven years.

 (4) Where the original document specified in subsection 3 of this section is not available, the identity can be verified on the basis of a document specified in subsection 3, which has been authenticated by a notary or certified by a notary or officially, or on the basis of other information originating from a credible and independent source, including means of electronic identification and trust services for electronic transactions, thereby using at least two different sources for verification of data in such an event.

§ 22.  Identification of legal person, documents serving as basis thereof and data collected on customer

 (1) The obliged person identifies a legal person registered in Estonia, the branch of a foreign company registered in Estonia and a foreign legal person and retains the following details on the legal person:
 1) the name or business name of the legal person;
 2) the registry code or registration number and the date of registration;
 3) the names of the director, members of the management board or other body replacing the management board, and their authorisation in representing the legal person;
 4) the details of the telecommunications of the legal person.

 (2) The obliged entity verifies the correctness of the data specified in clauses 1 and 2 of subsection 1 of this section, using information originating from a credible and independent source for that purpose. Where the obliged entity has access to the commercial register, register of non-profit associations and foundations or the data of the relevant registers of a foreign country, the submission of the documents specified in subsection 3 of this section does not need to be demanded from the customer.

 (3) The obliged entity identifies a legal person based on the following documents:
 1) the registry card of the relevant register;
 2) the registration certificate of the relevant register, or
 3) a document equal to the document specified in clause 1 or 3 of this section.

 (4) Where the original document specified in subsection 3 of this section is not available, the identity can be verified on the basis of a document specified in subsection 3, which has been authenticated by a notary or certified by a notary or officially, or on the basis of other information originating from a credible and independent source, including means of electronic identification and trust services for electronic transactions, thereby using at least two different sources for verification of data in such an event.

 (5) A representative of a legal person of a foreign country must, at the request of the obliged entity, submit a document certifying his or her powers, which has been authenticated by a notary or in accordance with an equal procedure and legalised or certified by a certificate replacing legalisation (apostille), unless otherwise provided for in an international agreement.

§ 23.  Monitoring of business relationship

 (1) The obliged entity establishes principles for monitoring a business relationship established in economic or professional activities (hereinafter monitoring of business relationship) upon application of § 14 of this Act.

 (2) The monitoring of a business relationship must include at least the following:
 1) checking of transactions made in a business relationship in order ensure that the transactions are in concert with the obliged entity’s knowledge of the customer, its activities and risk profile;
 2) regular updating of relevant documents, data or information gathered in the course of application of due diligence measures;
 3) identifying the source and origin of the funds used in a transaction;
 4) in economic or professional activities, paying more attention to transactions made in the business relationship, the activities of the customer and circumstances that refer to a criminal activity, money laundering or terrorist financing or that a likely to be linked with money laundering or terrorist financing, including to complex, high-value and unusual transactions and transaction patterns that do not have a reasonable or visible economic or lawful purpose or that are not characteristic of the given business specifics;
 5) in economic or professional activities, paying more attention to the business relationship or transaction whereby the customer is from a high-risk third country or a country or territory specified in subsection 4 of § 37 of this Act or whereby the customer is a citizen of such country or whereby the customer’s place of residence or seat or the seat of the payment service provider of the payee is in such country or territory.

 (3) Upon performance of the duty provided for in clause 4 of subsection 2 of this section, inter alia, the nature, reason and background of the transactions as well as other information that allows for understanding the substance of the transactions must be identified and more attention must be paid to these transactions.

Division 2 Variations of Application of Due Diligence Measures 

§ 24.  Reliance on data gathered by other person and outsourcing of application of due diligence measures

 (1) The obliged entity may, in the event of the partial or full performance of one or several of the duties provided for in clauses 1–4 of subsection 1 of § 20 of this Act, rely on data and documents gathered by another person, where all the following criteria are met:
 1) the obliged entity gathers from the other person at least information on who is the person establishing the business relationship or making the transaction, their representative and the beneficial owner, as well as what is the purpose and nature of the business relationship or transaction;
 2) the obliged entity has ensured that, where necessary, it is able to immediately obtain all the data and documents whereby it relied on data gathered by another person;
 3) the obliged entity has established that the other person who is relied on is required to comply and actually complies with requirements equal to those established by Directive (EU) 2015/849 of the European Parliament and of the Council, including requirements for the application of due diligence measures, identification of politically exposed persons and data retention, and is under or is prepared to be under state supervision regarding compliance with the requirements;
 4) the obliged entity takes sufficient measures to ensure compliance with the criteria provided for in clause 3 of this subsection.

 (2) In addition to the provisions of subsection 1 of this section, the obliged entity may also outsource an activity related to the implementation of clauses 1–4 of subsection 1 of § 20 of this Act to:
 1) another obliged entity;
 2) an organisation, association or union whose members are obliged entities, or
 3) another person who applies the due diligence measures and data retention requirements provided for in this Act and who is subject to or is prepared to be subject to AML supervision or financial supervision in a contracting state of the European Economic Area regarding compliance with requirements.

 (3) To outsource an activity, the obliged entity concludes a written contract with a person specified in subsection 2 of this section. The contract ensures that:
 1) the outsourcing of the activity does not impede the activities of the obliged entity or performance of the duties and obligations provided in this Act;
 2) the third party performs all the duties of the obliged entity relating to the outsourcing of the activity;
 3) the outsourcing of the activity does not impede exercising supervision over the obliged entity;
 4) the competent authority can exercise supervision over the person carrying out the outsourced activity via the obliged entity, including by way of an on-site inspection or another supervisory measure;
 5) the person specified in subsection 2 of this section has the required knowledge and skills and the ability to comply with the requirements provided for in this Act;
 6) the obliged entity has the right to, without limitations, inspect compliance with the requirements provided for in this Act;
 7) documents and data gathered for compliance with the requirements arising from this Act are retained and, at the request of the obliged entity, copies of documents relating to the identification of a customer and its beneficial owner or copies of other relevant documents are handed over or submitted to the competent authority immediately.

 (4) Information on the conclusion and termination of an outsourcing contract is made available to the competent supervisory authority in advance. Upon submission of information, the obliged entity indicates, among other things, the scope of the outsourced activity. At the request of the competent supervisory authority, the obliged entity submits the contract of outsourcing of the activity.

 (5) In a situation where the obliged entity relies on or outsources an activity to a person belonging to the same group, which has been established in a country where requirements equal to those of Directive (EU) 2015/849 of the European Parliament and of the Council apply, including requirements for the application of due diligence measures, identification of politically exposed persons and data retention, and where group-based supervision is exercised over the group, the requirements provided for in clause 3 of subsection 1 and in clause 5 of subsection 3 of this section do not need to be applied.

 (6) The obliged entity is not allowed to rely on or outsource activities to a person who has been established in a high-risk third country.

 (7) The obliged person who relies on data gathered by another person or who has outsourced an activity to another person is responsible for compliance with requirements arising from this Act.

§ 25.  Variations of due diligence measures applied by credit institution, financial institution and Eesti Pank

 (1) A credit institution and a financial institution is not allowed to provide services that can be used without identifying the person participating in the transaction and without verifying the submitted information, except in the events specified in § 27 of this Act. Credit institutions and financial institutions are required to open an account and keep an account only in the name of the account holder.

 (2) Credit institutions and financial institutions are not allowed to conclude a contract or make a decision to open an anonymous account or a savings book. A transaction in violation of the prohibition is void.

 (3) Eesti Pank applies the due diligence measures specified in clauses 1–4 of subsection 1 of § 20 of this Act.

 (4) Eesti Pank applies the due diligence measures specified in clauses 1–4 of subsection 1 of § 20 of this Ac always when there is doubt as to the sufficiency or truthfulness of documents or data previously gathered in the course of identification of a person, verification of submitted information or updating the relevant details as well as in the event of suspicion of terrorist financing.

§ 26.  Due diligence measures applicable to life insurance

 (1) In the case of life insurance, a credit institution and a financial institution applies the due diligence measures specified in § 20 of this Act with the following variations:
 1) the name of the beneficiary determined in the insurance contract is identified immediately after the determination of the person or after learning of the person;
 2) where the beneficiary is not determined by name, but based on certain characteristics or in another manner, sufficient data must be gathered on the circle of persons determined in such a manner so that it is proven that the identity of the beneficiary can be established at the time of making a payment.

 (2) In the case of subsection 1 of this section, the identity of the beneficiary is verified at the time of making a payment.

 (3) Where, by agreement with the obliged entity, a policyholder assigns their rights and obligations under a life insurance contract to a third party, the obliged entity must identify the assignee of the contract at the moment of assignment of the contract.

§ 27.  Due diligence measures applicable to limited-use accounts

 (1) By way of exception, a credit institution, financial institution or central securities depositor can open an account, including a securities account, before the application of the due diligence measures specified in clauses 1–3 of subsection 1 of § 20 of this Act where transactions cannot be made by the customer or in the name of the customer with the property held on the account until the full application of the due diligence measures specified in clauses 1–3 of subsection 1 of § 20 of this Act, thereby applying the due diligence measures as soon as reasonably possible.

 (2) In accordance with the procedure established on the basis of clause 1 of subsection 4 of § 67 of the Commercial Code, a credit institution can, on the basis of personal data automatically verified by the registrar via the computer network or via a notary authorised on the basis of subsection 4 of § 520 of the Commercial Code, open an account for a company that is being founded, provided that a contribution to the share capital is made to the account via an account opened in a credit institution operating in a contracting state of the European Economic Area or in the branch of a foreign credit institution established in a contracting state of the European Economic Area and the account is not debited before the company has been registered in the Estonian commercial register and before the due diligence measures specified in clauses 1–4 of subsection 1 of § 20 of this Act have been taken. Representatives of the company must allow the credit institution to apply the due diligence measures and conclude a settlement agreement within six months following the opening of the account.

§ 28.  Due diligence measures applicable to trust fund and legal arrangement

  In addition to the due diligence measures specified in subsection 1 of § 21 of this Act, a credit institution or financial institution gathers enough information on the beneficiaries of a trust fund or a legal arrangement, which have been determined based on certain characteristics or type, in order to be certain that it is able to identify the beneficiary at the time of making a payment or once the beneficiary exercises their rights.

§ 29.  Due diligence measures applied by non-profit association and foundation

 (1) The persons specified in subsection 3 of § 2 of this Act apply the due diligence measures specified in clauses 1–4 of subsection 1 of § 20 of this Act.

 (2) The persons specified in subsection 3 of § 2 of this Act apply the due diligence measures specified in clauses 1–4 of subsection 1 of § 20 of this Ac always when there is doubt as to the sufficiency or truthfulness of documents or data previously gathered in the course of identification of a person, verification of submitted information or updating the relevant details as well as in the event of suspicion of money laundering or terrorist financing.

§ 30.  Variations of due diligence measures applied by legal service provider

 (1) Where a notary identifies a person and applies other due diligence measures, the Notarisation Act and the Notaries Act are followed, taking account of the variations provided for in this Act.

 (2) A notary, enforcement officer, bankruptcy trustee, auditor, attorney or another legal service provider may identify and verify the identity of a customer or a person participating in a transaction and a beneficial owner while establishing a business relationship or entering into a transaction, provided that it is necessary for the purpose of not interrupting the ordinary course of the professional activities and the risk of money laundering or terrorist financing is low.

 (3) In the case specified in subsection 2 of this section, the application of due diligence measures must be completed as soon as possible after the first contact and before taking binding measures.

§ 31.  Identification of person and verification of data using information technology means

 (1) A credit institution and a financial institution must identify a person and verify data with the help of information technology means where a business relationship is established with an e-resident or a person from a country outside the European Economic Area or whose place of residence or seat is in such country and where the due diligence measures are not applied while being physically in the same place as the person or their representative.

 (2) A credit institution and a financial institution must identify a person and verify data with the help of information technology means where a business relationship is established with a person from a contracting state of the European Economic Area or whose place of residence or seat is in such a country and whose total sum of outgoing payments relating to a transaction or a service contract exceeds 15 000 euros per calendar month or, in the case of a customer who is a legal person, 25 000 euros per calendar month, and where the due diligence measures are not applied while being physically in the same place as the person or their representative.

 (3) A document issued by the Republic of Estonia for digital identification of a person or another electronic identification system with assurance level ‘high’ which has been added to the list published in the Official Journal of the European Union based on Article 9 of Regulation (EC) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC (OJ L 257, 28.08.2014, pp 73–114) is used for identification of a person and verification of data with the help of information technology means.

 (4) Where a person is a foreign national, the identity document issued by the competent authority of the foreign country must be used for the identification of the person and verification of data in addition to the means specified in subsection 3 of this section.

 (5) Additionally, information originating from a credible and independent source is used for identifying a person and verifying data. To identify an e-resident and verify data, a credit institution and a financial institution has the right to use personal identification data entered in the database of identity documents.

 (6) The technical requirements of and procedure for identification of persons and verification of data using information technology means are established by a regulation of the minister responsible for the field.

 (7) The regulation specified in subsection 6 of this section sets out in greater detail at least requirements for disclosure of information, rules of procedure applicable to the establishment of a business relationship and to the making of an occasional transaction, requirements for activities related to the declarations of intent of the parties to a transaction, organisation of questionnaire surveys and mandatory real-time interviews held upon establishment of a business relationship, conditions of processing of the photograph of a person, and requirements for the quality of the synchronised audio and video stream during the aforementioned procedures as well as for recording and for the reproducibility of recordings, and, based on the national risk assessment specified in § 11 of this Act, the regulation may establish limits different from the ones specified in subsection 2 of this section to situations where the provisions of this section do not need to be applied.

Division 3 Simplified Due Diligence Measures 

§ 32.  Application of simplified due diligence measures

 (1) The obliged entity may apply simplified due diligence measures where a risk assessment prepared on the basis of subsection 7 of § 20 and §§ 11, 13 and 34 of this Act identifies that, in the case of the economic or professional activity, field or circumstances, the risk of money laundering or terrorist financing is lower than usual.

 (2) Before the application of simplified due diligence measures to a customer, the obliged entity establishes that the business relationship, transaction or act is of a lower risk and the credit institution and financial institution attribute to the transaction, act or customer a lower degree of risk.

 (3) The application of simplified due diligence measures is permitted to the extent that the obliged entity ensures sufficient monitoring of transactions, acts and business relationships, so that it would be possible to identify unusual transactions and allow for notifying of suspicious transactions in accordance with the procedure established in § 49 of this Act.

§ 33.  Conditions of application of simplified due diligence measures

 (1) Upon simplified implementation of clauses 1 and 2 of subsection 1 of § 20 of this Act, the identity of a customer or of the customer’s representative may be verified on the basis of information obtained from a credible and independent source also at the time of establishment of the business relationship, provided that it is necessary for not disturbing the ordinary course of business. In such an event the verification of identity must be carried out as quickly as possible and before the taking of binding measures.

 (2) Upon implementation of clauses 3–5 of subsection 1 of § 20 of this Act, the obliged entity may choose the extent of performance of the duty and the need to verify the information and data used therefore with the help of a credible and independent source.

 (3) Clause 6 of subsection 1 of § 20 of this Act may be applied in accordance with the simplified procedure, provided that a factor characterising a lower risk has been established and ay least the following criteria are met:
 1) a long-term contract has been concluded with the customer in writing, electronically or in a form reproducible in writing;
 2) payments accrue to the obliged entity in the framework of the business relationship only via an account held in a credit institution or the branch of a foreign credit institution registered in the Estonian commercial register or in a credit institution established or having its place of business in a contracting state of the European Economic Area or in a country that applies requirements equal to those of Directive (EU) 2015/849 of the European Parliament and of the Council;
 3) the total value of incoming and outgoing payments in transactions made in the framework of the business relationship does not exceed 15 000 euros a year.

§ 34.  Factors characterising lower risk

 (1) Before the application of simplified due diligence measures, factors referring to a lower risks are taken into account and the obliged entity determines whether these factors will be implemented on the whole, in part or as separate grounds.

 (2) Upon assessment of factors referring to a lower risk in accordance with subsection 1 of this section, the following is deemed a situation reducing risks relating to the customer type:
 1) the customer is a company listed on a regulated market, which is subject to disclosure obligations that establish requirements for ensuring sufficient transparency regarding the beneficial owner;
 2) the customer is a legal person governed by public law established in Estonia;
 3) the customer is a governmental authority or another authority performing public functions in Estonia or a contracting state of the European Economic Area;
 4) the customer is an institution of the European Union;
 5) the customer is a credit institution or financial institution acting on its own behalf or a credit institution or financial institution located in a contracting state of the European Economic Area or a third country, which in its country of location is subject to requirements equal to those established in Directive (EU) 2015/849 of the European Parliament and of the Council and subject to state supervision;
 6) a person who is a resident of a country or geographic area having the characteristics specified in clauses 1–4 of subsection 3 of this section.

 (3) Upon assessment of factors referring to a lower risk in accordance with subsection 1 of this section, at least the following situations where the customer is from or the customer’s place of residence or seat is in, may be deemed a factor reducing geographic risks:
 1) a contracting state of the European Economic Area;
 2) a third country that has effective AML/CFT systems;
 3) a third country where, according to credible sources, the level of corruption and other criminal activity is low;
 4) a third country where, according to credible sources such as mutual evaluations, reports or published follow-up reports, AML/CFT requirements that are in accordance with the updated recommendations of the Financial Action Task Force (FATF), and where the requirements are effectively implemented.

§ 35.  Variations of application of simplified due diligence measures by credit institution and financial institution

 (1) Upon identifying factors characterising a smaller risk and choosing simplified due diligence measures, credit institutions and financial institutions take into account the guidelines of the European supervisory authorities regarding risk factors.

 (2) Under subsection 1 of § 34 of this Act, at least the following factors may be deemed factors reducing risks relating to the product, service, transaction or delivery channels upon assessment of factors referring to a lower risk:
 1) a life insurance contract with a small insurance premium;
 2) an insurance policy for a pension scheme where there is no early surrender option and the policy cannot be used as collateral;
 3) a pension, superannuation or similar scheme that provides retirement benefits to employees, where contributions are made by way of deduction from wages, and the scheme rules do not permit the assignment of a member’s interest under the scheme;
 4) financial products or services that provide appropriately defined and limited services to certain types of customers, so as to increase access for financial inclusion purposes;
 5) products where the risks of money laundering and terrorist financing are managed by other factors such as purse limits, in addition to clause 3 of subsection 3 of § 33 of this Act, or transparency of ownership;
 6) basic payment services relating to a liability account.

Division 4 Enhanced Due Diligence Measures 

§ 36.  Application of enhanced due diligence measures

 (1) The obliged entity applies enhanced due diligence measures in order to adequately manage and mitigate a higher-than-usual risk of money laundering and terrorist financing.

 (2) Enhanced due diligence measures are applied always when:
 1) upon identification of a person or verification of submitted information, there are doubts as to the truthfulness of the submitted data, authenticity of the documents or identification of the beneficial owner;
 2) the person participating in the transaction or professional act made in economic or professional activities, the person using the professional service or the customer is a politically exposed person, except for a local politically exposed person, their family member or a close associate;
 3) the person participating in the transaction or professional act made in economic or professional activities, the person using the professional service or the customer is from a high-risk third country or their place of residence or seat or the seat of the payment service provider of the payee is in a high-risk third country;
 4) the customer or the person participating in the transaction or the person using the professional service is from such country or territory or their place of residence or seat or the seat of the payment service provider of the payee is in a country or territory that, according to credible sources such as mutual evaluations, reports or published follow-up reports, has not established effective AML/CFT systems that are in accordance with the recommendations of the Financial Action Task Force, or that is considered a low tax rate territory.

 (3) The obliged entity applies enhanced due diligence measures also where a risk assessment prepared on the basis of subsection 6 of § 20 and §§ 11, 13 and 37 of this Act identifies that, in the case of the economic or professional activity, field or factors, the risk of money laundering or terrorist financing is higher than usual.

 (4) Enhanced due diligence measures do not need to be applied regarding the branch of an obliged entity established in a contracting state of the European Economic Area or a majority-owned subsidiary seated in a high-risk third country, provided that the branch and the majority-owned subsidiary fully comply with the group-wide procedures in accordance with § 15 of this Act and the obliged entity assesses that the waiver to apply enhanced due diligence measures does not entail major additional risks of money laundering and terrorist financing.

§ 37.  Factors characterising higher risk

 (1) In addition to the events specified in subsection 2 of § 36 of this Act, at least the factors referring to a higher risk of money laundering and terrorist financing specified in subsections 2–4 of this section are taken into account upon application of enhanced due diligence measures. The obliged entity determines in rules of procedure whether it will apply the factors on the whole, in part or as separate grounds for the purpose of application of enhanced due diligence measures.

 (2) Upon assessment of factors referring to a higher risk in accordance with subsection 1 of this section, the following is deemed a situation increasing risks related to the customer as a person:
 1) the business relationship foundations based on unusual factors, including in the event of complex and unusually large transactions and unusual transaction patterns that do not have a reasonable, clear economic or lawful purpose or that are not characteristic of the given business specifics;
 2) the customer is a resident of a higher-risk geographic area listed in subsection 4 of this section;
 3) the customer is a legal person or a legal arrangement, which is engaged in holding personal assets;
 4) the customer is a cash-intensive business;
 5) the customer is a company that has nominee shareholders or bearer shares or a company whose affiliate has nominee shareholders or bearer shares;
 6) the ownership structure of the customer company appears unusual or excessively complex, given the nature of the company’s business.

 (3) Upon assessment of factors referring to a higher risk in accordance with subsection 1 of this section, in particular the following is deemed a situation increasing risks related to the product, service, transaction or delivery channel:
 1) private banking;
 2) provision of a product or making or mediating of a transaction that might favour anonymity;
 3) payments received from unknown or unassociated third parties;
 4) a business relationship or transaction that is established or initiated in a manner whereby the customer, the customer’s representative or party to the transaction is not met physically in the same place and whereby § 31 of this Act is not applied as a safeguard measure;
 5) new products and new business practices, including new delivery mechanism, and the use of new or developing technologies for both new and pre-existing products.

 (4) Upon assessment of factors referring to a higher risk in accordance with subsection 1 of this section, in particular as situation where the customer, a person involved in the transaction or the transaction itself is connected with a following country or jurisdiction is deemed a factor increasing the geographical risk:
 1) that, according to credible sources such as mutual evaluations, detailed evaluation reports or published follow-up reports, has not established effective AML/CFT systems;
 2) that, according to credible sources, has significant levels of corruption or other criminal activity;
 3) that is subject to sanctions, embargos or similar measures issued by, for example, the European Union or the United Nations;
 4) that provides funding or support for terrorist activities, or that has designated terrorist organisations operating within their country, as identified by the European Union or the United Nations.

 (5) Upon selection of enhanced due diligence measures, a credit institution and a financial institution takes into account, in addition to subsections 2–4 of this section, relevant guidelines of the European supervisory authorities regarding risk factors.

§ 38.  Additional due diligence measures

 (1) The obliged entity chooses additional due diligence measures in order to manage and mitigate an established risk of money laundering and terrorist financing that is higher than usual.

 (2) To perform the duties provided for in subsection 1 of this section, the obliged entity may, among other things, apply one or several of the following due diligence measures:
 1) verification of information additionally submitted upon identification of the person based on additional documents, data or information originating from a credible and independent source;
 2) gathering additional information on the purpose and nature of the business relationship, transaction or operation and verifying the submitted information based on additional documents, data or information that originates from a reliable and independent source;
 3) gathering additional information and documents regarding the actual execution of transactions made in the business relationship in order to rule out the ostensibility of the transactions;
 4) gathering additional information and documents for the purpose of identifying the source and origin of the funds used in a transaction made in the business relationship in order to rule out the ostensibility of the transactions;
 5) the making of the first payment related to a transaction via an account that has been opened in the name of the person or customer participating in the transaction in a credit institution registered or having its place of business in a contracting state of the European Economic Area or in a country where requirements equal to those of Directive (EU) 2015/849 of the European Parliament and of the Council are in force;
 6) the application of due diligence measures regarding the person or their representative while being at the same place as the person or their representative.

 (3) Upon application of enhanced due diligence measures, the obliged entity must apply the monitoring of a business relationship more frequently than usually, including reassess the customer’s risk profile not later than six months after the establishment of the business relationship.

 (4) In addition to the provisions of this section, credit institutions and financial institutions take into account the guidelines of the European supervisory authorities upon selection of due diligence measures.

§ 39.  Enhanced due diligence measures applied to transaction made with natural and legal persons operating in high-risk third country

 (1) Where the obliged entity comes in contact with a high-risk third country via a person participating in a transaction made in the obliged entity’s economic or professional activities, via a person participating in a professional act, via a person using a professional service or via a customer, the obliged entity applies the following due diligence measures:
 1) gathering additional information about the customer and its beneficial owner;
 2) gathering additional information on the planned substance of the business relationship;
 3) gathering information on the origin of the funds and wealth of the customer and its beneficial owner;
 4) gathering information on the underlying reasons of planned or executed transactions;
 5) receiving permission from the senior management to establish or continue a business relationship;
 6) improving the monitoring of a business relationship by increasing the number and frequency of the applied control measures and by choosing transaction indicators that are additionally verified.

 (2) In addition to subsection 1 of this section, the obliged entity may demand that a customer make a payment from an account held in the customer’s name in a credit institution of a contracting state of the European Economic Area or in a third country that implements requirements equal to those of Directive (EU) 2015/849 of the European Parliament and of the Council.

 (3) In addition to subsection 1 of this section, a credit institution or a financial institution applies one or several of the following due diligence measures:
 1) winding up its branch or representation in a high-risk third country;
 2) carrying out a special audit in a subsidiary or branch of the credit institution or financial institution in a high-risk third country;
 3) assessing and, where necessary, terminating a correspondent relationship with an obliged entity of a high-risk third country.

§ 40.  Correspondent relationship with credit institution of third country

 (1) In the case of a cross-border correspondent relationship with a respondent institution of a third country, a credit institution or a financial institution takes, in addition to the due diligence measures provided for in subsection 1 of § 20 of this Act, the following due diligence measures:
 1) gathering sufficient information on the respondent institution in order to fully understand the nature of the activities of the respondent institution and, based on publicly available information, make a decision on the reputation and supervision quality of the relevant institution, including by researching whether any proceedings have been initiated against the institution in connection with violation of AML/CFT legislation;
 2) assessment of AML/CFT control systems implemented in the respondent institution;
 3) receiving prior approval from the senior management to establish a new correspondent relationship;
 4) documentation of the relevant duties and obligations of both institutions;
 5) in the case of payable-through accounts, making certain that the respondent institution has verified the identity of the customers who have direct access to the accounts of the correspondent institution, applies due diligence measures to them at all times and, upon request is able to present the relevant due diligence measures applied to the customer.

 (2) A credit institution or a financial institution as an obliged entity who renders a service to another credit institution or financial institution in a correspondent relationship provided for in § 7 of this Act where the customers of the credit institution or financial institution receiving the service benefit from the service (hereinafter beneficial customer) does not need to apply the due diligence measures provided for in § 20 of this Act with regard to the beneficial customers where the obliged entity:
 1) has established that the credit institution or financial institution who is a customer is itself required to apply and actually applies measures equal to the requirements provided for in this Act, including requirements for the application of due diligence measures, identification of politically exposed persons and data retention, and is under financial supervision;
 2) is aware of the risk structure of the beneficial customers and makes certain that the related risk is in accordance with the risk appetite of the obliged entity;
 3) has ensured by a contract that, where necessary, it is able to immediately obtain all data and documents in order to identify the person who ultimately benefits from the transaction;
 4) takes sufficient measures to ensure compliance with the criteria provided for in clause 1 of this subsection.

 (3) The obliged entity is prohibited to apply subsection 2 of this section where the credit institution or financial institution who is a customer has been established in a high-risk third country.

 (4) The obliged entity applying subsection 2 of this section is responsible for compliance with the requirements arising from this Act.

§ 41.  Transactions with politically exposed person

 (1) In a situation where a person participating in a transaction made in economic or professional activities, a person participating in a professional act, a person using a professional service, a customer or their beneficial owner is a politically exposed person, a family member of a politically exposed person or a person known to be a close associate of a politically exposed person, the obliged entity applies the following due diligence measures in addition to the due diligence measures provided for in subsection 1 of § 20 of this Act:
 1) obtains approval from the senior management to establish or continue a business relationship with the person;
 2) applies measures to establish the origin of the wealth of the person and the sources of the funds that are used in the business relationship or upon making occasional transactions;
 3) monitors the business relationship in an enhanced manner.

 (2) In addition to the application of the due diligence measures specified in § 26 of this Act, the obliged entity establishes not later than upon making a payment whether the beneficiary of the life insurance policy or the beneficial owner of the beneficiary is a politically exposed person, a family member of a politically exposed person or a person known to be a close associate of a politically exposed person. Upon assignment of a life insurance contract in accordance with subsection 3 of § 26 of this Act, the obliged entity identifies the aforementioned facts regarding the assignee of the contract and their beneficial owner at the moment of assignment of the contract. Where the obliged entity identifies a politically exposed person, a family member of a politically exposed person or a person known to be a close associated of a politically exposed person, the obliged entity applies the following due diligence measures in addition to the due diligence measures provided for in subsection 1 of § 20 of this Act:
 1) informing the senior management before making payments under the insurance policy;
 2) checking the entire business relationship in detail.

 (3) Where a politically exposed person no longer performs important public functions placed upon them, the obliged entity must at least within 12 months take into account the risks that remain related to the person and apply relevant and risk sensitivity-based measures as long as it is certain that the risks characteristic of politically exposed persons no longer exist in the case of the person.

 (4) The obliged entity does not need to apply the due diligence measures provided for in this section with regard to a local politically exposed person, their family member or a person known to be their close associate where there are no other factors that refer to a higher-than-usual risk.

Division 5 Consequences of Failure to Apply Due Diligence Measures 

§ 42.  Consequences of impossibility to identify person, their representative or beneficial owner

 (1) The obliged entity is prohibited to establish a business relationship or allow for making or closing an occasional transaction where the obliged entity is unable to comply with the due diligence measures provided for in clause 1, 2 or 3 of subsection 1 of § 20 of this Act or where the obliged entity suspects money laundering or terrorist financing.

 (2) The obliged entity is prohibited to establish a business relationship or make a transaction with a person whose capital consists of bearer shares or other bearer securities.

 (3) A payment service provider is prohibited to follow the customer’s payment instruction or make funds available where the payment service provider is unable to comply with the duty provided for in subsection 4 of § 19 of this Act.

 (4) Where the obliged entity has a business relationship with a customer in a situation provided for in subsections 1–3 of this section, the refusal by the customer to provide information or documents required for the application of due diligence measures is deemed a fundamental breach of the contract and the obliged entity has the obligation to extraordinarily terminate the long-term contract serving as the basis for the business relationship and to notify the Financial Intelligence Unit of the suspicious transaction relating to the customer in accordance with § 49 of this Act. The business relationship is deemed terminated as of the submission of a termination notice to the customer after which the obliged entity makes the services completely unavailable to the customer.

 (5) An agreement violating the prohibition specified in subsections 1–3 of this section is void.

 (6) The provisions of subsections 1–5 are not applied where the obliged entity has notified the Financial Intelligence Unit of the establishment of a business relationship, transaction or an attempted transaction in accordance with the procedure provided for in § 49 of this Act and received from the Financial Intelligence Unit a specific instruction to continue the business relationship, the establishment of the business relationship or the transaction.

§ 43.  Consequences of Failure to Apply Other Due Diligence Measures

 (1) The obliged entity has the right to refuse to make a transaction where a person participating in a transaction, a person participating in a professional act, a person using a professional service or a customer, in spite of a respective request, does not submit documents and relevant information or data or documents proving the origin of the property constituting the object of the transaction or where, based on the submitted data and documents, the obliged entity comes to suspect money laundering or terrorist financing or the commission of related offences or an attempt at such activity.

 (2) The obliged entity has the right to extraordinarily and without advance notification terminate the long-term contract serving as the basis for a business relationship:
 1) upon refusal to issue an e-resident’s digital identity card or where its validity is suspended or where it is declared invalid on the ground provided for in subsection 2 or 3 of § 206 of the Identity Documents Act;
 2) in the events specified in subsection 1 of this section.

 (3) Where, on the conditions described in subsection 1 or 2 of this section, the omission of a transaction would be impossible or where the omission of a transaction or termination of a business relationship might impede efforts made to catch persons benefiting from a suspicious transaction, the obliged entity may still make the transaction or continue the business relationship, informing the Financial Intelligence Unit thereof immediately after making the transaction or deciding to continue the business relationship in accordance with the procedure provided for in § 49 of this Act.

§ 44.  Restrictions on transfer of customer’s property

 (1) Upon implementation of the provisions of this Division, the obliged entity may transfer the customer’s property only to an account opened in a credit institution or the branch of a foreign credit institution registered in the Estonian commercial register or in a credit institution registered or having its place of business in a contracting state of the European Economic Area or in a country where requirements equal to those of Directive (EU) 2015/849 of the European Parliament and of the Council are in force. By way of exception, the property may be transferred to an account other than the customer’s account, notifying the Financial Intelligence Unit thereof at least seven working days in advance and provided that the Financial Intelligence Unit does not give a different order.

 (2) Upon opening an account to a company established in the manner provided for in subsection 2 of § 27 of this Act, subsection 1 of this section is applied, unless the Financial Intelligence Unit has established a different procedure by a precept made on the basis of § 55 of this Act. Subsection 6 of § 720 of the Law of Obligations Act does not apply to the implementation of this subsection.

§ 45.  Variations upon provision of legal service

  The provisions of this Division do not apply to a notary, enforcement officer, bankruptcy trustee, auditor, attorney or other legal service provider, provider of accounting services or provider of advisory services in the field of accounting or taxation where the person is involved in assessing the customer’s legal status or in performing duties as the customer’s defence counsel or representative in court proceedings or in connection therewith, including in connection with giving advance on the initiation or avoidance of proceedings.

Chapter 4 GATHERING, RETAINING AND PROTECTING DATA 

§ 46.  Registration of data

 (1) The obliged entity registers the transaction date or period and a description of the substance of the transaction.

 (2) In addition to the data specified in subsection 1, the obliged entity registers:
 1) information on the circumstance of the obliged entity’s refusal to establish a business relationship or make an occasional transaction;
 2) the circumstances of a waiver to establish a business relationship or make a transaction, including. an occasional transaction, on the initiative of a person participating in the transaction or professional act, a person using the official service or a customer where the waiver is related to the application of due diligence measures by the obliged entity;
 3) information according to which it is not possible to take the due diligence measures provided for in subsection 1 of § 20 of this Act using information technology means;
 4) information on the circumstances of termination of a business relationship in connection with the impossibility of application of the due diligence measures;
 5) information serving as the basis for the duty to report under § 49 of this Act;
 6) upon making transactions with a civil law partnership, community or another legal arrangement, trust fund or trustee, the fact that the person has such status, an extract of the registry card or a certificate of the registrar of the register where the legal arrangement has been registered.

 (3) In addition to the information provided for in subsection 1 of this section, a credit institution, financial institution and central securities depository register the following data regarding a transaction:
 1) upon opening an account, the account type, number, currency and significant characteristics of the securities or other property;
 2) upon acceptance of property for depositing, the deposition number and the market price of the property on the date of deposition or a detailed description of the property where the market price of the property cannot be determined;
 3) upon renting or using a safe deposit box or a safe in a bank, the number of the safe deposit box or safe;
 4) upon making a payment relating to shares, bonds or other securities, the type of the securities, the monetary value of the transaction, the currency and the account number;
 5) upon conclusion of a life insurance policy, the account number debited to the extent of the first insurance premium;
 6) upon making a disbursement under a life insurance policy, the account number that was credited to the extent of the disbursement amount;
 7) in the case of payment intermediation, the details the communication of which is mandatory under Regulation (EU) No 2015/847 of the European Parliament and of the Council;
 8) in the case of another transaction, the transaction amount, the currency and the account number.

§ 47.  Preservation of data

 (1) The obliged entity must retain the originals or copies of the documents specified in §§ 21, 22 and 46 of this Act, which serve as the basis for identification and verification of persons, and the documents serving as the basis for the establishment of a business relationship no less than five years after termination of the business relationship.

 (2) During the period specified in subsection 1 of this section, the obliged entity must also retain the entire correspondence relating to the performance of the duties and obligations arising from this Act and all the data and documents gathered in the course of monitoring the business relationship as well as data on suspicious or unusual transactions or circumstances which the Financial Intelligence Unit was not notified of.

 (3) The obliged entity must retain the documents prepared with regard to a transaction on any data medium and the documents and data serving as the basis for the notification obligations specified in § 49 of this Act for no less than five years after making the transaction or performing the duty to report.

 (4) The obliged entity must retain the documents and data specified in subsections 1–3 of this section in a manner that allows for exhaustively and immediately replying to the enquiries of the Financial Intelligence Unit or, in accordance with legislation, those of other supervisory authorities, investigative bodies or courts, inter alia, regarding whether the obliged entity has or has had in the preceding five years a business relationship with the given person and what is or was the nature of the relationship.

 (5) Where the obliged entity makes, for the purpose of identifying a person, an enquiry with a database that is part of the state information system, the duties provided for in this subsection will be deemed performed where information on the making of an electronic enquiry to the register is reproducible over a period of five years after termination of the business relationship or making of the transaction.

 (6) Upon implementation of § 31 of this Act, the obliged entity retains the data of the document prescribed for the digital identification of a person, information on making an electronic enquiry to the identity documents database, and the audio and video recording of the procedure of identifying the person and verifying the person’s identity for at least five years after termination of the business relationship.

 (7) The obliged entity deletes the data retained on the basis of this section after the expiry of the time limits specified in subsections 1–6 of this section, unless the legislation regulating the relevant field establishes a different procedure. On the basis of a precept of the competent supervisory authority, data of importance for prevention, detection or investigation of money laundering or terrorist financing may be retained for a longer period, but not for more than five years after the expiry of the first time limit.

§ 48.  Protection of personal data

 (1) The obliged entity implements all rules of protection of personal data upon application of the requirements arising from this Act.

 (2) The obliged entity is allowed to process personal data gathered upon implementation of this Act only for the purpose of preventing money laundering and terrorist financing and the data must not be additionally processed in a manner that does not meet the purpose, for instance, for marketing purposes.

 (3) The obliged entity submits information concerning the processing of personal data before establishing a business relationship or making an occasional transaction with them. General information on the duties and obligations of the obliged entity upon processing personal data for AML/CFT purposes is given among this information.

Chapter 5 CONDUCT IN CASE OF SUSPICION OF MONEY LAUNDERING AND TERRORIST FINANCING 

§ 49.  Duty to report in case of suspicion of money laundering and terrorist financing

 (1) Where the obliged entity identifies in economic or professional activities, a professional act or provision of a professional service an activity or facts whose characteristics refer to the use of criminal proceeds or terrorist financing or to the commission of related offences or an attempt thereof or with regard to which the obliged entity suspects or knows that it constitutes money laundering or terrorist financing or the commission of related offences, the obliged entity must report it to the Financial Intelligence Unit immediately, but not later than within two working days after identifying the activity or facts or after getting the suspicion.

 (2) Subsection 1 of this section is applied also where a business relationship cannot be established, a transaction or operation cannot be made or a service cannot be provided, and upon occurrence of the circumstances specified in §§ 42 and 43 of this Act.

 (3) The obliged entity, except for a credit institution, immediately but not later than two working days after the making of the transaction, notifies the Financial Intelligence Unit of each learned transaction whereby a pecuniary obligation of over 32 000 euros or an equal sum in another currency is performed in cash, regardless of whether the transaction is made in a single payment or in several linked payments over a period of up to one year. The credit institution notifies the Financial Intelligence Unit immediately, but not later than two working days after the making of the transaction about each foreign exchange transaction of over 32 000 euros made in cash where the credit institution does not have a business relationship with the person participating in the transaction.

 (4) The obliged entity immediately submits to the Financial Intelligence Unit all the information available to the obliged entity, which the Financial Intelligence Unit requested in its enquiry.

 (5) The duty to report, which arises from subsections 1–4 of this section, does not apply to a notary, enforcement officer, bankruptcy trustee, auditor, attorney or other legal service provider, provider of accounting services or provider of advisory services in the field of accounting or taxation where they assess the customer’s legal situation, defend to represent the customer in court, intra-authority or other such proceedings, including where they advise the customer in a matter of initiation or prevention of proceedings, regardless of whether the information has been obtained before, during or after the proceedings.

 (6) Where the obliged entity suspects or knows that terrorist financing or money laundering or related criminal offences are being committed, the making of the transaction or professional act or the provision of the official service must be postponed until the submission of a report based on subsection 1 of this section. Where the postponement of the transaction may cause considerable harm, it is not possible to omit the transaction or it may impede catching the person who committed possible money laundering or terrorist financing, the transaction or professional act will be carried out or the official service will be provided and a report will be submitted the Financial Intelligence Unit thereafter.

 (7) Where relevant, the Financial Intelligence Unit gives obliged entities feedback on their performance of the duty to report and on the use of the received information.

§ 50.  Place and form of performance of duty to report

 (1) A report is submitted to the Financial Intelligence Unit of the contracting state of the European Economic Area on whose territory the obliged entity was established, is seated or provides the service.

 (2) A report is submitted via the online form of the Financial Intelligence Unit or via the X-road service.

 (3) The data used for identifying the person and verifying the submitted information and, if any, copies of the documents are added to the report.

 (4) Requirements for the contents and form of a notice submitted to the Financial Intelligence Unit and the guidelines for the submission of a report are established by a regulation of the minister responsible for the field.

§ 51.  Confidentiality of report

 (1) The obliged entity, a structural unit of the obliged legal entity, a member of a management body and an employee is prohibited to inform a person, its beneficial owner, representative or third party about a report submitted on them to the Financial Intelligence Unit, a plan to submit such a report or the occurrence of reporting as well as about a precept made by the Financial Intelligence Unit based on §§ 57 and 58 of this Act or about the commencement of criminal proceedings. After a precept made by the Financial Intelligence Unit has been complied with, the obliged entity may inform a person that the Financial Intelligence Unit has restricted the use of the person’s account or that another restriction has been imposed.

 (2) The prohibition provided for in subsection 1 of this section is not applied upon submission of information to:
 1) competent supervisory authorities and law enforcement agencies;
 2) credit institutions and financial institutions in between themselves where they are part of the same group;
 3) institutions and branches that are part of the same group as the person specified in subsection 2 of this section where the group applies group-wide procedural rules and principles in accordance with § 15 of this Act;
 4) a third party who operates in the same legal person or structure as an obliged entity who is a notary, enforcement officer, bankruptcy trustee, auditor, attorney or other legal service provider, provider of accounting services or provider of advisory services in the field of accounting or taxation and whereby the legal person or structure has the same owners and management system where joint compliance is practiced.

 (3) The prohibition provided for in subsection 1 of this section does not apply to the exchange of information in a situation where it concerns the same person and the same transaction that involves two or more obliged entities that are credit institutions, financial institutions, enforcement officers, bankruptcy trustees, auditors, attorneys or other legal service providers, providers of accounting services or providers of advisory services in the field of accounting or taxation located in a contracting state of the European Economic Area or in a country where requirements equal to those of Directive (EU) 2015/849 of the European Parliament and of the Council are in force, act in the same field of profession and requirements equal to those in force in Estonia are implemented for keeping their professional secrets and protecting personal data.

 (4) Where a notary, enforcement officer, bankruptcy trustee, auditor, attorney or other legal service provider, provider of accounting services or provider of advisory services in the field of accounting or taxation convinces a customer to refrain from unlawful acts, it is not deemed violation of the prohibition provided for in subsection 1 of this section.

 (5) For AML/CFT purposes, credit institutions and financial institutions may between themselves exchange information on high-risk customers and transactions suspected of a criminal offence.

 (6) The exchange of information regulated in this section must be retained in writing or in a form reproducible in writing for the next five years and information is submitted to the competent supervisory authority at its request.

§ 52.  Discharge of liability

 (1) The obliged entity, its employee, representative and the person who acted on its behalf is not liable for damage caused to a person or customer participating in a transaction made in economic or professional activities, in performing a professional act or in the provision of a professional service:
 1) upon performance of duties and obligations arising from this Act in good faith, from failing to make the transaction or from failing to make the transaction within the prescribed time limit;
 2) in connection with the performance of the duty to report provided for in § 49 of this Act in good faith;
 3) by implementing §§ 16 and 18 of this Act in good faith.

 (2) The performance of the duty to report arising from § 49 of this Act and submission of information by the obliged entity is not deemed breach of the confidentiality requirement arising from law or contract and the statutory or contractual liability for the disclosure of the information is not applied to the person who performed the duty to report. An agreement derogating from this provision is void.

 (3) Upon releasing to the Financial Intelligence Unit data and documents relating to the professional activities of a notary on the basis of a precept of the Financial Intelligence Unit specified in § 55 of this Act or upon performance of the duty to report specified in § 49, the notary is discharged from the confidentiality duty provided for in § 3 of the Notaries Act.

 (4) The obliged entity establishes a system of measures ensuring that the employees and representatives of the obliged entity who report of a suspicion of money laundering or terrorist financing either within the obliged entity or directly to the Financial Intelligence Unit are protected from being exposed to threats or hostile action by other employees, management body members or customers of the obliged entity, in particular from adverse or discriminatory employment actions.

Chapter 6 FINANCIAL INTELLIGENCE UNIT 

§ 53.  Financial Intelligence Unit

 (1) The Financial Intelligence Unit is an independent structural unit of the Police and Border Guard Board. The Financial Intelligence Unit performs its duties arising from this Act independently and makes decisions concerning the actions provided for in this Act independently.

 (2) The Director General of the Police and Border Guard Board appoints the head of the Financial Intelligence Unit on a proposal of the Deputy Director General in the field of intelligence management and investigation for a term of five years.

 (3) The Police and Border Guard Board ensures the provision of the Financial Intelligence Unit with funds, technical equipment and staff required for performance of the duties prescribed by law.

§ 54.  Duties of Financial Intelligence Unit

 (1) The duties of the Financial Intelligence Unit:
 1) gathering, registration, processing and analysis of information referring to money laundering and terrorist financing;
 2) strategic analysis that covers the risks, threats, trends and ways of operation of money laundering and terrorist financing;
 3) tracing criminal proceeds and application of the enforcement powers of the state on the grounds and within the scope provided by law;
 4) supervision over the activities of obliged entities in complying with this Act, unless otherwise provided by law;
 5) informing the public about the prevention and identification of money laundering and terrorist financing, and preparing and publishing an aggregate overview at least once a year;
 6) AML/CFT cooperation with obliged entities, competent supervisory authorities and investigative bodies;
 7) training obliged entities’ staff, investigative bodies, prosecutors and judges in AML/CFT matters;
 8) organisation of international communication and exchange of information in accordance with § 63 of this Act;
 9) performance of duties arising from the International Sanctions Act;
 10) conducting misdemeanour proceedings provided for in this Act;
 11) processing applications for authorisations, suspending or prohibiting business activities or suspending or revoking an authorisation in accordance with the procedure set out in the General Part of the Economic Activities Code Act, taking account of the variations of this Act.

 (2) Upon application of clause 1 of subsection 1 of this section, it is verified whether the data submitted to the Financial Intelligence Unit is important for countering, identifying or pre-litigation investigation of money laundering, related criminal offences and terrorist financing.

 (3) The Financial Intelligence Units analyses and verifies information about suspicions of money laundering and terrorist financing, takes measures for preservation of property where necessary and immediately forwards materials to the competent authorities upon identification of elements of a criminal offence. The competent authority immediately notifies the Financial Intelligence Unit of the seizure, non-seizure and release of seized property in accordance with the procedure established in the Code of Criminal Procedure.

§ 55.  Administrative decisions of Financial Intelligence Unit

 (1) The Financial Intelligence Unit issues precepts and other administrative decisions in order to perform the duties arising from law.

 (2) A precept made on the basis of § 57 of this Act, which is aimed at stopping a transaction or restricting the use of an account or other property as well as a precept aimed at obtaining information on circumstances, transactions and persons related to a suspicion of money laundering or terrorist financing does not set out its factual grounds. The facts on the basis of which the precept is issued are set out in a separate document.

 (3) The person whose transaction was stopped or the use of whose account or other property was restricted by a precept has the right to examine the document setting out the facts. The Financial Intelligence Unit has the right to refuse to grant access to the document where:
 1) it would impede AML/CFT efforts;
 2) the disclosure of the information contained in the document is against the law or international agreements, including restrictions established in international cooperation;
 3) it would jeopardise the establishment of the truth in criminal proceedings.

 (4) An administrative decision of the Financial Intelligence Unit is signed by the head or deputy head of the Financial Intelligence Unit or by an official authorised by the head of the Financial Intelligence Unit. Upon signature by an authorised official, the number and date of the document granting the right of signature and the place where the document can be accessed are indicated next to the signature.

 (5) A claim against an administrative decision or step of the Financial Intelligence Unit is filed with the administrative court. Upon contesting a precept specified in subsection 2 of this section, the Financial Intelligence Unit submits to the administrative court a separate document setting out the facts, which gives the reasons for making the precept, establishing relevant restrictions thereto.

§ 56.  Guidelines of Financial Intelligence Unit

 (1) The Financial Intelligence Unit has the right to issue advisory guidelines to explain AML/CFT legislation.

 (2) The Financial Intelligence Unit issues guidelines regarding the characteristics of suspicious transactions.

 (3) The Financial Intelligence Unit issues guidelines regarding the characteristics of transactions suspected of terrorist financing. The guidelines are coordinated with the Estonian Internal Security Service beforehand.

 (4) The guidelines of the Financial Intelligence Unit are published on its website.

§ 57.  Stopping of transaction, restriction of disposal of property and transfer of property to state ownership

 (1) In the event of suspicion of money laundering or terrorist financing, the Financial Intelligence Unit may issue a precept to stop a criminal activity or, at the request of the financial intelligence unit of another country, to suspend a transaction or impose restrictions on the disposal of property on an account, property kept on an account or property constituting the object of the transaction, professional act or professional service or other property suspected of being associated with money laundering or terrorist financing for up to 30 calendar days as of the delivery of the precept. In the event property registered in the land register, ship register, central securities depository, motor register, register of construction works or another state register, the Financial Intelligence Unit may, in the event of justified suspicion, restrict the disposal of the property for the purpose of ensuring its preservation for up to 30 calendar days.

 (2) Before expiry of the period specified in subsection 1, a transaction may be made or the restriction of disposal of an account or other property may be derogated from only with the written consent of the Financial Intelligence Unit.

 (3) On the basis of a precept, the Financial Intelligence Unit may, in addition to the period specified in subsection 1 of this section, restrict the disposal of property for the purpose of ensuring its preservation for additional 60 calendar days where:
 1) upon verification of the origin of the property in the event of suspicion of money laundering, the possessor or owner of the property fails to prove to the Financial Intelligence Unit the legal origin of the property within 30 calendar days following the suspension of the transaction or the establishment of the restriction on use of the account or on disposal of other property;
 2) there is suspicion that the property is used for terrorist financing.

 (4) In enforcement or bankruptcy proceedings it is prohibited to seize or transfer property on which a restriction has been imposed by the Financial Intelligence Unit in accordance with the procedure established in this section.

 (5) Where property has been seized in accordance with the Code of Criminal Procedure, the Financial Intelligence Unit is required to immediately lift the restrictions on the disposal of the property after a court order on the seizure of the property has entered into force.

 (6) Where the owner of the property or, in the event of property held on the account, also the beneficial owner of the property has not been established, the Financial Intelligence Unit may ask the administrative court for permission to restrict the disposal of the property until the owner or beneficial owner of the property has been established and the Financial Intelligence Unit may ask the same also upon termination of criminal proceedings, but not for more than one year.

 (7) Where, within one year following the imposing of restrictions on the use of the property, the owner of the property or the beneficial owner of the property held on the account has not been identified or where the possessor of the property informs the Financial Intelligence Unit or the Prosecutor’s Office of the desire to give up the property, the Financial Intelligence Unit or the Prosecutor’s Office may ask the administrative court for permission to transfer the property to state ownership. The property is sold in accordance with the procedure provided for in the Code of Enforcement Procedure and the sum earned from the sale is transferred to state revenue. The owner of the property has the right to recover the sum transferred to the state revenue within a period of three years following the day on which the property was transferred to the state revenue.

 (8) In the case of property held on an account, the account holder is deemed to be the possessor of the property upon implementation of subsections 6 and 7 of this section and their right of ownership is not presumed.

 (9) The restriction of the disposal of property registered in the land register, ship register, central securities depository, motor register, register of construction works and in other state register is ensured by the registrars in the first order of priority and immediately, without any additional steps taken by the Financial Intelligence Unit.

 (10) Where the legal origin of the property in the case of suspicion of money laundering or the absence of a link between the property and terrorist financing in the case of suspicion of terrorist financing is proven before the expiry of the time limit specified in subsection 1, 3 or 6 of this section, the Financial Intelligence Unit will be required to immediately terminate the restrictions of use of the property.

§ 58.  Requesting information

 (1) To perform the duties arising from law, the Financial Intelligence Unit has the right to receive information from the competent supervisory authorities, other state authorities and local authority agencies and, based on a precept, from obliged entities and third parties.

 (2) The addressee of a precept is required to comply with the precept and to submit the requested information, including any information subject to banking or business secrecy, within the time limit set in the precept. The information is submitted in writing or in a form reproducible in writing.

 (3) To prevent money laundering, the Financial Intelligence Unit has the right to, in accordance with the procedure provided by law, obtain relevant information, including information collected by surveillance, from any surveillance agency. Where the Financial Intelligence Unit wishes to forward information collected by surveillance to other authorities, the Financial Intelligence Unit must obtain written consent from the agency which provided the information.

 (4) This section does not apply to an attorney, unless the attorney provides the services specified in subsection 2 of § 2 of this Act or a report given by the attorney to the Financial Intelligence Unit does not meet the established requirements, is not accompanied by the required documents or is accompanied by documents that do not meet the requirements.

§ 59.  Interbase cross-usage of data

  In order to perform the duties arising from law, the Financial Intelligence Unit has the right to make enquiries to and to receive data from state and local government databases and databases maintained by persons in public law, in accordance with the procedure provided by law.

§ 60.  Restrictions on use of data

 (1) Only an official of the Financial Intelligence Unit has access to and the right to process the information in the Financial Intelligence Unit database. On the basis of this Act, the head of the Financial Intelligence Unit may establish restrictions on access to information, classifying information as information for internal use. The staff of the Financial Intelligence Unit and other persons who have access to the information contained in the database of the Financial Intelligence Unit are required to keep information known to them about money laundering or terrorist financing confidential for an unspecified period of time.

 (2) To prevent or identify money laundering or terrorist financing or criminal offences related thereto and to facilitate pre-litigation investigation thereof, the Financial Intelligence Unit must forward significant information, including information subject to tax and banking secrecy to the Prosecutor’s Office, the investigative body and the court.

 (3) Data registered in the Financial Intelligence Unit is only forwarded to the authority engaged in the pre-litigation proceedings, the prosecutor and the court in connection with criminal proceedings or on the initiative of the Financial Intelligence Unit where it is necessary for the prevention, identification and investigation of money laundering or terrorist financing and criminal offences relating thereto as well as in administrative court proceedings where a request of the Financial Intelligence Unit or a claim or protest filed against a step or administrative decision of the Financial Intelligence Unit is decided.

 (4) The Financial Intelligence Unit may notify the competent supervisory authority of the breach of the requirements of this Act by an obliged entity or, based on a relevant request, forward data registered in the Financial Intelligence Unit, analyses and assessments to the extent that does not violate restrictions established by law, an international agreement or in international cooperation, where it is necessary for AML/CFT or related criminal offences, performance of the statutory duties of the competent supervisory authority or attainment of the purposes of this Act.

 (5) The Financial Intelligence Unit has the right to forward the information specified in subsection 4 of this section to the Tax and Customs Board for proceedings related to a gambling activity licence.

 (6) With the permission of the head of the Financial Intelligence Unit persons whose involvement is required to perform the duties of the Financial Intelligence Unit may be granted temporary access to data required for performing the duty to the sufficient extent. The provisions of subsections 1–5 of this section and § 61 of this Act applicable to an official of the Financial Intelligence Unit apply to the rights and competences of a person who has obtained the permission.

 (7) In an individual case, the Financial Intelligence Unit may forward to the compliance officer of the obliged entity the data registered in the Financial Intelligence Unit to the required and sufficient extent for the purpose of taking joint AML/CFT measures or measures for prevention of related criminal offences.

 (8) The Financial Intelligence Unit has the right to establish restrictions on the use of forwarded data and the user of the data must follow the restrictions.

 (9) The documents and records of the Financial Intelligence Unit, which are to be handed over to the National Archives in accordance with the law, are handed over after the passing of 30 years and thereafter the documents and records will be deleted from the database of the Financial Intelligence Unit. Until handing over to the National Archives, documents and records are kept in the Financial Intelligence Unit.

 (10) The procedure for registration and processing of data gathered by the Financial Intelligence Unit is established by a regulation of the minister responsible for the field.

§ 61.  Requirements for official of Financial Intelligence Unit

 (1) Only a person with impeccable reputation, the required experience, abilities, education and high moral qualities may be appointed as an official of the Financial Intelligence Unit.

 (2) An official of the Financial Intelligence Unit is required to maintain the confidentiality of information made known to them in connection with their official duties, including information subject to banking secrecy, even after the performance of their official duties or the termination of a service relationship connected with the processing or use of the information.

§ 62.  Cooperation between Financial Intelligence Unit and Internal Security Service

 (1) The Financial Intelligence Unit and the Security Police Board cooperate in investigation of transactions suspected of terrorist financing through mutual official assistance and exchange of information.

 (2) The Director General of the Security Police Board appoints a compliance officer who has the right to receive information of any and all reports of suspicion of terrorist financing equally to an official of the Financial Intelligence Unit and to make proposals for requesting additional information, where necessary.

 (3) The compliance officer of the Internal Security Service is involved in performing the duties provided for in clauses 1, 4, 6 and 7 of subsection 1 of § 54 of this Act and their rights and competence are regulated by the provisions of subsections 1–5 of § 60 and § 61 of this Act, which are applicable to an official of the Financial Intelligence Unit.

 (4) The compliance officer of the Internal Security Service has the right to exercise the supervision provided for in this Act jointly with an official of the Financial Intelligence Unit.

§ 63.  International exchange of information

 (1) The Financial Intelligence Unit has the right to exchange information and conclude cooperation agreements with a foreign authority that performs the duties of a financial intelligence unit (hereinafter other financial intelligence unit) or a foreign law enforcement agency.

 (2) The Financial Intelligence Unit has the right, on its own initiative or at request, to send and receive to and from another financial intelligence unit any information that the other financial intelligence unit may need in AML/CFT efforts and in processing or analysing information relating to natural or legal persons involved in money laundering or terrorist financing.

 (3) A request for information sent to a foreign financial intelligence unit by the Financial Intelligence Unit contains the circumstances of requesting the information, a description of the background, the reasons for the request and information on how they intend to use the requested information.

 (4) Upon implementation of subsections 2 and 3 of this section, the Financial Intelligence Unit may use secure communication channels.

 (5) When the Financial Intelligence Unit receives a report on persons and connections of another contracting state of the European Economic Area on the basis of subsections 1 and 2 of § 49 of this Act, the Financial Intelligence Unit immediately forwards the information thereon to the financial intelligence unit of the respective contracting state.

 (6) When exchanging the information provided for in this section, the Financial Information Unit may, upon communication of information, establish restrictions on and conditions of the use of information and the recipient of the information must follow the established restrictions.

 (7) The Financial Intelligence Union may refuse to exchange information only in exceptional cases where the exchange of information is clearly outside the aims of AML/CFT, might harm criminal proceedings, clearly and disproportionately harms the legitimate interests of a natural or legal person or the Financial Intelligence Unit, is otherwise in conflict with the general principles of national law or does not contain the circumstances of requesting the information, a description of the background, the reasons for the request or information on how the requested information is to be used.

 (8) The Financial Intelligence Unit ensures the use of information received from another financial intelligence unit on the basis of a request in accordance with the restrictions established by the other unit, asking for the other unit’s prior consent to using the information in another manner, where necessary.

 (9) The Financial Intelligence Unit ensures that the consent to disseminate the information communicated based on a request is granted immediately and to the highest extent possible. The Financial Intelligence Unit that has received a request may refuse to grant consent to the dissemination of the information to the requested extent where it is clearly outside the aims of AML/CFT, might harm criminal proceedings, clearly and disproportionately harms the legitimate interests of a natural or legal person or the Financial Intelligence Unit or is otherwise in conflict with the general principles of national law. The restriction of dissemination of information is explained.

Chapter 7 SUPERVISION 

§ 64.  Supervisory authorities

 (1) The Police and Border Guard Board or the Financial Intelligence Unit exercises state supervision over compliance with this Act and legislation adopted on the basis thereof, unless otherwise provided for in this section.

 (2) The Financial Supervision Authority exercises supervision over compliance with this Act and legislation adopted on the basis thereof by credit institutions and financial institutions that are subject to its supervision under the Financial Supervision Authority Act and in accordance with the legislation of the European Union. The Financial Supervision Authority exercises supervision in accordance with the procedure provided for in the Financial Supervision Authority Act, taking account of the variations provided for in this Act. The Financial Supervision Authority exercises supervision over the credit institutions and financial institutions specified in the first sentence of this subsection in all the fields of activity specified in § 2 of this Act and in the provision of the services specified in § 6.

 (3) The board of the Estonian Bar Association (hereinafter Bar Association) exercises supervision over compliance with this Act and legislation adopted on the basis thereof by the members of the Bar Association on the basis of the Bar Association Act, taking account of the provisions of this Act.

 (4) The Ministry of Justice exercises supervision over compliance with this Act and legislation adopted on the basis thereof by notaries on the basis of the Notaries Act, taking account of the provisions of this Act. The Ministry of Justice may delegate supervision to the Chamber of Notaries.

 (5) The Financial Supervision Authority, the board of the Bar Association, the Ministry of Justice and the Chamber of Notaries cooperate with the Financial Intelligence Unit based on the purposes of this Act.

 (6) The supervisory authorities have the right to exchange information and cooperate with the supervisory authorities of other countries based on the duties provided for in this Act.

 (7) A supervisory authority has the right to involve experts, interpreters and advisors in exercising supervision, provided that the compliance of such person with the requirements specified in subsection 1 of § 61 of this Act is ensured.

§ 65.  Application of state supervisory measures and imposition of penalty payment

 (1) To exercise state supervision provided for in this Act, the Police and Border Guard Board and the Financial Intelligence Unit may apply the special measures of state supervision provided for in §§ 30–32, 35, 50 and 51 of the Law Enforcement Act, taking account of the variations provided for in this Act and in the Financial Supervision Authority Act.

 (2) Where the obliged entity is a credit institution or financial institution, the maximum penalty payment in the event of failure to comply or improper compliance with an administrative decision is:
 1) in the case of a natural person, up to 5000 euros the first time and up to 50 000 euros any next time in order to force the person to perform one and the same duty or obligation, but not more than 5 000 000 euros in total;
 2) in the case of a legal person, up to 32 000 euros the first time and up to 100 000 euros any next time in order to force the person to perform one and the same duty or obligation, but not more than the higher of 5 000 000 euros or 10 per cent of the total annual turnover of the legal person according to the latest available annual accounts approved by its management body.

 (3) Where the legal person specified in clause 2 of subsection 2 of this section is a parent undertaking or a subsidiary of such parent undertaking who must prepare consolidated annual accounts, either the annual turnover or the total turnover of the field of the breach that served as the basis for the given administrative decision or precept according to the latest available consolidated annual accounts approved by the highest-level management body of the parent undertaking is considered the legal person’s total annual turnover.

 (4) In the case of obliged entities not specified in subsection 3 of this section, the maximum penalty payment is equal to up to twice the profit earned as a result of the breach, where such profit can be determined, or at least 1 000 000 euros.

§ 66.  Rights of administrative supervision authority

 (1) The administrative supervision authority has the right to inspect the seat or the place of business of obliged entities. The supervisory authority has the right to enter a building and a room that is in the possession of the obliged entity in the presence of a representative of the inspected person.

 (2) In the event of on-site inspection, the administrative supervision authority has the right to:
 1) without limitations examine the required documents and data media, make extracts, transcripts and copies thereof, receive explanations regarding them from the obliged entity, and monitor the work processes;
 2) receive oral and written explanations from the inspected obliged entity, members of its management body and employees.

 (3) The administrative supervision authority has the right to demand that an obliged entity submit information required for inspection also without carrying out an on-site inspection.

§ 67.  Duties of supervisory authority

 (1) Where the Financial Supervision Authority, the Police and Border Guard Board, the board of the Bar Association, the Ministry of Justice or the Chamber of Notaries, upon exercising supervision, identifies a situation whose characteristics refer to a suspicion of money laundering or terrorist financing, it will immediate notify the Financial Intelligence Unit thereof based on § 49 of this Act.

 (2) The Financial Supervision Authority, the board of the Bar Association and the Ministry of Justice must submit to the Financial Intelligence Unit by 15 April information about:
 1) the number of supervisory proceedings carried out in the preceding calendar year and the number of obliged entities covered by supervision based on the types of entities;
 2) the number of breaches detected upon exercising supervision in the preceding calendar year, the number of persons against whom misdemeanour proceedings were initiated or other measures were applied, and the legal grounds per obliged entity.

 (3) The Police and Border Guard Board, the Financial Intelligence Unit and the Financial Supervision Authority publish on their websites the final decision made in a misdemeanour case provided for in Chapter 10 of this Act or an administrative decision, precept or decision to impose a penalty payment made in accordance with the procedure established in this Chapter immediately after it has entered into force. At least the type and nature of the breach, the details of the person responsible for the breach and information on appealing against and annulment of the decision or precept is given on the website. The entire information must remain available on the website for at least five years.

 (4) Upon assessment of the facts, the Police and Border Guard Board, the Financial Intelligence Unit and the Financial Supervision Authority has the right to postpone the publication of the final decision in a misdemeanour case or a relevant administrative decision or not to disclose the identity of the offender for the purpose of protection of personal data as long as at least one of the following criteria is met:
 1) the publication of the data jeopardises the stability of financial markets or pending proceedings;
 2) the disclosure of the person responsible for the misdemeanour would be disproportionate to the imposed penalty.

 (5) Upon assessment of the facts, the Police and Border Guard Board, the Financial Intelligence Unit and the Financial Supervision Authority has the right not to publish the final decision made in the misdemeanour case or the relevant administrative decision where the options specified in subsection 4 of this section are deemed insufficient to ensure the stability of financial markets or the publishing of the decisions would be disproportionate in the case of a measure considered less important.

§ 68.  Reporting of inspection results

 (1) The Financial Supervision Authority must prepare a report on the inspection results, which is communicated to the inspected person within the time limit provided for in the Act regulating the activities of the credit institution or financial institution. Another administrative supervision authority must prepare a report on the inspection results, which is communicated to the inspected person within one month after the inspection.

 (2) The report must contain the following details:
 1) the name of the inspection;
 2) the job title and given name and surname of the author of the inspection report;
 3) the place and date of preparation of the report;
 4) reference to the provision serving as the basis for the inspection;
 5) the given name and surname and the job title of the representative of the inspected person or the possessor of the building or room who attended the inspection;
 6) the given name and surname and the job title of another person who attended the inspection;
 7) the start and end time and the conditions of the inspection;
 8) the process and results of the inspection with the required level of detail.

 (3) The report is signed by its author. The report remains with the administrative supervision authority and a copy thereof to the inspected person or its representative.

 (4) The inspected person has the right to submit written explanations within seven days as of the receipt of the report.

§ 69.  Supervision over activities of Financial Intelligence Unit

 (1) The Data Protection Inspectorate exercises supervision over the legality of the processing of information registered in the Financial Intelligence Unit.

 (2) To assess the Financial Intelligence Unit’s personal data processing process, the Data Protection Inspectorate has the right to access the guidelines and procedures of the Financial Intelligence Unit and receive written and oral clarifications. In the course of deciding a complaint filed by a data subject, the Data Protection Inspectorate has the right to receive data from the Financial Intelligence Unit to the extent required for making a decision on the complaint.

 (3) Supervisory control over the lawfulness of the activities of the Financial Intelligence Unit is exercised by the Police and Border Guard Board.

 (4) The Director General of the Police and Border Guard Board and an official authorised by them has the right to access data registered in the Financial Intelligence Unit for the purpose of exercising supervisory control to the required extent.

 (5) The provisions of subsections 1–5 of § 60 and § 61 of this Act regarding an official of the Financial Intelligence Unit apply to an official exercising supervisory control.

Chapter 8 AUTHORISATION 

§ 70.  Authorisation obligation

 (1) An undertaking is required to have authorisation for operating in the following areas of activity:
 1) operating as a financial institution;
 2) providing trust and company services;
 3) providing pawnbroking services;
 4) providing services of exchanging a virtual currency against a fiat currency;
 5) providing a virtual currency wallet service;
 6) buying-in or wholesale of precious metals, precious metal articles or precious stones, except precious metals and precious metal articles used for production, scientific or medical purposes.

 (2) A person who holds the following is not subject to the authorisation obligation:
 1) authorisation granted by the Financial Supervision Authority;
 2) obligation to apply for the Financial Supervision Authority’s authorisation under another Act;
 3) authorisation granted by the financial supervision authority of a contracting state of the European Economic Area based on which the person is authorised to operate in Estonia via a branch or across borders, provided that the Financial Supervision Authority has been notified of such operations, or
 4) who provides the services specified in subsection 1 of this section within the group.

 (3) In addition to the information required in the General Part of the Economic Activities Code Act, an application for authorisation must contain the following data and documents:
 1) the address of the place of provision of the service, including the website address;
 2) the name and contact details of the person in charge of provision of the service with regard to all the places of provision of the service specified in clause 1 of this subsection;
 3) where the undertaking that is a legal person has not been registered in the Estonian commercial register: the name of the owner of the undertaking, the owner’s registry code or personal identification code (upon absence thereof, the date of birth), the seat or place of residence; the beneficial owner’s name, personal identification code (upon absence thereof, the date of birth), the place of birth, and the address of the place of residence;
 4) the name, personal identification code (upon absence thereof, the date of birth), place of birth and the address of the place of residence of a member of the management body or a procurator of the service provider who is a legal person, unless the service provider is an undertaking registered in the Estonian commercial register;
 5) the rules of procedure and internal control rules drawn up in accordance with §§ 14 and 15 of this Act and, in the case of persons having specific duties listed in § 6 of International Sanctions Act, the rules of procedure and the procedure for verifying adherence thereto drawn up in accordance with subsection 6 of § 12 of the International Sanctions Act;
 6) the name, personal identification code (upon absence thereof, the date of birth), place of birth, citizenship, address of the place of residence, position, and contact details of the compliance officer appointed in accordance with § 17 of this Act;
 7) the name, personal identification code (upon absence thereof, the date of birth), place of birth, citizenship, the address of the place of residence, position and contact details of the person who is in charge of imposing the international financial sanction and who has been appointed by the undertaking in accordance with subsection 6 of § 12 of the International Sanctions Act;
 8) where the undertaking, a member of its management body, procurator, beneficial owner or owner is a foreign national or where the undertaking is a foreign service provider, a certificate of the criminal records database or an equal document issued by a competent judicial or administrative body of its country of origin, which certifies the absence of a penalty for an offence against the authority of the state or a money laundering offence or another wilfully committed criminal offence and has been issued no more than three months ago and has been authenticated by a notary or certified in accordance with an equivalent procedure and legalised or certified with a certificate replacing legalisation (apostille), unless otherwise provided by an international agreement.

 (4) In the case of an application for authorisation in a field specified in clause 1 of subsection 1 of this section, the details specified in subsection 3 of this section must be accompanied by information on which financial service will be provided.

 (5) Where the undertaking would like to use the authorisation also for the activities of a subsidiary, the undertaking must, in addition to the information required in the General Part of the Economic Activities Code Act, submit all the information regarding the subsidiary, which is specified in subsection 3 of this section and, where necessary, also the information specified in subsection 4 of this section.

§ 71.  Applying for authorisation

  An authorisation application is decided by the Financial Intelligence Unit by way of granting or refusing to grant authorisation not later than within 30 working days following the date of submission of the application.

§ 72.  Object of inspection of authorisation

  Authorisation will be granted to an undertaking where:
 1) the undertaking, a member of its management body, procurator, beneficial owner and owner do not have any unexpired penalty for a criminal offence against the authority of the state, criminal offence relating to money laundering or another wilfully committed criminal offence;
 2) the compliance officer appointed by the undertaking on the basis of § 17 of this Act meets the requirements provided for in this Act;
 3) the undertaking’s subsidiary for whose activities the authorisation to be applied in the name of the undertaking is to be used meets the requirements specified in clauses 1 and 2 of this section.

§ 73.  Obligation to enclose documents with notice of intention to change business activity

  Where an undertaking submits a notice of intention to change its business activity regarding itself, a member of its management body, procurator, beneficial owner or owner, the document specified in clause 8 of subsection 3 of § 70 of this Act must be enclosed with the notice where the undertaking is a foreign service provider or the member of its management body, procurator, beneficial owner or owner is a foreign national.

§ 74.  Obligation to notify of change of circumstances relating to business activities

  In a notice of the intention to change the business activity and in a notice of the change of the business activity the undertaking describes which circumstances that form a part of the object of inspection of the authorisation or relate to the secondary conditions of the authorisation have changed or are to be changed or the undertaking submits, regarding its subsidiary that will commence economic activities within the object of regulation of the authorisation, all the information specified in subsection 3 of § 70 of this Act and the information specified in clauses 1–3, 5 and 6 of subsection 1 of § 14 of the General Part of the Economic Activities Code Act.

§ 75.  Revocation of authorisation

  In addition to the grounds provided for in subsection 1 of § 37 of the General Part of the Economic Activities Code Act, the Financial Intelligence Unit will revoke authorisation specified in subsection 1 of § 70 of this Act where:
 1) the Financial Supervision Authority has granted authorisation to the undertaking;
 2) the undertaking repeatedly fails to follow the precepts of the supervisory authority;
 3) the undertaking has not commenced operation in the requested field of activity within six months from the issue of the authorisation.

Chapter 9 DATA OF BENEFICIAL OWNER OF LEGAL PERSON AND LIABILITY ACCOUNT 

§ 76.  Duty to keep data of beneficial owner

 (1) A legal person in private law gathers and retains data on its beneficial owner, including information on its right of ownership or manners of exercising control. The data of the beneficial owner is kept in the commercial register by the management board of the private legal person.

 (2) To enable the performance of the duty specified in subsection 1 of this section, the shareholders or members of a private legal person must provide the management board of the legal person with all the information known to them about the beneficial owner, including information on its right of ownership or manners of exercising control.

 (3) The duty specified in subsection 1 of this section does not apply to:
 1) an apartment association provided for in the Apartment Associations Act;
 2) a building association provided for in the Building Association Act.
 3) a company listed on a regulated market;
 4) a foundation provided for in the Foundations Act the purpose of whose economic activities is the keeping or accumulating of the property of the beneficiaries or the circle of beneficiaries specified in the articles of association and who has no other economic activities.

§ 77.  Submission of data

 (1) Based on subsections 2–4 of § 9 and § 76 of this Act, a general partnership, limited partnership, private limited company, public limited company or commercial association submits via the commercial register information system the following data on its beneficial owner:
 1) the person’s name, personal identification code and the country of the personal identification code (upon absence of a personal identification code, the date and place of birth), and the country of residence;
 2) nature of the beneficial interest held.

 (2) Based on subsection 7 of § 9 of this Act, a non-profit association submits via the commercial register information system the following data on its beneficial owner:
 1) the person’s name, personal identification code and the country of the personal identification code (upon absence of a personal identification code, the date and place of birth), and the country of residence;
 2) nature of the beneficial interest held.

 (3) Based on subsection 7 of § 9 of this Act, a foundation submits via the commercial register information system the following data on its beneficial owner:
 1) the person’s name, personal identification code and the country of the personal identification code (upon absence of a personal identification code, the date and place of birth), and the country of residence;
 2) nature of the beneficial interest held;
 3) the list of beneficiaries within the meaning of § 9 of the Foundations Act, which contains each beneficiary’s name, personal identification code and the country of the personal identification code (upon absence of a personal identification code, the date and place of birth), and the country of residence, where such persons have been specified in the articles of association of the foundation.

 (4) A company, non-profit association or foundation must submit the data of the beneficial owner along with the application for registration in the commercial register.

 (5) Where the submitted data changes, the company, non-profit association or foundation submits new data via the commercial register information system not later than within 30 days after learning of the changes in the data.

 (6) Where the data of the beneficial owner has not changed, the company, non-profit association or foundation certifies the correctness of the data upon submission of the annual report.

§ 78.  Publication of data

 (1) The data of the beneficial owner are made public in the commercial register information system.

 (2) The fees for issuing the data of a beneficial owner are established by a regulation of the minister responsible for the field.

 (3) The data of the beneficial owner is issued free of charge to the obliged entity, a government agency, the Financial Supervision Authority and to a court.

§ 79.  Beneficial owner’s right to demand correction of submitted data

 (1) The person indicated as the beneficial owner or their legal or contractual representative has the right to request that the management board of the legal person correct incorrect data.

 (2) Where the management board of the legal person has without reason refused to correct the incorrect data as requested on the basis of subsection 1 of this section, the person indicated as the beneficial owner may demand that the legal person compensate for damage caused by making incorrect data public.

§ 80.  Deletion of data

  The data of the beneficial owner is deleted automatically five years after deleting the legal person from the register.

§ 81.  Mandatoriness of automated communication of liability account information

 (1) A credit institution or a financial institution that has in a business relationship opened for a customer a liability account (hereinafter account) that has an International Bank Account Number (IBAN) must join the electronic seizure system and ensure that at least the following data is available via the system:
 1) the name of the account holder and the person making transactions in the name of the account holder along with the information received upon implementation of clause 1 of subsection 1 of § 20 of this Act;
 2) the data of the beneficial owner of the account holder along with the information received upon implementation of clause 3 of subsection 1 of § 20 of this Act;
 3) the IBAN of the account;
 4) the dates of opening and closing the account.

 (2) For the purposes of this section, ‘IBAN’ means an International Bank Account Number that complies with the EVS 876:2016 standard and whose elements have been determined by the International Organization for Standardization and that uniquely identifies a specific account in a Member State.

 (3) A credit institution and a financial institution specified in subsection 1 of this section ensure that an enquiry regarding the data specified in subsection 1 of this section, which is filed via the electronic seizure system, can be answered also over a period of five years from the date of closing the account.

Chapter 10 LIABILITY 

§ 82.  Giving of order not to implement money laundering and terrorist financing due diligence measures, risk assessment, procedural rules and internal control rules

 (1) The penalty for giving an order by a management board member of the obliged entity not to implement due diligence measures, the risk assessment specified in § 13 of this Act, procedural rules or the internal control rules is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 83.  Opening of anonymous account or savings book

 (1) The penalty for making a decision by an employee of a credit institution or financial institution to open an anonymous account or savings book or for concluding a respective contract is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 84.  Failure to perform duty to identify person and verify person’s identity

 (1) The penalty for a breach by an obliged entity, its management board member or employee of the duty provided for in this Act to identify and verify the identity of a customer or a person participating in an occasional transaction or the representative of a person is a fine of up to 300 fine units or detention.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 85.  Breach of duty to identify beneficial owner

 (1) The penalty for a breach by an obliged entity or its management board member or an employee of the duty provided for in this Act to identify the beneficial owner and verify their identity is a fine of up to 300 fine units or detention.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 86.  Breach of requirements for gathering and assessing information

 (1) The penalty for a breach of the requirements for gathering information on the purpose and nature of a business relationship or an occasional transaction by an obliged entity, its management board member or employee is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 87.  Breach of requirements for making of transaction with politically exposed person

 (1) The penalty for a breach of the requirements for making a transaction with a politically exposed person by an obliged entity, its management board member or employee is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 88.  Violation of prohibition to establish business relationship and make occasional transaction

 (1) The penalty for violation by an obliged entity, its management board member or employee of the prohibition to establish a business relationship and make an occasional transaction is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 89.  Breach of duty to monitor business relationship

 (1) The penalty for a breach by an obliged entity, its management board member or employee of the duty provided for in this Act to monitor a business relationship is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 90.  Violation of prohibition to outsource activity

 (1) The penalty for outsourcing an activity by an obliged entity or its management board member to a person established in a high-risk third country is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 91.  Breach of correspondent banking requirements

 (1) The penalty for establishing a correspondent relationship by breaching the requirements provided for in this Act is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 92.  Breach of duty to report suspicion of money laundering or terrorist financing

 (1) The penalty for a breach of the duty to notify the Financial Intelligence Unit of a suspicion of money laundering or terrorist financing, a foreign exchange transaction or another transaction where a pecuniary obligation exceeding 32 000 euros or an equal amount in another currency is performed in cash is a fine of up to 300 fine units or detention.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 93.  Illegal notification of data forwarded to Financial Intelligence Unit

 (1) The penalty for illegal notification of a person, their representative or the person’s beneficial owner by the obliged entity, its management board member, compliance officer or employee or by an employee of a supervisory authority about a report or data submitted to the Financial Intelligence Unit regarding them or about a precept made by the Financial Intelligence Unit regarding them or about the commencement of criminal proceedings instituted regarding them is a fine of up to 300 fine units or detention.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 94.  Breach of requirement to register and retain data

 (1) The penalty for a breach of the requirement to register and retain data provided for in this Act is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 95.  Failure to submit data of beneficial owner or submission of false data

 (1) The penalty for failure by a shareholder or member of a private legal person to submit the data of the beneficial owner or for failure to report on a change of the data or for knowingly submitting false data, where a situation where the obliged entity cannot take the due diligence measure provided for in clause 3 of subsection 1 of § 20 of this Act has been caused, is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 32 000 euros.

§ 96.  Breach of duties of payment service provider

 (1) The penalty for failure by an executive or employee of a payment service provider or by an executive or employee of a paying agent or a natural person paying agent to identify, verify or information relating to a payer as well as for a breach of the duties of a payment service provider established in Regulation (EU) No 2015/847 of the European Parliament and of the Council is a fine of up to 300 fine units.

 (2) The penalty for the same act committed by a legal person is a fine of up to 400 000 euros.

§ 97.  Proceedings

  Extrajudicial proceedings of misdemeanours specified in this Chapter are the Police and Border Guard Board and the Financial Supervision Authority.

Chapter 11 IMPLEMENTING PROVISIONS 

§ 98.  Follow-up analysis of implementation of Act

  By 31 December 2018, the Ministry of Finance will analyse the practicality and purposefulness of implementation of the real-time interview requirement regarding the establishment of a business relationship and the sufficiency of the provisions regulating the submission of the information of beneficial owners and, where necessary, submit proposals for amendment of legislation to the Finance Committee of the Riigikogu.

§ 99.  Variation of application of due diligence measures by gambling operator

  Until 31 August 2018, a gambling operator applies due diligence measures at least in the case of payment of winnings, making of bets or both where the amount given or received by a customer is at least 2000 euros or an equal sum in another currency.

§ 100.  Duty to re-apply provisions to existing customer relationships

  Where necessary, the obliged entity applies the due diligence measures specified in Chapter 3 of this Act to the existing customers over a period of one year from the entry into force of the Act. Upon assessment of the need to apply the due diligence measures, the obliged entity relies on, inter alia, the importance of the customer and the risk profile as well as the time that has passed from the previous application of the due diligence measures or the scope of their application.

§ 101.  Deadline of updating risk assessment and procedural rules

 (1) The obliged entity must bring its activity into compliance with the requirements of this Act within one year as of the entry into force of this Act.

 (2) A person subject to the authorisation obligation specified in subsection 1 of § 70 of this Act submits to the Police and Border Guard Board a risk assessment specified in § 13 of this Act and the corresponding rules of procedure and the internal control rules within one year from the entry into force of this Act.

§ 102.  Information on existing outsourcing contract

  The obliged entity submits to the competent supervisory authority informational on an outsourcing contract in force at the time of entry into force of this Act in accordance with the procedure provided for in subsection 4 of § 24 of this Act within five months from the entry into force of this Act and notifies the competent supervisory authority about amendment of the contract for the purpose of bringing it into compliance with the requirements of this Act.

§ 103.  Authorisation of provider of service of alternative means of payment

 (1) Within eight months following the entry into force of this Act, an undertaking holding the authorisation of a provider of a service of an alternative means of payment notifies the Police and Border Guard Board about whether it wishes to change its authorisation to that of a provider of the service of exchanging virtual currency against a fiat currency. Upon receipt of a relevant notification, the Police and Border Guard Board makes, within 30 working days following the day of submission of the application, a decision to grant the authorisation without the obligation to pay the state fee and without additionally verifying the facts falling within the object of inspection of the authorisation.

 (2) The authorisation of a provider of a service of alternative means of payment becomes invalid nine months after the entry into force of this Act.

§ 104.  Duty to report of legal person registered in commercial register or in register of non-profit associations and foundations

  The management board of a legal person registered in the commercial register or the register of non-profit associations and foundations before the entry into force of this Act declares to the commercial register the data of the beneficial owner within 60 days following the entry into force of this provision.

§ 105.  Form of performance of duty to report

  Until 30 June 2018, a report specified in subsection 2 of § 50 of this Act is submitted orally, in writing or in a form reproducible in writing. Where a report was submitted orally, it will be repeated the next working day in writing or in a form reproducible in writing.

§ 106. – § 111. [Omitted from this text.]

§ 112.  Repeal of Money Laundering and Terrorist Financing Prevention Act

  The Money Laundering and Terrorist Financing Prevention Act (RT I 2008, 3, 21) is repealed.

§ 113.  Amendment of Money Laundering and Terrorist Financing Prevention Act

  In clause 2 of subsection 9 of § 9 and in clause 1 of subsection 3 of § 76 of the Money Laundering and Terrorist Financing Prevention Act, the words ‘Apartment Association Act’ are replaced with the words ‘Apartment Ownership and Apartment Associations Act.’

§ 114. – § 118. [Omitted from this text.]

§ 119.  Entry into force of Act

 (1) Subsection 3 of § 19 and §§ 76–80 of this Act enter into force on 1 September 2018.

 (2) Section 113 of this Act enters into force on 1 January 2018.

 (3) Sections 81 and 95 of this Act enter into force on 1 January 2019.

Väljaandja:Riigikogu
Akti liik:seadus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:27.11.2017
Redaktsiooni kehtivuse lõpp:31.12.2017
Avaldamismärge:RT I, 17.11.2017, 2

1. peatükk Üldsätted 

1. jagu Seaduse eesmärk ja reguleerimisala 

§ 1.  Seaduse eesmärk ja reguleerimisala

  (1) Käesoleva seaduse eesmärk on ettevõtluskeskkonna usaldusväärsust ja läbipaistvust suurendades tõkestada Eesti Vabariigi rahandussüsteemi ning majandusruumi kasutamist rahapesuks ja terrorismi rahastamiseks.

  (2) Käesoleva seadusega reguleeritakse:
  1) rahapesu ja terrorismi rahastamisega seotud riskide hindamise, juhtimise ja maandamise põhimõtteid;
  2) rahapesu andmebüroo tegevuse aluseid;
  3) järelevalvet kohustatud isikute üle seaduse täitmisel;
  4) juriidilistele isikutele nende tegelike kasusaajate andmete kogumise ja avaldamisega kaasnevaid kohustusi;
  5) maksekontode omanike andmete kogumise ja avaldamisega kaasnevaid kohustusi;
  6) kohustatud isikute vastutust seadusest tulenevate nõuete rikkumise korral.

  (3) Käesolevas seaduses ette nähtud haldusmenetlusele kohaldatakse haldusmenetluse seaduse sätteid, arvestades käesoleva seaduse erisusi.

§ 2.  Seaduse kohaldamine

  (1) Käesolevat seadust kohaldatakse järgmiste isikute majandus-, kutse- ja ametitegevuses:
  1) krediidiasutused;
  2) finantseerimisasutused;
  3) hasartmängu, välja arvatud kaubanduslik loterii, korraldajad;
  4) isikud, kes vahendavad kinnisvara omandamise või kasutusõigusega seotud tehinguid;
  5) kauplejad kaubandustegevuse seaduse tähenduses, kui neile tasutakse või nad tasuvad sularahas üle 10 000 euro või sellega võrdväärse summa muus vääringus, sõltumata sellest, kas rahaline kohustus täidetakse tehingus ühe maksena või mitme omavahel seotud maksena kuni üheaastase perioodi jooksul, kui seaduses ei ole sätestatud teisiti;
  6) isikud, kes tegelevad väärismetalli, väärismetalltoodete, välja arvatud tootmise, teaduse ja meditsiini vajadusteks kasutatavad väärismetallid ja väärismetalltooted, või vääriskivide kokkuostu või hulgimüügiga;
  7) audiitorid ja raamatupidamisteenuse pakkujad;
  8) raamatupidamise või maksustamise valdkonnas nõustamisteenuse pakkujad;
  9) usaldusfondide ja äriühingute teenuse pakkujad;
  10) virtuaalvääringu raha vastu vahetamise teenuse pakkujad;
  11) virtuaalvääringu rahakotiteenuse pakkujad;
  12) väärtpaberite keskdepositoorium, kui ta korraldab väärtpaberikontode avamist ja osutab registritoimingutega seotud teenuseid ilma kontohalduri vahenduseta;
  13) piiriülest sularaha ja väärtpaberite veo teenust osutavad ettevõtjad;
  14) pandimajapidajad.

  (2) Käesolevat seadust kohaldatakse notari, advokaadi, kohtutäituri, pankrotihalduri, ajutise pankrotihalduri ja muu õigusteenuse osutaja majandus-, kutse- või ametitegevuses, kui ta tegutseb finants- või kinnisvaratehingus oma kliendi eest ja nimel. Samuti kohaldatakse käesolevat seadust nimetatud isiku majandus-, kutse- või ametitegevuses, kui ta juhendab tehingu kavandamist või selle tegemist või teeb ametitoimingut või osutab ametiteenust, mis on seotud:
  1) kinnisasja, ettevõtte või äriühingu aktsiate või osade ostu või müügiga;
  2) kliendi raha, väärtpaberite või muu vara haldamisega;
  3) makse-, hoiu- või väärtpaberikontode avamise või haldamisega;
  4) äriühingu asutamiseks, tegevuseks või juhtimiseks vajalike vahendite hankimisega;
  5) usaldusfondi, äriühingu, sihtasutuse või muu juriidilise isiku staatust mitteomava isikute ühenduse asutamise, tegevuse või juhtimisega.

  (3) Käesolevat seadust kohaldatakse mittetulundusühingutele mittetulundusühingute seaduse tähenduses ja teistele juriidilistele isikutele, kellele kohaldatakse mittetulundusühingute seaduse sätteid, ning sihtasutustele sihtasutuste seaduse tähenduses, kui neile tasutakse või nad tasuvad sularahas üle 5000 euro või sellega võrdväärse summa muus vääringus, sõltumata sellest, kas tasutakse ühe maksena või mitme omavahel seotud maksena kuni üheaastase perioodi jooksul.

  (4) Käesolevat seadust kohaldatakse Eesti Pangale, kui ta kõrvaldab käibelt või vahetab ümber pangatähti või münte üle 10 000 euro väärtuses või sellega võrdväärse summa muus vääringus või kui talle tasutakse meenemüntide või teiste numismaatilis-bonistiliste toodete eest sularahas üle 10 000 euro või sellega võrdväärse summa muus vääringus, sõltumata sellest, kas tasutakse ühe maksena või mitme omavahel seotud maksena kuni üheaastase perioodi jooksul.

2. jagu Mõisted 

§ 3.  Seaduses kasutatavad terminid

  Käesolevas seaduses kasutatakse termineid järgmises tähenduses:
  1) sularaha on Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1889/2005 ühendusse sisse toodava või ühendusest välja viidava sularaha kontrollimise kohta (ELT L 309, 25.11.2005, lk 9–12) artikli 2 lõikes 2 nimetatu;
  2) vara on igasugune ese, samuti sellise eseme omandiõigust või muid selle esemega seotud õigusi tõendav dokument, sealhulgas elektroonne dokument, ning sellisest esemest saadud kasu;
  3) kohustatud isik on käesoleva seaduse §-s 2 nimetatud isik;
  4) ärisuhe on suhe, mis tekib kestvuslepingu sõlmimisel majandus- või kutsetegevuses kohustatud isiku poolt teenuse osutamiseks või kauba müümiseks või muul viisil turustamiseks või mis ei põhine kestvuslepingul, kuid mille puhul kontakti loomise ajal võiks mõistlikult oodata suhte teatavat kestvust ja mille jooksul teeb kohustatud isik teenust või ametiteenust osutades, ametitoiminguid tehes või kaupa pakkudes korduvalt eraldiseisvaid tehinguid majandus-, kutse- või ametitegevuse käigus;
  5) klient on kohustatud isikuga ärisuhtes olev isik;
  6) vääriskivid on looduslikud ja tehislikud vääriskivid ning poolvääriskivid, nende pulber ja puru ning looduslikud ja kultiveeritud pärlid;
  7) väärismetall on väärismetall väärismetalltoodete seaduse tähenduses;
  8) väärismetalltoode on väärismetalltoode väärismetalltoodete seaduse tähenduses;
  9) virtuaalvääring on digitaalsel kujul esitatud väärtus, mis on digitaalselt ülekantav, säilitatav või kaubeldav ja mida füüsilised või juriidilised isikud aktsepteerivad maksevahendina, kuid mis ei ole ühegi riigi seaduslik maksevahend ega rahaline vahend Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/2366 makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35–127) artikli 4 punkti 25 tähenduses ega makseinstrument või maksetehing sama direktiivi artikli 3 punktide k ja l tähenduses;
  10) virtuaalvääringu rahakotiteenus on teenus, mille raames luuakse klientidele või hoitakse klientide krüpteeritud võtmeid, mida saab kasutada virtuaalvääringute hoidmise, talletamise ja ülekandmise eesmärgil;
  11) riikliku taustaga isik on füüsiline isik, kes täidab või on täitnud avaliku võimu olulisi ülesandeid, sealhulgas riigipea, valitsusjuht, minister ning ase- või abiminister, parlamendiliige või parlamendiga sarnase seadusandliku organi liige, erakonna juhtorgani liige, ülemkohtu ja riigikohtu liige, riigikontrolli ja keskpanga nõukogu liige, suursaadik, asjur ja kaitsejõudude kõrgem ohvitser, riigiäriühingu juhatuse ja haldus- või järelevalveorgani liige, rahvusvahelise organisatsiooni juht, juhi asetäitja ja juhtorgani liige või samaväärseid ülesandeid täitev isik, kes ei ole kesk- või alamastme ametniku staatuses;
  12) kohalik riikliku taustaga isik on käesoleva paragrahvi punktis 11 nimetatud isik, kes täidab või on täitnud avaliku võimu olulisi ülesandeid Eestis, teises Euroopa Majanduspiirkonna lepinguriigis või Euroopa Liidu institutsiooni juures;
  13) pereliige on riikliku taustaga isiku või kohaliku riikliku taustaga isiku abikaasa või abikaasaga samaväärseks peetav isik, riikliku taustaga isiku või kohaliku riikliku taustaga isiku laps ja lapse abikaasa või abikaasaga samaväärseks peetav isik ning riikliku taustaga isiku või kohaliku riikliku taustaga isiku vanem;
  14) lähedaseks kaastöötajaks peetav isik on füüsiline isik, kelle kohta on teada, et ta on juriidilise isiku või õigusliku üksuse tegelik kasusaaja või ühine omanik koos riikliku taustaga isiku või kohaliku riikliku taustaga isikuga või tal on lähedased ärisuhted riikliku taustaga isiku või kohaliku riikliku taustaga isikuga, ning füüsiline isik, kes on sellise juriidilise isiku või õigusliku üksuse ainus kasusaav omanik, mis on teadaolevalt tegelikult asutatud riikliku taustaga isiku või kohaliku riikliku taustaga isiku kasuks;
  15) kohustatud isiku kõrgem juhtkond on juht või töötaja, kellel on piisavalt teadmisi kohustatud isiku riskidest seoses rahapesuga ja terrorismi rahastamisega ning piisav volitus riske mõjutavate otsuste tegemiseks, kuid kes ei pea olema juhatuse liige;
  16) valuutavahetusteenus on ettevõtja poolt majandus- või kutsetegevuses ühe kehtiva valuuta vahetamine teise kehtiva valuuta vastu;
  17) kontsern on ettevõtjate grupp, mis koosneb emaettevõtjast, selle tütarettevõtjatest äriseadustiku § 6 tähenduses ja üksustest, milles emaettevõtjal või selle tütarettevõtjatel on osalus, või selliste ettevõtjate grupp, mis moodustavad konsolideerimisgrupi raamatupidamise seaduse § 27 lõike 3 tähenduses;
  18) suure riskiga kolmas riik on Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849, mis käsitleb finantssüsteemi rahapesu või terrorismi rahastamise eesmärgil kasutamise tõkestamist ning millega muudetakse Euroopa Parlamendi ja nõukogu määrust (EL) nr 648/2012 ja tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu direktiiv 2005/60/EÜ ja komisjoni direktiiv 2006/70/EÜ (ELT L 141, 05.06.2015, lk 73–117), artikli 9 lõike 2 alusel vastu võetud delegeeritud aktis nimetatud riik.

§ 4.  Rahapesu

  (1) Rahapesu on kuritegelikust tegevusest saadud vara või selle asemel saadud vara:
  1) muundamine või üleandmine, kui on teada, et selline vara on saadud kuritegelikust tegevusest või selles osalemisest, eesmärgiga varjata vara ebaseaduslikku päritolu või abistada kuritegelikus tegevuses osalenud isikut, et ta saaks hoiduda oma tegude õiguslikest tagajärgedest;
  2) omandamine, valdamine või kasutamine, kui selle saamisel on teada, et see on saadud kuritegelikust tegevusest või selles osalemisest;
  3) tõelise olemuse, päritolu, asukoha, käsutamisviisi, ümberpaigutamise või omandiõiguse varjamine või varaga seotud muude õiguste varjamine või kui on teada, et selline vara on saadud kuritegelikust tegevusest või selles osalemisest.

  (2) Rahapesu on ka käesoleva paragrahvi lõikes 1 nimetatud tegevustes osalemine, seotus nendega, nende toimepanemise katsed ning nendele kaasaaitamine ja kihutamine või nende soodustamine või nendeks nõuandmine.

  (3) Rahapesuga on tegemist ka juhul, kui kuritegelik tegevus, mille tulemusel saadi rahapesus kasutatav vara, toimus teise riigi territooriumil.

  (4) Käesoleva paragrahvi lõigetes 1–3 nimetatud teadmist või eesmärki võib järeldada teo objektiivsete faktiliste asjaolude põhjal.

  (5) Rahapesuga on tegemist ka siis, kui sellise kuritegeliku tegevuse üksikasjad, mille tulemusel saadi rahapesus kasutatav vara, ei ole kindlaks tehtud.

§ 5.  Terrorismi rahastamine

  Terrorismi rahastamine on terrorikuriteo ja selle toimepanemisele suunatud tegevuse rahastamine ning toetamine karistusseadustiku § 2373 tähenduses.

§ 6.  Krediidiasutus ja finantseerimisasutus

  (1) Krediidiasutus käesoleva seaduse tähenduses on:
  1) krediidiasutus Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337) artikli 4 lõike 1 punkti 1 tähenduses;
  2) Eestis äriregistrisse kantud välisriigi krediidiasutuse filiaal.

  (2) Finantseerimisasutus käesoleva seaduse tähenduses on:
  1) valuutavahetusteenuse pakkuja;
  2) makseteenuse pakkuja makseasutuste ja e-raha asutuste seaduse tähenduses, välja arvatud makse algatamise ja kontoteabe teenuse pakkuja;
  3) e-raha asutus makseasutuste ja e-raha asutuste seaduse tähenduses;
  4) kindlustusandja kindlustustegevuse seaduse tähenduses (edaspidi kindlustusandja) ulatuses, milles ta pakub elukindlustusega seotud teenuseid, välja arvatud kogumispensionide seaduse tähenduses kohustusliku kogumispensioni kindlustuslepingutega seotud teenuseid;
  5) kindlustusmaakler kindlustustegevuse seaduse tähenduses (edaspidi kindlustusmaakler) ulatuses, milles ta tegeleb elukindlustuse turustamisega või pakub muid investeerimisega seotud teenuseid;
  6) fondivalitseja, välja arvatud kogumispensionide seaduse tähenduses kohustusliku pensionifondi valitsemisel, ja aktsiaseltsina asutatud investeerimisfond investeerimisfondide seaduse tähenduses;
  7) investeerimisühing väärtpaberituru seaduse tähenduses;
  8) krediidiandja ja krediidivahendaja krediidiandjate ja -vahendajate seaduse tähenduses;
  9) hoiu-laenuühistu hoiu-laenuühistu seaduse tähenduses;
  10) e-raha asutuse või makseteenuse pakkuja määratud keskne kontaktpunkt;
  11) muu finantseerimisasutus krediidiasutuste seaduse tähenduses;
  12) käesoleva lõike punktides 1–8 nimetatud teenust pakkuv välisriigi teenusepakkuja Eesti äriregistrisse kantud filiaal.

§ 7.  Korrespondentsuhe

  Korrespondentsuhe käesoleva seaduse tähenduses on:
  1) püsivalt ja kestvalt finantsteenuste osutamine ühe krediidiasutuse (korrespondentpank) poolt teisele krediidiasutusele (respondentpank), sealhulgas arvelduskonto, maksekonto või muu kontoteenuse ning sellega seonduvate rahahalduse, rahvusvahelise rahaülekande, tšekkide lunastamise, laiendatud kasutusõigusega konto teenuse ja valuutavahetusteenuse osutamine;
  2) krediidiasutuste ja finantseerimisasutuste omavahelised suhted, sealhulgas sellised suhted, mille puhul korrespondentpank osutab respondentpangale sarnaseid teenuseid tema klientide teenindamiseks, ning sellised suhted, mis on loodud väärtpaberitehingute või rahaülekannete tegemiseks.

§ 8.  Usaldusfondide ja äriühingute teenuse pakkuja

  Usaldusfondide ja äriühingute teenuse pakkuja käesoleva seaduse tähenduses on füüsiline või juriidiline isik, kes oma majandus- või kutsetegevuses osutab kolmandale isikule vähemalt ühte järgmistest teenustest:
  1) äriühingu või muu juriidilise isiku asutamine, sealhulgas osaluse võõrandamisega seotud toimingud;
  2) tegutsemine juhatajana või juhatuse liikmena äriühingus, osanikuna täisühingus või sellisel positsioonil muus juriidilises isikus, samuti teise isiku nimetatud ametikohale asumise korraldamine;
  3) asukoha või tegevuskoha aadressi, sealhulgas aadressi kui kontaktandmete osa kasutamise või postisaadetiste vastuvõtmiseks aadressi kasutamise võimaldamine ja muude eelnimetatuga seonduvate teenuste pakkumine äriühingule või muule juriidilisele isikule, seltsingule või muule juriidilise isiku staatust mitteomavale isikute ühendusele;
  4) usaldusfondi, välja arvatud investeerimisfondide seaduse § 2 lõike 2 tähenduses nimetatud usaldusfondi, seltsingu, ühisuse või muu juriidilise isiku staatust mitteomava isikute ühenduse esindaja või usaldusisikuna tegutsemine või teise isiku määramine sellele positsioonile;
  5) aktsionäri esindajana tegutsemine või teise isiku aktsionäri esindajana tegutsemise korraldamine, välja arvatud nende äriühingute puhul, kelle väärtpaberid on reguleeritud väärtpaberiturul kauplemisele võetud ja kelle suhtes kohaldatakse Euroopa Liidu õigusaktidega kooskõlas olevaid avalikustamisnõudeid või võrdväärseid rahvusvahelisi standardeid.

§ 9.  Tegelik kasusaaja

  (1) Tegelik kasusaaja käesoleva seaduse tähenduses on füüsiline isik, kes teeb oma mõju ära kasutades tehingu või toimingu või omab muul viisil kontrolli tehingu, toimingu või teise isiku üle ja kelle huvides, kasuks või arvel tehing või toiming tehakse.

  (2) Äriühingu puhul on tegelik kasusaaja füüsiline isik, kes lõplikult omab või kontrollib juriidilist isikut piisava arvu aktsiate, osade, hääleõiguste või omandiõiguse otsese või kaudse omamise kaudu, sealhulgas osalus esitajaaktsiate või -osade kujul, või muul viisil.

  (3) Otsene omamine on kontrolli teostamise viis, mille puhul omab füüsiline isik äriühingus 25 protsendi suurust osalust pluss üks aktsia või üle 25 protsendi suurust omandiõigust. Kaudne omamine on kontrolli teostamise viis, mille puhul omab äriühingus 25 protsendi suurust osalust pluss üks aktsia või üle 25 protsendi suurust omandiõigust äriühing, mis on füüsilise isiku kontrolli all, või mitu äriühingut, mis on sama füüsilise isiku kontrolli all.

  (4) Kui pärast kõikvõimalike tuvastusmeetodite ammendumist ei ole käesoleva paragrahvi lõikes 2 nimetatud isikut võimalik kindlaks teha ja puudub ka kahtlus, et selline isik siiski eksisteerib, või juhul, kui on kahtlus, kas kindlaks tehtud isik on tegelik kasusaaja, käsitatakse tegeliku kasusaajana sellist füüsilist isikut, kes on kõrgema juhtorgani liige.

  (5) Kohustatud isik registreerib ja säilitab teabe kõikide toimingute kohta, mida tehti selleks, et tegelik kasusaaja käesoleva paragrahvi lõigete 2 ja 4 alusel tuvastada.

  (6) Usaldusfondi, seltsingu, ühisuse või muu juriidilise isiku staatust mitteomava isikute ühenduse puhul on tegelik kasusaaja füüsiline isik, kes ühendust otsese või kaudse omamise kaudu või muul viisil lõplikult kontrollib ja kes on sellise ühenduse:
  1) asutaja või isik, kes on varakogumisse vara üle andnud;
  2) usaldusisik, vara valitseja või valdaja;
  3) vara säilimist tagav ja kontrolliv isik, kui selline isik on määratud, või
  4) soodustatud isik või kui soodustatud isik või isikud määratakse tulevikus, siis isikute ring, kelle huvides selline ühendus peamiselt asutati või tegutseb.

  (7) Käesoleva paragrahvi lõigetes 2 ja 6 nimetamata isiku või isikute ühenduse puhul võib määrata tegelikuks kasusaajaks juhatuse liikme või liikmed.

  (8) Muul viisil kontrollimiseks loetakse valitseva mõju teostamist vastavalt raamatupidamise seaduse § 27 lõike 1 kriteeriumidele.

  (9) Käesolevat paragrahvi ei kohaldata:
  1) reguleeritud turul noteeritud äriühingule, millele kohaldatakse Euroopa Liidu õigusega kooskõlas olevaid avalikustamisnõudeid või samaväärseid rahvusvahelisi standardeid, millega tagatakse omanikke käsitleva teabe piisav läbipaistvus;
  2) korteriühistuseaduses sätestatud korteriühistule;
  3) hooneühistuseaduses sätestatud hooneühistule.

§ 10.  Riskiisu

  (1) Riskiisu on kohustatud isiku riskide taseme ja riskide tüüpide kogum, mida ta on valmis oma tegevuse käigus võtma oma majandustegevuse ja strateegiliste eesmärkide elluviimise nimel ja mille kinnitab kohustatud isiku kõrgem juhtkond kirjalikus vormis.

  (2) Käesoleva paragrahvi lõike 1 rakendamisel tuleb võtta arvesse riske, mida kohustatud isik on valmis võtma või mida ta soovib vältida seoses oma majandustegevusega, ning kvalitatiivseid ja kvantitatiivseid kompensatsioonimehhanisme, nagu planeeritav tulu, kapitali või muude likviidsete vahendite abil rakendatavad meetmed või teised asjaolud, nagu maine riskid ning rahapesu ja terrorismi rahastamise või muu ebaeetilise tegevusega kaasnevad õiguslikud ja muud riskid.

  (3) Käesoleva paragrahvi lõike 1 rakendamisel määrab kohustatud isik vähemalt selle, millistele tunnustele vastavate isikutega ta soovib ärisuhteid vältida ning milliste puhul ta kohaldab tugevdatud hoolsusmeetmeid, sealhulgas hindab kohustatud isik selliste isikutega kaasnevaid riske ning määrab nende riskide maandamiseks asjakohased meetmed.

  (4) Krediidiasutuse või finantseerimisasutuse juhatus määrab käesoleva paragrahvi lõike 1 rakendamisel ka selle, kas ärisuhteid kavatsetakse luua Euroopa Majanduspiirkonna välisest riigist pärit isikutega või e-residentidega.

2. peatükk Rahapesu ja terrorismi rahastamisega seotud riskide juhtimine 

1. jagu Riskide hindamine 

§ 11.  Riiklik riskihinnang

  (1) Riikliku riskihinnanguga:
  1) nähakse ette rahapesu ja terrorismi rahastamise tõkestamise alaste õigusaktide, muude valdkonna ja sidusvaldkondade regulatsioonide ning järelevalveasutuste juhendite väljatöötamise ja muutmise vajadus;
  2) määratakse muu hulgas sektorid, valdkonnad, tehingumahud ja -liigid ning vajaduse korral riigid või jurisdiktsioonid, mille suhtes kohustatud isikud peavad kohaldama tugevdatud hoolsusmeetmeid, mida vajaduse korral täpsustatakse;
  3) määratakse muu hulgas sektorid, valdkonnad, tehingumahud ja -liigid, kus rahapesu ja terrorismi rahastamise risk on väiksem ning kus on võimalik rakendada lihtsustatud hoolsusmeetmeid;
  4) antakse juhiseid ministeeriumidele ning nende valitsemisala asutustele vahendite eraldamiseks ja prioriteetide seadmiseks rahapesuga võitlemisel ning terrorismi rahastamise tõkestamisel.

  (2) Käesoleva paragrahvi lõike 1 rakendamisel võetakse arvesse ja kogutakse asjakohane teave, statistika ja analüüsid, mis on avaldatud või ministeeriumidele või nende valitsemisala asutustele kättesaadavad, sealhulgas rahvusvaheliste organisatsioonide ja Euroopa Komisjoni asjakohased riskihinnangud, raportid ning soovitused, järgides seejuures andmekaitsenõudeid.

  (3) Riikliku riskihinnangu üldistatud tulemused avaldatakse Rahandusministeeriumi veebilehel ning tehakse viivitamata kättesaadavaks kohustatud isikutele, Euroopa Komisjonile, Euroopa järelevalveasutustele ja teistele Euroopa Liidu liikmesriikidele.

  (4) Valdkonna eest vastutav minister võib määrusega kehtestada riikliku riskihinnangu alusel summalised piirmäärad, nõuded ärisuhte seirele või muud riskipõhised piirangud, mille eesmärk on maandada rahapesu või terrorismi rahastamise riske.

  (5) Rahandusministeerium avaldab oma veebilehel lisaks käesoleva paragrahvi lõikes 3 sätestatule rahapesu ja terrorismi rahastamise valdkonna koondstatistika.

§ 12.  Rahapesu ja terrorismi rahastamise tõkestamise valitsuskomisjon

  (1) Rahapesu ja terrorismi rahastamise tõkestamise komisjon on valitsuskomisjon, kelle ülesanne on:
  1) koordineerida riikliku riskihinnangu koostamist ning selle hinnangu ajakohasena hoidmist;
  2) koostada riiklikus riskihinnangus tuvastatud riske maandavate meetmete ja tegevuste rakendamise plaan (edaspidi tegevusplaan), määrates kindlaks asutused, kes riske maandavaid meetmeid ja tegevusi rakendavad, ning tähtajad, mille jooksul tuleb meetmed rakendada ja tegevused läbi viia;
  3) korraldada ja kontrollida tegevusplaani täitmist;
  4) välja töötada käesoleva lõike punktide 1–3 alusel rahapesu ja terrorismi rahastamise tõkestamise alane poliitika ning teha ettepanekuid seaduste muutmise kohta valdkonna ja sidusvaldkondade eest vastutavatele ministritele;
  5) teha rahapesu ja terrorismi rahastamise ning massihävitusrelvade leviku tõkestamise alast riigisisest koostööd.

  (2) Rahapesu ja terrorismi rahastamise tõkestamise komisjoni kuuluvad valdkonna eest vastutav minister ja kantsler ning sidusvaldkondade eest vastutavate ministeeriumide kantslerid, rahapesu andmebüroo, Eesti Panga ja Finantsinspektsiooni esindajad ning teiste asjaomaste ametite ja valitsusasutuste esindajad.

  (3) Rahapesu ja terrorismi rahastamise tõkestamise komisjoni juurde luuakse kohustatud isikute esindajate komisjon (edaspidi turuosaliste nõukoda), kelle eesmärk on valitsuskomisjonile tema ülesannete täitmisega seoses nõu anda. Lisaks võib valitsuskomisjoni ülesannete täitmiseks moodustada ajutisi ja alalisi töörühmi, kuhu võib kaasata kohustatud isikute esindajaid ja teisi asjatundjaid. Turuosaliste nõukoja ning ajutise ja alalise töörühma töökorra ja ülesanded kehtestab ning liikmed määrab valdkonna eest vastutav minister käskkirjaga.

  (4) Rahapesu ja terrorismi rahastamise tõkestamise komisjoni liikmete arvu ning töökorra kehtestab Vabariigi Valitsus määrusega.

  (5) Rahapesu ja terrorismi rahastamise tõkestamise komisjoni asjaajamist korraldab Rahandusministeerium.

§ 13.  Kohustatud isiku tegevusest tulenevate riskide juhtimine

  (1) Kohustatud isikud koostavad oma tegevusega kaasnevate rahapesu ja terrorismi rahastamisega seotud riskide tuvastamiseks, hindamiseks ning analüüsimiseks riskihinnangu, võttes arvesse vähemalt järgmisi riskikategooriaid:
  1) klientidega seonduv risk;
  2) riikide või geograafiliste piirkondade või jurisdiktsioonidega seonduv risk;
  3) toodete, teenuste või tehingutega seonduv risk;
  4) kohustatud isiku ja klientide vaheliste suhtlus- või vahenduskanalitega või toodete, teenuste või tehingute edastamiskanalitega seonduv risk.

  (2) Riskide tuvastamiseks, hindamiseks ja analüüsimiseks tehtavad sammud peavad olema proportsionaalsed kohustatud isiku majandus- ja kutsetegevuse laadi, ulatuse ning keerukusastmega.

  (3) Riskihinnangu tulemusel määrab kohustatud isik kindlaks:
  1) väiksema ja suurema rahapesu ja terrorismi rahastamise riskiga valdkonnad;
  2) riskiisu, sealhulgas äritegevuse käigus pakutavate toodete ja teenuste mahu ning ulatuse;
  3) riskijuhtimise mudeli, sealhulgas lihtsustatud ja tugevdatud hoolsusmeetmed, et tuvastatud riske maandada.

  (4) Käesoleva paragrahvi lõikes 1 nimetatud riskihinnang ja lõike 3 punktis 2 nimetatud riskiisu kindlaksmääramine dokumenteeritakse ning neid dokumente ajakohastatakse vastavalt vajadusele ja riikliku riskihinnangu avalikustatud tulemustele. Pädeva järelevalveasutuse nõudmisel esitab kohustatud isik käesoleva paragrahvi alusel koostatud dokumendid järelevalveasutusele.

  (5) Kohustatud isiku üle järelevalvet tegev pädev järelevalveasutus võib otsustada kohustatud isiku, välja arvatud Finantsinspektsiooni järelevalve alla kuuluva kohustatud isiku taotlusel ja kooskõlas riikliku riskihinnanguga, et dokumenteeritud riskihinnangu koostamine ei ole kohustuslik, kui kohustatud isiku tegevusele omased konkreetsed riskid on selged ja arusaadavad või kui pädeva järelevalveasutuse koostatud või riikliku riskihinnanguga on selle valdkonna riskid, riskiisu ja riskijuhtimise mudel määratud ning kohustatud isik rakendab neid.

  (6) Käesolevas paragrahvis sätestatud kohustusi ei kohaldata notaritele, audiitoritele ega käesoleva seaduse § 2 lõigetes 3 ja 4 nimetatud kohustatud isikutele.

2. jagu Kohustatud isiku riskide juhtimise süsteem 

§ 14.  Protseduurireeglid ja sisekontrollieeskiri

  (1) Kohustatud isik kehtestab protseduurireeglid, millega tõhusalt maandatakse ja juhitakse muu hulgas käesoleva seaduse § 13 kohaselt koostatud riskihinnangu raames tuvastatud rahapesu ja terrorismi rahastamisega seotud riske. Protseduurireeglite täitmise kontrollimiseks kehtestab kohustatud isik sisekontrollieeskirja, mis kirjeldab sisekontrolli süsteemi toimimise, sealhulgas siseauditi ja vajaduse korral vastavuskontrolli rakendamise korda, kus on muu hulgas kirjeldatud töötajate kontrollimise kord. Protseduurireeglid sisaldavad vähemalt järgmist:
  1) kliendi suhtes rakendatavate hoolsusmeetmete kohaldamise korda, sealhulgas käesoleva seaduse §-s 32 nimetatud lihtsustatud hoolsusmeetmete ja §-s 36 nimetatud tugevdatud hoolsusmeetmete kohaldamise korda;
  2) mudelit kliendi ja tema tegevusega seotud riskide tuvastamiseks ja juhtimiseks ning kliendi riskiprofiili määramist;
  3) metoodikat ja juhendit, kui kohustatud isikul tekib rahapesu ja terrorismi rahastamise kahtlus või on tegemist ebatavalise tehingu või asjaoluga, samuti käesoleva seaduse §-s 49 sätestatud teatamiskohustuse täitmise juhendit;
  4) andmete säilitamise ja nende kättesaadavaks tegemise korda;
  5) juhendit, kuidas tulemuslikult kindlaks teha, kas tegemist on riikliku taustaga isikuga või kohaliku riikliku taustaga isikuga või isikuga, kelle suhtes rakendatakse rahvusvahelisi sanktsioone, või isikuga, kelle elu- või asukoht on suure riskiga kolmandas riigis või riigis, mis vastab käesoleva seaduse § 37 lõikes 4 nimetatud tingimustele;
  6) uute ja olemasolevate tehnoloogiatega ning teenuste ja toodetega, sealhulgas uute või ebatraditsiooniliste müügikanalite ning uute või arenevate tehnoloogiatega kaasnevate riskide tuvastamise ja juhtimise korda.

  (2) Kohustatud isik korraldab protseduurireeglite ja sisekontrollieeskirja täitmise ning rakendamise kohustatud isiku töötajate poolt.

  (3) Käesoleva paragrahvi lõikes 1 nimetatud protseduurireeglid ja sisekontrollieeskiri võivad sisalduda ühes või mitmes dokumendis, need peavad olema proportsionaalsed kohustatud isiku majandus- ja kutsetegevuse laadi, ulatuse ja keerukusastmega ning need peab kehtestama kohustatud isiku kõrgem juhtkond. Kohustatud isik peab kehtestatud protseduurireeglite ja sisekontrollieeskirja ajakohasust regulaarselt kontrollima ning vajaduse korral kehtestama uued protseduurireeglid ja sisekontrollieeskirja või tegema neis vajalikud muudatused.

  (4) Käesoleva paragrahvi lõike 1 punktis 2 sätestatud kohustuse täitmisel arvestab krediidiasutus ja finantseerimisasutus pädeva järelevalveasutuse ning Euroopa järelevalveasutuste ja andmekaitse järelevalveasutuse asjakohastes juhendites tooduga.

  (5) Kui kohustatud isikul on siseauditi kohustus, tuleb siseauditi käigus kontrollida ka protseduurireeglitest kinnipidamist ja sisekontrollieeskirja täitmist käesoleva seaduse tähenduses.

  (6) Kohustatud isikuks oleva juriidilise isiku juhatus, kohustatud isikust filiaali juhataja või nende puudumisel kohustatud isik peab tagama töötajatele, kelle tööülesannete hulka kuulub ärisuhete loomine või tehingute tegemine, käesolevast seadusest tulenevate kohustuste täitmise alase koolituse, mis peab toimuma, kui töötaja nimetatud tööülesannete täitmist alustab ja pärast seda regulaarselt või vastavalt vajadusele. Koolitusel peab andma muu hulgas teavet protseduurireeglites ette nähtud kohustustest, rahapesu ja terrorismi rahastamise toimepanemise nüüdisaegsetest meetoditest ning sellega kaasnevatest riskidest, isikuandmete kaitse nõuetest, sellest, kuidas ära tunda võimaliku rahapesuga või terrorismi rahastamisega seotud toiminguid, ja juhiseid sellistes olukordades tegutsemiseks.

  (7) Kohustatud isik, välja arvatud krediidiasutus või finantseerimisasutus, võib taotleda pädevalt järelevalveasutuselt dokumenteeritud protseduurireeglite ja sisekontrollieeskirja koostamise kohustusest osalist või täielikku vabastamist. Otsuse tegemisel võtab pädev järelevalveasutus arvesse riiklikku riskihinnangut, kohustatud isiku majandus- või kutsetegevuse laadi, ulatust ja keerukusastet ning seda, kas kohustatud isikuga seotud konkreetsed riskid on väikesed või tõhusalt juhitud, järgides käesolevat seadust, selle alusel antud õigusakte ja pädevate järelevalveasutuste juhendeid.

  (8) Valdkonna eest vastutav minister võib määrusega kehtestada krediidiasutuste ja finantseerimisasutuste kehtestatavatele protseduurireeglitele, nende täitmise kontrollimise sisekontrollieeskirjale ning nende rakendamisele esitatavad täpsustavad nõuded.

  (9) Käesolevas paragrahvis sätestatud kohustusi ei kohaldata käesoleva seaduse § 2 lõigetes 3 ja 4 nimetatud kohustatud isikutele.

§ 15.  Riskide juhtimine kontsernis

  (1) Käesoleva seaduse § 14 rakendamisel arvestatakse, et kohustatud isik, kes kuulub emaettevõtjana kontserni, kohaldab kontserniüleseid protseduurireegleid ja nende täitmise kontrollimise sisekontrollieeskirja, olenemata sellest, kas kõik kontserni kuuluvad ettevõtjad asuvad ühes riigis või eri riikides. See kohustus hõlmab muu hulgas kontsernisisese korra kehtestamist rahapesu ja terrorismi rahastamise tõkestamise alase teabe vahetamiseks ning sarnaste isikuandmete kaitse reeglite kehtestamist. Kohustatud isik tagab, et kontserniülesed protseduurireeglid ja nende täitmise kontrollimise sisekontrollieeskiri arvestavad kohases ulatuses teise Euroopa Liidu liikmesriigi õigusega, millega rakendatakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849, kui kohustatud isikul on selles liikmesriigis esindus, filiaal või enamusosalusega tütarettevõtja.

  (2) Kui kohustatud isikul on esindus, filiaal või enamusosalusega tütarettevõtja kolmandas riigis, kus rahapesu ja terrorismi rahastamise tõkestamise miinimumnõuded ei ole võrdväärsed Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega, rakendatakse selles esinduses, filiaalis ja enamusosalusega tütarettevõtjas käesoleva seaduse nõuetele vastavaid protseduurireegleid ja sisekontrollieeskirja, sealhulgas isikuandmete kaitse nõudeid niivõrd, kuivõrd see on lubatud kolmanda riigi õigusega.

  (3) Kui kohustatud isik tuvastab olukorra, kus kolmanda riigi õigus ei võimalda tema esinduses, filiaalis või enamusosalusega tütarettevõtjas rakendada käesoleva seaduse nõuetele vastavaid protseduurireegleid ja sisekontrollieeskirja, teavitab ta sellest pädevat järelevalveasutust. Pädev järelevalveasutus teavitab liikmesriike, ja kui see on asjakohane, Euroopa järelevalveasutusi, kui käesoleva lõike esimese lause kohaselt on selgunud, et kolmanda riigi õigus ei võimalda kontsernis rakendada Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetele vastavaid protseduurireegleid ja sisekontrollieeskirja.

  (4) Kohustatud isik tagab käesoleva paragrahvi lõikes 3 nimetatud juhul esinduses, filiaalis või enamusosalusega tütarettevõtjas lisameetmete kohaldamise, millega tõhusalt juhitakse muul viisil rahapesu või terrorismi rahastamisega seotud riske, teavitades võetud meetmetest pädevat järelevalveasutust. Pädeval järelevalveasutusel on sellisel juhul õigus ettekirjutusega muu hulgas nõuda, et kohustatud isik ning kohustatud isiku esindus, filiaal või enamusosalusega tütarettevõtja:
  1) ei looks selles riigis uusi ärisuhteid;
  2) lõpetaks selles riigis olemasolevad ärisuhted;
  3) peataks teenuse osutamise osaliselt või täielikult;
  4) lõpetaks oma tegevuse;
  5) rakendaks muid Euroopa Komisjoni poolt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 artikli 45 lõike 7 alusel kehtestatud regulatiivsetes tehnilistes standardites ette nähtud meetmeid.

  (5) Kontserni sees võib jagada teavet rahapesu andmebüroole edastatud kahtluse kohta, välja arvatud juhul, kui rahapesu andmebüroo on andnud teistsuguse korralduse.

  (6) E-raha asutus ja makseteenuse pakkuja, kes tegutseb Eestis muus vormis kui filiaalina ja kelle peakontor asub teises Euroopa Liidu liikmesriigis, määrab pädeva järelevalveasutuse korraldusel vastavalt Euroopa Komisjoni poolt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 artikli 45 lõike 9 alusel kehtestatud regulatiivsetele tehnilistele standarditele Eestis keskse kontaktpunkti, mille ülesanne on tagada e-raha asutuse või makseteenuse pakkuja nimel vastavus käesoleva seaduse nõuetega, ning esitab pädeva järelevalveasutuse taotlusel oma tegevuse kohta dokumente ja teavet.

  (7) Kohustatud isikust välisriigi teenusepakkuja Eesti äriregistrisse kantud filiaal või välisriigi teenusepakkuja enamusosalusega tütarettevõtja jätab kontserniülesed protseduurireeglid ja sisekontrollieeskirja kohaldamata ulatuses, milles nende täitmine oleks vastuolus käesoleva seaduse alusel koostatud riigisisese riskihinnanguga või käesolevas seaduses sätestatud või selle alusel kehtestatud nõuetega.

§ 16.  Koostöö ja infovahetus

  Kohustatud isikud teevad koostööd omavahel ning riiklike järelevalve- ja korrakaitseasutustega rahapesu ja terrorismi rahastamise tõkestamisel, sealhulgas edastades enda valduses olevat teavet ning vastates päringutele mõistliku aja jooksul, järgides õigusaktidest tulenevaid kohustusi ja piiranguid.

§ 17.  Vastutava juhatuse liikme ja kontaktisiku määramine

  (1) Kui kohustatud isikul on rohkem kui üks juhatuse liige, määrab kohustatud isik juhatuse liikme, kes vastutab käesoleva seaduse ning selle alusel kehtestatud õigusaktide ja juhendite rakendamise eest.

  (2) Krediidiasutuse ja finantseerimisasutuse juhatus ning Eesti äriregistrisse kantud välisriigi krediidiasutuse ja finantseerimisasutuse filiaali juhataja määravad isiku, kes on rahapesu andmebüroo kontaktisik (edaspidi kontaktisik). Krediidiasutuse ja finantseerimisasutuse kontaktisik allub otse krediidiasutuse või finantseerimisasutuse juhatusele ning tal on käesolevas seaduses sätestatud ülesannete täitmiseks vajalik pädevus, vahendid ja juurdepääs asjakohasele teabele kõigis krediidiasutuse või finantseerimisasutuse struktuuriüksustes.

  (3) Kohustatud isik, kes ei ole krediidiasutus ega finantseerimisasutus, võib määrata rahapesu ja terrorismi rahastamise tõkestamisega seotud kohustuste täitmiseks kontaktisiku.

  (4) Kontaktisiku ülesandeid võib täita töötaja või struktuuriüksus. Kui kontaktisiku ülesandeid täidab struktuuriüksus, vastutab kontaktisiku ülesannete täitmise eest selle struktuuriüksuse juht. Kontaktisiku määramisest teavitatakse rahapesu andmebürood ja pädevat järelevalveasutust.

  (5) Kontaktisikuks võib määrata üksnes isiku, kellel on kontaktisiku ülesannete täitmiseks vajalik haridus, kutsealane sobivus, vajalikud võimed, isikuomadused ja kogemused ning laitmatu maine. Kontaktisiku määramine kooskõlastatakse rahapesu andmebürooga.

  (6) Rahapesu andmebürool on õigus saada kontaktisiku või kontaktisikukandidaadi sobivuse kontrollimiseks kontaktisikult või kontaktisikukandidaadilt, tema tööandjalt ja riigi andmekogudest teavet. Kui rahapesu andmebüroo teostatud kontrolli tulemusel selgub, et isiku usaldusväärsus on tema varasema tegevuse või tegevusetuse tõttu kahtluse all, ei ole selle isiku maine laitmatu ning kohustatud isik võib kontaktisiku töölepingu usalduse kaotuse tõttu erakorraliselt üles öelda. Kui kontaktisiku ülesandeid täidab struktuuriüksus, kohaldatakse käesolevas lõikes sätestatut selle struktuuriüksuse iga töötaja suhtes.

  (7) Kontaktisiku ülesanded on muu hulgas:
  1) kohustatud isiku tegevuses ilmnevatele ebatavalistele või rahapesu kahtlusega tehingutele või asjaoludele või terrorismi rahastamisele viitava teabe kogumise korraldamine ja analüüsimine;
  2) teabe edastamine rahapesu andmebüroole rahapesu või terrorismi rahastamise kahtluse korral;
  3) krediidiasutuse või finantseerimisasutuse juhatusele või Eesti äriregistrisse kantud välisriigi krediidiasutuse või finantseerimisasutuse filiaali juhatajale perioodiliselt kirjalike ülevaadete esitamine käesolevast seadusest tulenevate nõuete täitmise kohta;
  4) muude kohustuste täitmine, mis on seotud käesoleva seaduse nõuete täitmisega.

  (8) Kontaktisikul on õigus:
  1) teha krediidiasutuse või finantseerimisasutuse juhatusele või Eesti äriregistrisse kantud välisriigi krediidiasutuse või finantseerimisasutuse filiaali juhatajale ettepanekuid rahapesu ja terrorismi rahastamise tõkestamise nõudeid sisaldavate protseduurireeglite muutmiseks ja täiendamiseks ning käesoleva seaduse § 14 lõikes 6 nimetatud koolituse korraldamiseks;
  2) nõuda kohustatud isiku struktuuriüksuselt rahapesu ja terrorismi rahastamise tõkestamise nõuete täitmisel tuvastatud puuduste kõrvaldamist mõistliku aja jooksul;
  3) saada kontaktisiku ülesannete täitmiseks vajalikke andmeid ja teavet;
  4) teha ettepanekuid kahtlaste ja ebatavaliste teatiste esitamise protsessi korraldamiseks;
  5) saada valdkonnaalaseid koolitusi.

  (9) Kui kontaktisikut ei ole määratud, täidab kontaktisiku ülesandeid juriidilise isiku juhatus, käesoleva paragrahvi lõike 1 alusel määratud juhatuse liige, Eesti äriregistrisse kantud välisriigi äriühingu filiaali juhataja või füüsilisest isikust ettevõtja.

  (10) Käesolevas paragrahvis sätestatud kohustusi ei kohaldata käesoleva seaduse § 2 lõigetes 3 ja 4 nimetatud kohustatud isikutele.

§ 18.  Suhted varipankadega

  (1) Varipank (inglise keeles shell bank) on krediidiasutus või finantseerimisasutus või krediidiasutuste ja finantseerimisasutustega samaväärseid toiminguid tegev asutus, mis on asutatud jurisdiktsioonis või riigis, kus sel puudub juhtimine ja administratsioon ning füüsiline asukoht sihipäraseks äritegevuseks, ja mis ei ole seotud ühegi reguleeritud krediidi- või finantseerimisasutuse kontserniga.

  (2) Krediidiasutusel ja finantseerimisasutusel on keelatud luua või jätkata korrespondentsuhteid varipankadega ja selliste krediidiasutuste või finantseerimisasutustega, kes teadaolevalt lubavad varipankadel oma kontosid kasutada.

  (3) Käesoleva paragrahvi lõikes 2 nimetatud keeldu rikkuv kokkulepe on tühine.

3. peatükk Hoolsusmeetmed 

1. jagu Hoolsusmeetmete kohaldamise alused 

§ 19.  Hoolsusmeetmete kohaldamise kohustus

  (1) Kohustatud isik kohaldab hoolsusmeetmeid:
  1) ärisuhte loomisel;
  2) ärisuhte väliselt tehingute juhuti tegemisel või vahendamisel, kui tehingu väärtus on üle 15 000 euro või sellega võrdväärne summa muus vääringus, sõltumata sellest, kas rahaline kohustus täidetakse tehingus ühe maksena või mitme omavahel seotud maksena kuni üheaastase perioodi jooksul, kui seaduses ei ole sätestatud teisiti;
  3) hoolsusmeetmete kohaldamisel kogutud teabe kontrollimise või asjakohaste andmete ajakohastamise käigus varem kogutud dokumentide või andmete piisavuse või tõelevastavuse kahtluse korral;
  4) rahapesu või terrorismi rahastamise kahtluse korral hoolimata ükskõik millisest seaduses nimetatud mööndusest, erandist või piirsummast.

  (2) Kaupleja kohaldab hoolsusmeetmeid vähemalt iga kord, kui talle tasutakse või ta tasub sularahas üle 10 000 euro või sellega võrdväärse summa muus vääringus, sõltumata sellest, kas rahaline kohustus täidetakse ühe maksena või mitme omavahel seotud maksena kuni üheaastase perioodi jooksul.

  (3) Hasartmängukorraldaja kohaldab hoolsusmeetmeid vähemalt võidu väljamaksmise, panuse tegemise või mõlema korral, kui kliendi antav või saadav summa on vähemalt 2000 eurot või sellega võrdväärne summa muus vääringus, sõltumata sellest, kas rahaline kohustus täidetakse ühe maksena või mitme omavahel seotud maksena kuni ühekuuse perioodi jooksul.

  (4) Nii maksjale kui ka saajale makseteenuse pakkuja tuvastab kliendi isikusamasuse iga rahaülekande puhul, mis vastab Euroopa Parlamendi ja nõukogu määruse (EL) nr 2015/847, mis käsitleb rahaülekannetes edastatavat teavet ja millega tunnistatakse kehtetuks määrus (EÜ) nr 1781/2006 (ELT L 141, 05.06.2015, lk 1–18), artikli 3 punktis 9 sätestatud tunnusele ja mille rahalise kohustuse summa ületab 1000 eurot, sõltumata sellest, kas rahaline kohustus täidetakse ühe maksena või mitme omavahel seotud maksena kuni ühekuuse perioodi jooksul.

  (5) Kohustatud isik kohaldab käesoleva seaduse § 20 lõike 1 punktides 1–5 nimetatud hoolsusmeetmeid iga kord enne ärisuhte loomist või ärisuhte väliselt enne tehingu tegemist, kui käesolevas seaduses ei ole sätestatud teisiti.

  (6) Kui hoolsusmeetmete kohaldamise kohustus sõltub teatud summa ületamisest, tuleb hoolsusmeetmeid kohaldada kohe, kui selle summa ületamine on teada, või kui summa ületamine sõltub mitme omavahel seotud makse teostamisest, siis hetkest, kui see summa ületatakse.

  (7) Käesolevas peatükis sularaha kohta sätestatut kohaldatakse ka rahalise kohustuse täitmise korral väärismetalliga, mida arvestatakse kangide või muude ühikutena.

§ 20.  Hoolsusmeetmed

  (1) Kohustatud isik kohaldab järgmisi hoolsusmeetmeid:
  1) kliendi või juhuti tehtavas tehingus osaleva isiku isikusamasuse tuvastamine ning esitatud teabe kontrollimine usaldusväärsest ja sõltumatust allikast hangitud teabe põhjal, sealhulgas e-identimise ja e-tehingute usaldusteenuste vahendite abil;
  2) kliendi või juhuti tehtavas tehingus osaleva isiku esindaja isikusamasuse ja esindusõiguse tuvastamine ning kontrollimine;
  3) tegeliku kasusaaja tuvastamine ja tema isikusamasuse kontrollimiseks meetmete võtmine ulatuses, mis võimaldab kohustatud isikul veenduda selles, et ta teab, kes on tegelik kasusaaja, ja saab aru kliendi või juhuti tehtavas tehingus osaleva isiku omandi- ja kontrollistruktuurist;
  4) ärisuhtest, juhuti tehtavast tehingust või toimingust arusaamine ja asjakohasel juhul selle kohta täiendava teabe kogumine;
  5) teabe hankimine asjaolu kohta, kas isik on riikliku taustaga isik, tema pereliige või tema lähedaseks kaastöötajaks peetav isik;
  6) ärisuhte seire.

  (2) Käesoleva paragrahvi lõike 1 punkti 4 rakendamisel peab kohustatud isik aru saama ärisuhte või juhuti tehtava tehingu eesmärgist, määrates muu hulgas kindlaks kliendi või juhuti tehingus osaleva isiku püsiva asu-, tegevus- või elukoha, kutse- või tegevusala, olulisemad tehingupartnerid, maksetavad ja juriidilise isiku puhul ka kogemuse.

  (3) Ärisuhte väliselt juhuti tehtava tehingu puhul kogub kohustatud isik käesoleva paragrahvi lõike 1 punkti 4 rakendamise asemel teavet tehingus kasutatud vara päritolu kohta.

  (4) Kohustatud isik kogub teavet kliendi rikkuse päritolu kohta, kui see on asjakohane.

  (5) Kohustatud isiku nõudmisel esitab majandus- või kutsetegevuses tehtavas tehingus või ametitoimingus osalev isik või ametiteenust kasutav isik või klient käesoleva paragrahvi lõigetes 1–4 nimetatud hoolsusmeetmete kohaldamiseks vajalikud dokumendid ja annab asjakohast teavet. Kohustatud isiku nõudmisel kinnitab majandus- või kutsetegevuses tehtavas tehingus või ametitoimingus osalev isik või ametiteenust kasutav isik või klient hoolsusmeetmete kohaldamiseks esitatud teabe ja dokumentide õigsust oma allkirjaga.

  (6) Kohustatud isik rakendab kliendi suhtes kõiki käesoleva paragrahvi lõikes 1 sätestatud hoolsusmeetmeid, kuid määrab nende kohaldamise ulatuse ja täpse viisi ning käesoleva paragrahvi lõigetes 3 ja 4 nimetatud vajaduse, lähtudes varem hinnatud või konkreetse ärisuhtega või juhuti tehtava tehingu, toimingu või isikuga seonduvatest rahapesu ja terrorismi rahastamise riskidest. Kohustatud isiku hoolsusmeetmete kohaldamise hindamisel arvestatakse võlaõigusseaduses sätestatud mõistlikkuse põhimõtet.

  (7) Käesoleva paragrahvi lõikes 6 nimetatud kliendiga seotud konkreetsete riskide hindamisel määrab kohustatud isik käesoleva seaduse § 14 lõike 1 punkti 2 alusel kliendi või tehingus osaleva isiku riskiprofiili, võttes arvesse § 13 alusel koostatud riskihinnangut ja vähemalt järgmisi asjaolusid:
  1) teave, mis kohustatud isik on käesoleva paragrahvi lõike 1 punkti 4 rakendamisel kogunud;
  2) kliendi hoiustatava vara maht või tehingu või ametitoimingu käigus tehtavate tehingute varaline maht;
  3) ärisuhte eeldatav kestus.

  (8) Kohustatud isik tagab, et tema kohaldatavad hoolsusmeetmed, mis on määratud tema protseduurireeglites, on vastavuses tema riskihinnanguga ning et ta on valmis neid pädevale järelevalveasutusele, sealhulgas andmekaitse järelevalveasutusele, selgitama.

§ 21.  Füüsilise isiku isikusamasuse tuvastamine, selle aluseks olevad dokumendid ja kliendi kohta kogutavad andmed

  (1) Kohustatud isik tuvastab kliendi ja asjakohasel juhul tema esindaja isikusamasuse ning säilitab isiku ja asjakohasel juhul tema esindaja kohta järgmised andmed:
  1) nimi;
  2) isikukood, selle puudumise korral sünniaeg ja -koht ning elu- või asukoht;
  3) teave esindusõiguse ja selle ulatuse tuvastamise ja kontrollimise kohta, ning kui esindusõigus ei tulene seadusest, siis esindusõiguse aluseks oleva dokumendi nimetus, väljaandmise kuupäev ja väljaandja nimi või nimetus.

  (2) Kohustatud isik veendub käesoleva paragrahvi lõike 1 punktides 1 ja 2 nimetatud andmete õigsuses, kasutades selleks usaldusväärsest ja sõltumatust allikast pärit teavet. Kui tuvastataval isikul on käesoleva paragrahvi lõikes 3 nimetatud kehtiv dokument või selle dokumendiga võrdsustatud dokument ning tema isikusamasus tuvastatakse ja seda kontrollitakse nimetatud dokumendi alusel või e-identimise ja e-tehingute usaldusteenuste vahendite abil ning dokumendi kehtivus nähtub sellest dokumendist või on kindlaks tehtav e-identimise ja e-tehingute usaldusteenuste vahendite abil, siis lisaandmeid dokumendi kohta säilitama ei pea.

  (3) Kohustatud isik tuvastab füüsilise isiku isikusamasuse järgmiste dokumentide alusel:
  1) isikut tõendavate dokumentide seaduse § 2 lõikes 2 nimetatud dokument;
  2) välisriigis välja antud kehtiv reisidokument;
  3) isikut tõendavate dokumentide seaduse § 4 lõikes 1 sätestatud tingimustele vastav juhiluba või
  4) alla 7-aastase isiku puhul perekonnaseisutoimingute seaduse §-s 30 nimetatud sünnitõend.

  (4) Kui käesoleva paragrahvi lõikes 3 nimetatud originaaldokumenti ei ole võimalik näha, võib kasutada isikusamasuse kontrollimiseks notariaalselt tõestatud või notariaalselt või ametlikult kinnitatud lõikes 3 nimetatud dokumenti või muud usaldusväärsest ja sõltumatust allikast pärit teavet, sealhulgas e-identimise ja e-tehingute usaldusteenuste vahendeid, kasutades sel juhul andmete kontrollimiseks vähemalt kahte erinevat allikat.

§ 22.  Juriidilise isiku isikusamasuse tuvastamine, selle aluseks olevad dokumendid ja kliendi kohta kogutavad andmed

  (1) Kohustatud isik tuvastab Eestis registreeritud juriidilise isiku ja Eestis registreeritud välisriigi äriühingu filiaali ning välisriigi juriidilise isiku isikusamasuse ja säilitab tema kohta järgmised andmed:
  1) juriidilise isiku ärinimi või nimi;
  2) registrikood või registreerimisnumber ja -aeg;
  3) juhataja nimi või juhatuse liikmete või muu seda asendava organi liikmete nimed ja nende volitused juriidilise isiku esindamisel;
  4) juriidilise isiku sidevahendite andmed.

  (2) Kohustatud isik veendub käesoleva paragrahvi lõike 1 punktides 1 ja 2 nimetatud andmete õigsuses, kasutades selleks usaldusväärsest ja sõltumatust allikast pärit teavet. Kui kohustatud isikul on ligipääs äriregistri, mittetulundusühingute ja sihtasutuste registri või välisriigi asjakohaste registrite andmetele arvutivõrgu kaudu, ei pea käesoleva paragrahvi lõikes 3 nimetatud dokumentide esitamist kliendilt nõudma.

  (3) Kohustatud isik tuvastab juriidilise isiku isikusamasuse järgmiste dokumentide alusel:
  1) asjakohase registri registrikaart;
  2) asjakohase registri registreerimistunnistus või
  3) käesoleva lõike punktis 1 või 2 nimetatud dokumendiga võrdväärne dokument.

  (4) Kui käesoleva paragrahvi lõikes 3 nimetatud originaaldokumenti ei ole võimalik näha, võib kasutada isikusamasuse kontrollimiseks notariaalselt tõestatud või notariaalselt või ametlikult kinnitatud lõikes 3 nimetatud dokumenti või muud usaldusväärsest ja sõltumatust allikast pärit teavet, sealhulgas e-identimise ja e-tehingute usaldusteenuste vahendeid, kasutades sel juhul andmete kontrollimiseks vähemalt kahte erinevat allikat.

  (5) Välisriigi juriidilise isiku esindaja peab kohustatud isiku nõudel esitama oma volitusi tõendava notariaalselt või sellega võrdsustatud korras kinnitatud dokumendi, mis on legaliseeritud või kinnitatud legaliseerimist asendava tunnistusega (apostilliga), kui välislepingust ei tulene teisiti.

§ 23.  Ärisuhte seire

  (1) Kohustatud isik kehtestab käesoleva seaduse § 14 rakendamisel majandus-, kutse- või ametitegevuses loodud ärisuhte jälgimise (edaspidi ärisuhte seire) põhimõtted.

  (2) Ärisuhte seire peab hõlmama vähemalt järgmist:
  1) ärisuhtes tehtud tehingute kontroll, tagamaks, et tehingud on kooskõlas kohustatud isiku teadmistega kliendist, tema tegevusest ja riskiprofiilist;
  2) hoolsusmeetmete kohaldamise käigus kogutud asjaomaste dokumentide, andmete või teabe regulaarne ajakohastamine;
  3) tehingus kasutatud vahendite allika ja päritolu tuvastamine;
  4) majandus-, kutse- või ametitegevuses suurema tähelepanu pööramine ärisuhtes tehtavatele tehingutele, kliendi tegevusele ja asjaoludele, mis viitavad kuritegelikule tegevusele, rahapesule või terrorismi rahastamisele või mille seotus rahapesu või terrorismi rahastamisega on tõenäoline, sealhulgas keerukatele, suure väärtusega ja ebatavalistele tehingutele ja tehingumustritele, millel ei ole mõistlikku või nähtavat majanduslikku või õiguspärast eesmärki või mis ei ole konkreetse ärispetsiifika jaoks iseloomulik;
  5) majandus-, kutse- või ametitegevuses suurema tähelepanu pööramine ärisuhtele või tehingule, kui klient on pärit suure riskiga kolmandast riigist või käesoleva seaduse § 37 lõikes 4 nimetatud riigist või territooriumilt või tal on nimetatud riigi kodakondsus või tema elu- või asukoht või makse saaja makseteenuse pakkuja asukoht on nimetatud riigis või territooriumil.

  (3) Käesoleva paragrahvi lõike 2 punktis 4 sätestatud kohustuse täitmisel tuleb muu hulgas välja selgitada nende tehingute olemus, põhjus ja taust, samuti muu teave tehingute sisu mõistmiseks, ning nendele tehingutele suuremat tähelepanu pöörata.

2. jagu Hoolsusmeetmete kohaldamise erisused 

§ 24.  Teise isiku kogutud andmetele tuginemine ja hoolsusmeetmete kohaldamise edasiandmine

  (1) Kohustatud isik võib käesoleva seaduse § 20 lõike 1 punktides 1–4 sätestatud ühe või mitme kohustuse osalisel või täielikul täitmisel tugineda teise isiku kogutud andmetele ja dokumentidele, kui on täidetud kõik järgmised tingimused:
  1) kohustatud isik kogub teiselt isikult vähemalt teavet, et teada, kes on ärisuhet loov või tehingut tegev isik, tema esindaja ja tegelik kasusaaja ning mis on ärisuhte või tehingu eesmärk ja olemus;
  2) kohustatud isik on taganud, et ta saab vajaduse korral viivitamata kätte kõik andmed ja dokumendid, mille puhul tugineti teise isiku kogutud andmetele;
  3) kohustatud isik on teinud kindlaks, et teine isik, kellele tuginetakse, on ise kohustatud täitma ja täidab tegelikkuses Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärseid nõudeid, sealhulgas hoolsusmeetmete kohaldamise, riikliku taustaga isiku tuvastamise ja andmete säilitamise nõudeid, ning on või on valmis olema nõuete täitmise osas riikliku järelevalve all;
  4) kohustatud isik võtab piisavaid meetmeid, et tagada käesoleva lõike punktis 3 sätestatud tingimuste täitmine.

  (2) Lisaks käesoleva paragrahvi lõikes 1 sätestatule võib kohustatud isik käesoleva seaduse § 20 lõike 1 punktide 1–4 rakendamisega seotud tegevuse ka edasi anda:
  1) teisele kohustatud isikule;
  2) organisatsioonile, ühendusele või liidule, mille liikmeks on kohustatud isikud, või
  3) muule isikule, kes kohaldab käesolevas seaduses sätestatud hoolsusmeetmeid ja andmete säilitamise nõudeid ning kes on või on valmis olema nõuete täitmise osas Euroopa Majanduspiirkonna lepinguriigis rahapesu tõkestamise alase või finantsjärelevalve all.

  (3) Tegevuse edasiandmiseks sõlmib kohustatud isik käesoleva paragrahvi lõikes 2 nimetatud isikuga kirjaliku lepingu. Lepinguga tagatakse:
  1) et tegevuse edasiandmine ei takista kohustatud isiku tegevust ega käesolevas seaduses sätestatud kohustuste täitmist;
  2) et kolmas isik täidab kõiki kohustatud isiku kohustusi, mis tegevuse edasiandmisega seonduvad;
  3) et tegevuse edasiandmine ei takista kohustatud isiku üle järelevalve tegemist;
  4) et pädeval järelevalveasutusel on võimalik kohustatud isiku kaudu teha järelevalvet edasiantud tegevust teostava isiku üle, sealhulgas kohapealse kontrolli või muu järelevalvemeetme kaudu;
  5) käesoleva paragrahvi lõikes 2 nimetatud isikul vajalike teadmiste ja oskuste olemasolu ning võime täita käesolevas seaduses sätestatud nõudeid;
  6) kohustatud isiku õigus piiranguteta kontrollida käesolevas seaduses sätestatud nõuete täitmist;
  7) käesolevast seadusest tulenevate nõuete täitmiseks kogutavate dokumentide ja andmete säilitamine ning kohustatud isiku nõudmisel kliendi ja tema tegeliku kasusaaja tuvastamisega seotud dokumentide või muude asjakohaste dokumentide koopiate viivitamatu üleandmine või pädevale asutusele esitamine.

  (4) Teave edasiandmise lepingu sõlmimisest ja ülesütlemisest tehakse eelnevalt pädevale järelevalveasutusele kättesaadavaks. Teabe edastamisel märgib kohustatud isik muu hulgas edasiantud tegevuse ulatuse. Pädeva järelevalveasutuse nõudmisel esitab kohustatud isik tegevuse edasiandmise lepingu.

  (5) Olukorras, kus kohustatud isik tugineb või annab tegevuse edasi kontserni kuuluvale isikule, kes on asutatud riigis, kus kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärseid nõudeid, sealhulgas hoolsusmeetmete kohaldamise, riikliku taustaga isiku tuvastamise ja andmete säilitamise nõudeid, ja kus kontserni üle tehakse grupipõhist järelevalvet, ei pea kohaldama käesoleva paragrahvi lõike 1 punktis 3 ja lõike 3 punktis 5 sätestatud nõuet.

  (6) Kohustatud isikul on keelatud tugineda või tegevusi edasi anda sellisele isikule, kes on asutatud suure riskiga kolmandas riigis.

  (7) Käesolevast seadusest tulenevate nõuete täitmise eest vastutab teise isiku kogutud andmetele tuginev või tegevuse edasi andnud kohustatud isik.

§ 25.  Krediidiasutuse ja finantseerimisasutuse ning Eesti Panga kohaldatavate hoolsusmeetmete erisused

  (1) Krediidiasutus ja finantseerimisasutus ei tohi osutada teenuseid, mida on võimalik kasutada ilma tehingus osalevat isikut tuvastamata ja esitatud teavet kontrollimata, välja arvatud käesoleva seaduse §-s 27 nimetatud juhtudel. Krediidiasutus ja finantseerimisasutus on kohustatud konto avama ning kontot pidama kontoomaniku nimel.

  (2) Krediidiasutusel ja finantseerimisasutusel on keelatud sõlmida lepingut või teha otsust anonüümse konto või hoiuraamatu avamise kohta. Keeldu rikkuv tehing on tühine.

  (3) Eesti Pank kohaldab käesoleva seaduse § 20 lõike 1 punktides 1–4 nimetatud hoolsusmeetmeid.

  (4) Eesti Pank kohaldab käesoleva seaduse § 20 lõike 1 punktides 1–4 nimetatud hoolsusmeetmeid alati, kui on kahtlus isikusamasuse tuvastamise ja esitatud teabe kontrollimise või asjakohaste andmete ajakohastamise käigus varem kogutud dokumentide või andmete piisavuses või tõelevastavuses, ning rahapesu või terrorismi rahastamise kahtluse korral.

§ 26.  Elukindlustusele rakendatavad hoolsusmeetmed

  (1) Krediidiasutus ja finantseerimisasutus rakendab elukindlustuse puhul käesoleva seaduse §-s 20 nimetatud hoolsusmeetmeid järgmiste erisustega:
  1) kindlustuslepingus määratud soodustatud isiku nimi tehakse kindlaks kohe pärast selle isiku määramist või sellest isikust teadasaamist;
  2) kui soodustatud isikut ei määrata nimeliselt, vaid teatud tunnuste alusel või muul viisil, siis tuleb selliselt määratud isikute ringi kohta koguda piisavalt andmeid, et oleks tõendatud, et väljamakse tegemise ajal suudetakse soodustatud isiku isikusamasus tuvastada.

  (2) Käesoleva paragrahvi lõikes 1 sätestatu puhul kontrollitakse soodustatud isiku isikusamasust väljamakse tegemise ajal.

  (3) Kui kindlustusvõtja annab kokkuleppel kohustatud isikuga üle oma elukindlustuslepingust tulenevad õigused ja kohustused kolmandale isikule, peab kohustatud isik lepingu üleandmise hetkel tuvastama lepingu ülevõtja isiku.

§ 27.  Piiratud kasutusega kontode suhtes kohaldatavad hoolsusmeetmed

  (1) Erandina võib krediidiasutus, finantseerimisasutus või väärtpaberite keskdepositoorium avada konto, sealhulgas väärtpaberikonto enne käesoleva seaduse § 20 lõike 1 punktides 1–3 nimetatud hoolsusmeetmete kohaldamist, kui kliendi poolt ega tema nimel ei ole võimalik teha kontol oleva varaga tehinguid kuni § 20 lõike 1 punktides 1–3 nimetatud hoolsusmeetmete täieliku kohaldamiseni, tehes seda esimesel mõistlikul võimalusel.

  (2) Krediidiasutus võib asutatava äriühingu nimele avada konto äriseadustiku § 67 lõike 4 punkti 1 alusel kehtestatud korras registripidaja poolt arvutivõrgu kaudu automaatselt kontrollitud isikuandmetele tuginedes või äriseadustiku § 520 lõike 4 alusel volitatud notari kaudu tingimusel, et nimetatud kontole tehakse osa- või aktsiakapitali sissemakse konto kaudu, mis on avatud Euroopa Majanduspiirkonna lepinguriigis tegutsevas krediidiasutuses või lepinguriigis avatud välisriigi krediidiasutuse filiaalis, ja kontot ei debiteerita enne äriühingu Eesti äriregistrisse kandmist ning käesoleva seaduse § 20 lõike 1 punktides 1–4 nimetatud hoolsusmeetmete kohaldamist. Äriühingu esindajad peavad krediidiasutusel võimaldama hoolsusmeetmete kohaldamist ja sõlmima selle konto kohta arvelduslepingu kuue kuu jooksul konto avamisest arvates.

§ 28.  Usaldusfondi ja muu juriidilise isiku staatust mitteomava isikute ühenduse suhtes kohaldatavad hoolsusmeetmed

  Lisaks käesoleva seaduse § 21 lõikes 1 nimetatud hoolsusmeetmetele kogub krediidiasutus või finantseerimisasutus usaldusfondi või muu juriidilise isiku staatust mitteomava isikute ühenduse soodustatud isikute puhul, kes on määratud teatavate omaduste või liigi järgi, piisavalt teavet, et olla kindel, et ta suudab väljamakse tegemise ajal või siis, kui soodustatud isik kasutab oma õigusi, tuvastada soodustatud isiku isikusamasuse.

§ 29.  Mittetulundusühingu ja sihtasutuse kohaldatavad hoolsusmeetmed

  (1) Käesoleva seaduse § 2 lõikes 3 nimetatud isikud kohaldavad § 20 lõike 1 punktides 1–4 nimetatud hoolsusmeetmeid.

  (2) Käesoleva seaduse § 2 lõikes 3 nimetatud isikud kohaldavad § 20 lõike 1 punktides 1–4 nimetatud hoolsusmeetmeid alati, kui on kahtlus isikusamasuse tuvastamise ja esitatud teabe kontrollimise või asjakohaste andmete ajakohastamise käigus varem kogutud dokumentide või andmete piisavuses või tõelevastavuses, ning rahapesu või terrorismi rahastamise kahtluse korral.

§ 30.  Õigusteenuse osutaja kohaldatavate hoolsusmeetmete erisused

  (1) Kui isikusamasust tuvastab ja muid hoolsusmeetmeid kohaldab notar, lähtutakse tõestamisseadusest ja notariaadiseadusest, arvestades käesolevast seadusest tulenevaid erisusi.

  (2) Notar, kohtutäitur, pankrotihaldur, audiitor, advokaat ja muu õigusteenuse osutaja võivad kliendi, juhuti tehingus osaleva isiku ja tegeliku kasusaaja isikusamasust tuvastada ja esitatud teavet kontrollida ärisuhte loomise või tehingu tegemise ajal, kui see on vajalik, et kutsetegevuse tavapärast käiku mitte katkestada, ja kui rahapesu või terrorismi rahastamise risk on väike.

  (3) Käesoleva paragrahvi lõikes 2 nimetatud juhul tuleb hoolsusmeetmete kohaldamine lõpule viia võimalikult kiiresti pärast esmakontakti ja enne siduvate toimingute tegemist.

§ 31.  Isikusamasuse tuvastamine ja andmete kontrollimine infotehnoloogiliste vahendite abil

  (1) Isikusamasuse tuvastamine ja andmete kontrollimine infotehnoloogiliste vahendite abil on kohustuslik krediidiasutusele ning finantseerimisasutusele, kui ärisuhe luuakse e-residendiga või isikuga, kes on pärit Euroopa Majanduspiirkonna välisest riigist või kelle elu- või asukoht on sellises riigis, ning kui hoolsusmeetmeid ei kohaldata isiku või tema esindajaga samas kohas viibides.

  (2) Isikusamasuse tuvastamine ja andmete kontrollimine infotehnoloogiliste vahendite abil on kohustuslik krediidiasutusele ning finantseerimisasutusele, kui ärisuhe luuakse isikuga, kes on pärit Euroopa Majanduspiirkonna lepinguriigist või kelle elu- või asukoht on sellises riigis ning kelle tehinguga või teenuse osutamise lepinguga seotud väljaminevate maksete kogusumma ühes kalendrikuus ületab füüsilisest isikust kliendi puhul 15 000 eurot ja juriidilisest isikust kliendi puhul 25 000 eurot, ning kui hoolsusmeetmeid ei kohaldata isiku või tema esindajaga samas kohas viibides.

  (3) Infotehnoloogiliste vahendite abil isikusamasuse tuvastamiseks ja andmete kontrollimiseks kasutatakse Eesti Vabariigi välja antud digitaalseks isiku tõendamiseks ette nähtud dokumenti või muud kõrge usaldusväärsuse tasemega e-identimise süsteemi, mis on kantud Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114) artikli 9 alusel Euroopa Liidu Teatajas avaldatud nimekirja.

  (4) Kui isik on välisriigi kodanik, tuleb lisaks käesoleva paragrahvi lõikes 3 nimetatule kasutada isikusamasuse tuvastamisel ja andmete kontrollimisel samaaegselt ka välisriigi pädeva asutuse välja antud isikut tõendavat dokumenti.

  (5) Isikusamasuse tuvastamiseks ja andmete kontrollimiseks kasutatakse lisaks usaldusväärsest ja sõltumatust allikast pärit teavet. Krediidiasutusel ja finantseerimisasutusel on õigus e-residendi isikusamasuse tuvastamiseks ning andmete kontrollimiseks kasutada isikut tõendavate dokumentide andmekogusse kantud isiku tuvastamise andmeid.

  (6) Infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja andmete kontrollimise tehnilised nõuded ja korra kehtestab valdkonna eest vastutav minister määrusega.

  (7) Käesoleva paragrahvi lõikes 6 nimetatud määrus täpsustab vähemalt teabe avaldamise nõudeid, ärisuhte loomisel ja juhuti tehingu tegemisel rakendatavaid protseduurireegleid, nõudeid tehingu osapoolte tahteavaldustega seotud tegevustele, ankeetküsitluste ning ärisuhte loomisel kohustusliku protseduurireeglina läbiviidava reaalajas intervjuu korraldamist, isiku foto töötlemise tingimusi, samuti sooritatud protseduure sünkroniseeritud heli ja kujutisega kajastava infovoo kvaliteedi ning salvestamise ja salvestise taasesitatavuse nõudeid ning määruses võib kehtestada käesoleva seaduse §-s 11 nimetatud riikliku riskihinnangu alusel käesoleva paragrahvi lõikes 2 nimetatud piirmääradest erinevad piirmäärad olukordadele, kus võib käesolevas paragrahvis sätestatu kohaldamata jätta.

3. jagu Hoolsusmeetmete kohaldamise lihtsustatud kord 

§ 32.  Hoolsusmeetmete kohaldamine lihtsustatud korras

  (1) Kohustatud isik võib kohaldada hoolsusmeetmeid lihtsustatud korras, kui käesoleva seaduse § 20 lõike 7 alusel ning §-dele 11, 13 ja 34 tuginedes koostatud riskihinnangus on tuvastatud, et selle majandus- või kutsetegevuse, valdkonna või asjaolude korral on tegemist tavapärasest madalama rahapesu või terrorismi rahastamise riskiga olukorraga.

  (2) Enne kliendi suhtes hoolsusmeetmete lihtsustatud korras kohaldamist teeb kohustatud isik kindlaks, et ärisuhe, tehing või toiming on väiksema riskiga, ning krediidiasutus ja finantseerimisasutus määravad sellisele tehingule, toimingule või kliendile tavapärasest madalama riskiastme.

  (3) Hoolsusmeetmete lihtsustatud korras kohaldamine on lubatud ulatuses, milles kohustatud isik tagab tehingute, toimingute ja ärisuhete piisava jälgimise, et oleks võimalik tuvastada ebatavalised tehingud ning võimaldada kahtlastest tehingutest teatamine käesoleva seaduse §-s 49 sätestatud korras.

§ 33.  Hoolsusmeetmete lihtsustatud korras kohaldamise tingimused

  (1) Käesoleva seaduse § 20 lõike 1 punktide 1 ja 2 lihtsustatud korras rakendamisel võib kliendi või tema esindaja isikusamasust kontrollida usaldusväärsest ja sõltumatust allikast hangitud teabe põhjal ka ärisuhte loomise ajal, kui seda on vaja, et äritegevuse tavapärast käiku mitte häirida. Sellisel juhul tuleb isikusamasuse kontrollimine lõpule viia võimalikult kiiresti ning enne siduvate toimingute tegemist.

  (2) Käesoleva seaduse § 20 lõike 1 punktide 3–5 lihtsustatud korras rakendamisel võib kohustatud isik valida kohustuse täitmise ulatuse ning selleks kasutatud teabe allika ja andmete usaldusväärsest ja sõltumatust allikast kontrollimise vajaduse.

  (3) Käesoleva seaduse § 20 lõike 1 punkti 6 võib lihtsustatud korras kohaldada, kui on tuvastatud väiksemat riski iseloomustav asjaolu ning kui on täidetud vähemalt järgmised tingimused:
  1) kliendiga on sõlmitud kirjalikus, elektroonilises või kirjalikku taasesitamist võimaldavas vormis kestvusleping;
  2) kohustatud isikule laekuvad ärisuhte raames maksed ainult konto kaudu, mis asub Eestis äriregistrisse kantud krediidiasutuses või välisriigi krediidiasutuse filiaalis või krediidiasutuses, mis on asutatud või mille tegevuskoht on Euroopa Majanduspiirkonna lepinguriigis või riigis, kus kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärseid nõudeid;
  3) ärisuhtes tehtavate tehingute sissetulevate või väljaminevate maksete koguväärtus aastas ei ületa 15 000 eurot.

§ 34.  Väiksemat riski iseloomustavad asjaolud

  (1) Enne hoolsusmeetmete lihtsustatud korras kohaldamist võetakse arvesse väiksemale riskile viitavaid asjaolusid ja kohustatud isik määrab kindlaks, kas neid asjaolusid rakendatakse kogumis, osaliselt või eraldi alustena.

  (2) Käesoleva paragrahvi lõike 1 kohaselt väiksemale riskile viitavate asjaolude hindamisel arvestatakse kliendi isikuga seotud riske vähendava asjaoluna vähemalt olukorda, kus klient on:
  1) reguleeritud turul noteeritud äriühing, kelle suhtes kohaldatakse avalikustamiskohustusi, millega on kehtestatud nõuded, et tagada tegeliku kasusaaja puhul piisav läbipaistvus;
  2) Eestis asutatud avalik-õiguslik juriidiline isik;
  3) Eesti või Euroopa Majanduspiirkonna lepinguriigi valitsusasutus või muu avalikke ülesandeid täitev asutus;
  4) Euroopa Liidu asutus;
  5) enda nimel tegutsev krediidiasutus või finantseerimisasutus, Euroopa Majanduspiirkonna lepinguriigis või kolmandas riigis asuv krediidiasutus või finantseerimisasutus, kelle kohta kehtivad tema asukohariigis Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärsed nõuded, mille täitmise üle tehakse riiklikku järelevalvet;
  6) isik, kes on käesoleva paragrahvi lõike 3 punktides 1–4 nimetatud tunnustele vastava riigi või geograafilise piirkonna resident.

  (3) Käesoleva paragrahvi lõike 1 kohaselt väiksemale riskile viitavate asjaolude hindamisel võib geograafiliseks riske vähendavaks asjaoluks lugeda vähemalt selliseid olukordi, kus klient on pärit järgmisest riigist või tema elu- või asukoht on järgmises riigis:
  1) Euroopa Majanduspiirkonna lepinguriigis;
  2) kolmandas riigis, kus on tõhusad rahapesu ja terrorismi rahastamise tõkestamise süsteemid;
  3) kolmandas riigis, kus usaldusväärsete allikate kohaselt on korruptsiooni ja muu kuritegeliku tegevuse tase madal;
  4) kolmandas riigis, kus usaldusväärsete allikate, nagu vastastikuste hindamiste, aruannete või avaldatud järelaruannete kohaselt on kehtestatud rahapesu ja terrorismi rahastamise tõkestamise nõuded, mis on kooskõlas rahapesu tõkestamise nõukoja (Financial Action Task Force) muudetud soovitustega, ning kus neid nõudeid tõhusalt rakendatakse.

§ 35.  Krediidi- ja finantseerimisasutuse poolt lihtsustatud hoolsusmeetmete kohaldamise erisused

  (1) Krediidiasutus ja finantseerimisasutus arvestab väiksemat riski iseloomustavate asjaolude tuvastamisel ja lihtsustatud hoolsusmeetmete valikul Euroopa järelevalveasutuste suuniseid riskitegurite kohta.

  (2) Käesoleva seaduse § 34 lõike 1 kohaselt väiksemale riskile viitavate asjaolude hindamisel võib toote, teenuse, tehingu või edastamiskanaliga seotud riske vähendavateks asjaoludeks lugeda vähemalt järgmisi asjaolusid:
  1) väikese kindlustusmaksega elukindlustuslepingut;
  2) pensioniskeemi kindlustuslepingut, kui see ei sisalda ennetähtaegse tagasiostmise valikuõigust ning seda ei saa kasutada tagatisena;
  3) töötajatele väljateenitud aastate pensioni või muid sarnaseid pensionihüvitisi võimaldavat skeemi, mille puhul kindlustusmaksed arvatakse palgast maha ja pensioniskeemi tingimused ei võimalda skeemis osaleja huvide üleandmist;
  4) finantstooteid või -teenuseid, mis pakuvad asjakohaselt kindlaksmääratud ja piiratud teenuseid teatavatele kliendirühmadele, et suurendada finantsteenuste kättesaadavust;
  5) tooteid, mille puhul juhitakse rahapesu ja terrorismi rahastamise riski muude teguritega, nagu rahalised piirmäärad lisaks käesoleva seaduse § 33 lõike 3 punktis 3 sätestatule või läbipaistvust tõstvad meetmed;
  6) maksekontoga seotud põhimakseteenuseid.

4. jagu Hoolsusmeetmete kohaldamise tugevdatud kord 

§ 36.  Hoolsusmeetmete kohaldamine tugevdatud korras

  (1) Kohustatud isik kohaldab hoolsusmeetmeid tugevdatud korras, et asjakohaselt juhtida ja maandada tavapärasest kõrgemat rahapesu ja terrorismi rahastamise riski.

  (2) Hoolsusmeetmeid kohaldatakse tugevdatud korras alati, kui:
  1) isikusamasuse tuvastamisel või esitatud teabe kontrollimisel on tekkinud kahtlus esitatud andmete tõelevastavuses või dokumentide ehtsuses või tegeliku kasusaaja tuvastamises;
  2) majandus- või kutsetegevuses tehtavas tehingus või ametitoimingus osalev isik, ametiteenust kasutav isik või klient on riikliku taustaga isik, välja arvatud kohalik riikliku taustaga isik, tema pereliige või lähedane kaastöötaja;
  3) majandus- või kutsetegevuses tehtavas tehingus või ametitoimingus osalev isik, ametiteenust kasutav isik või klient on pärit suure riskiga kolmandast riigist või tema elu- või asukoht või makse saaja makseteenuse pakkuja asukoht on suure riskiga kolmandas riigis;
  4) klient või tehingus osalev isik või ametiteenust kasutav isik on pärit sellisest riigist või territooriumilt või tema elu- või asukoht või makse saaja makseteenuse pakkuja asukoht on riigis või territooriumil, kus usaldusväärsete allikate, nagu vastastikuste hindamiste, aruannete või avaldatud järelaruannete kohaselt ei ole kehtestatud rahapesu ja terrorismi rahastamise tõkestamise tõhusaid süsteeme, mis on kooskõlas rahapesu tõkestamise nõukoja soovitustega, või mida loetakse madala maksumääraga territooriumiks.

  (3) Kohustatud isik kohaldab hoolsusmeetmeid tugevdatud korras ka siis, kui käesoleva seaduse § 20 lõike 6 alusel ning §-dele 11, 13 ja 37 tuginedes koostatud riskihinnangus on tuvastatud, et selle majandus- või kutsetegevuse, valdkonna või asjaolude korral on tegemist tavapärasest suurema rahapesu või terrorismi rahastamise riskiga olukorraga.

  (4) Hoolsusmeetmed võib tugevdatud korras kohaldamata jätta Euroopa Majanduspiirkonna lepinguriigis asutatud kohustatud isiku filiaali ja enamusosalusega tütarettevõtja suhtes, mis asub suure riskiga kolmandas riigis, kui see filiaal ja enamusosalusega tütarettevõtja järgivad täielikult kontserniüleseid protseduure kooskõlas käesoleva seaduse §-ga 15 ja kohustatud isik hindab, et hoolsusmeetmete tugevdatud korras kohaldamisest loobumisega ei kaasne olulisi täiendavaid rahapesu ja terrorismi rahastamise riske.

§ 37.  Suuremat riski iseloomustavad asjaolud

  (1) Lisaks käesoleva seaduse § 36 lõikes 2 nimetatud juhtudele võetakse hoolsusmeetmete tugevdatud korras kohaldamisel arvesse vähemalt käesoleva paragrahvi lõigetes 2–4 nimetatud suuremale rahapesu ja terrorismi rahastamise riskile viitavaid asjaolusid. Kohustatud isik määrab oma protseduurireeglites kindlaks, kas ta rakendab neid asjaolusid kogumis, osaliselt või eraldi alustena hoolsusmeetmete tugevdatud korras kohaldamiseks.

  (2) Käesoleva paragrahvi lõike 1 kohaselt suuremale riskile viitavate asjaolude hindamisel arvestatakse kliendi isikuga seotud riski suurendava asjaoluna eeskätt olukorda, kus:
  1) ärisuhe toimib ebatavalistel asjaoludel, sealhulgas keeruliste ja ebatavaliselt suuremahuliste tehingute ning ebatavaliste tehingumustrite korral, millel ei ole mõistlikku, selget majanduslikku või õiguspärast eesmärki või mis ei ole konkreetse ärispetsiifika jaoks iseloomulik;
  2) kliendiks on käesoleva paragrahvi lõikes 4 loetletud suurema riskiga geograafilise piirkonna resident;
  3) kliendiks on juriidiline isik või muu juriidilise isiku staatust mitteomav isikute ühendus, mis tegeleb personaalse varahaldusega;
  4) kliendiks on suuri sularahakoguseid käitlev ettevõtja;
  5) kliendiks oleval või temaga seotud äriühingul on variaktsionärid või esitajaaktsiad;
  6) kliendiks oleva äriühingu omandistruktuur näib äriühingu tegevust silmas pidades ebatavaline või liiga keeruline.

  (3) Käesoleva paragrahvi lõike 1 kohaselt suuremale riskile viitavate asjaolude hindamisel arvestatakse toote, teenuse, tehingu või edastamiskanaliga seotud riski suurendava asjaoluna olukorda, kus on tegemist eeskätt:
  1) privaatpangandusega;
  2) toote pakkumise või tehingu tegemise või vahendamisega, mis võib soodustada anonüümsust;
  3) tundmatutelt või mitteseotud kolmandatelt isikutelt saadud maksetega;
  4) ärisuhte või tehinguga, mis luuakse või algatatakse viisil, mille puhul ei viibita kliendi, tema esindaja või tehingu poolega samas kohas ja ei kohaldata kaitseabinõuna käesoleva seaduse § 31 rakendamist;
  5) uute toodete ja uute äritavadega, sealhulgas uue edastamismehhanismi või uue või areneva tehnoloogia kasutamine nii uute kui ka olemasolevate toodete puhul.

  (4) Käesoleva paragrahvi lõike 1 kohaselt suuremale riskile viitavate asjaolude hindamisel arvestatakse geograafilist riski suurendava asjaoluna eeskätt olukorda, kus klient, tehingus osalev isik või tehing ise on seotud riigiga või jurisdiktsiooniga:
  1) kus usaldusväärsete allikate, nagu vastastikuste hindamiste, üksikasjaliku hindamise aruannete või avaldatud järelaruannete kohaselt ei ole kehtestatud rahapesu ja terrorismi rahastamise tõkestamise tõhusaid süsteeme;
  2) kus usaldusväärsete allikate kohaselt on korruptsiooni või muu kuritegeliku tegevuse tase märkimisväärne;
  3) mille suhtes on kehtestatud sanktsioonid, embargo või nendega sarnased meetmed, näiteks Euroopa Liidu või ÜRO poolt;
  4) mis rahastab või toetab terrorismi või mille territooriumil tegutsevad Euroopa Liidu või ÜRO poolt kindlaks määratud terroristlikud organisatsioonid.

  (5) Krediidiasutus ja finantseerimisasutus võtab tugevdatud hoolsusmeetme valikul lisaks käesoleva paragrahvi lõigetele 2–4 arvesse Euroopa järelevalveasutuste asjakohaseid suuniseid riskifaktorite kohta.

§ 38.  Täiendavad hoolsusmeetmed

  (1) Kohustatud isik valib täiendavad hoolsusmeetmed, et juhtida ja maandada tuvastatud tavapärasest kõrgemat rahapesu ja terrorismi rahastamise riski.

  (2) Käesoleva paragrahvi lõikes 1 sätestatud kohustuse täitmiseks võib kohustatud isik muu hulgas kohaldada ühte või mitut järgmistest hoolsusmeetmetest:
  1) isikusamasuse tuvastamisel täiendavalt esitatud teabe kontrollimine lisadokumentide, andmete või teabe põhjal, mis pärinevad usaldusväärsest ja sõltumatust allikast;
  2) täiendava teabe kogumine ärisuhte, tehingu või toimingu eesmärgi ja olemuse kohta ning esitatud teabe kontrollimine lisadokumentide, andmete või teabe põhjal, mis pärinevad usaldusväärsest ja sõltumatust allikast;
  3) täiendava teabe ja dokumentide kogumine ärisuhtes tehtavate tehingute tegeliku teostamise kohta, et välistada tehingute näilisus;
  4) täiendava teabe ja dokumentide kogumine ärisuhtes tehtavas tehingus kasutatavate vahendite allika ja päritolu tuvastamiseks, et välistada tehingute näilisus;
  5) tehinguga seotud esimese makse tegemine konto kaudu, mis on avatud tehingus osaleva isiku või kliendi nimel krediidiasutuses, mis on registreeritud või mille tegevuskoht on Euroopa Majanduspiirkonna lepinguriigis või riigis, kus kehtivad Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärsed nõuded;
  6) isiku või tema esindaja suhtes hoolsusmeetmete kohaldamine temaga samas kohas viibides.

  (3) Kohustatud isik peab hoolsusmeetmete tugevdatud korras kohaldamisel tavapärasest sagedamini kohaldama ärisuhte seiret, sealhulgas hiljemalt kuus kuud pärast ärisuhte loomist hindama uuesti kliendi riskiprofiili.

  (4) Krediidi- ja finantseerimisasutus võtab hoolsusmeetme valikul lisaks käesolevas paragrahvis sätestatule arvesse Euroopa järelevalveasutuste suuniseid riskifaktorite kohta.

§ 39.  Suure riskiga kolmandas riigis tegutseva füüsilise ja juriidilise isikuga tehtava tehingu puhul kohaldatavad tugevdatud hoolsusmeetmed

  (1) Kui kohustatud isik puutub oma majandus- või kutsetegevuses tehtava tehingu või ametitoimingus osaleva isiku, ametiteenust kasutava isiku või kliendi kaudu kokku suure riskiga kolmanda riigiga, kohaldab ta järgmisi hoolsusmeetmeid:
  1) lisateabe hankimine kliendi ja tema tegeliku kasusaaja kohta;
  2) lisateabe hankimine ärisuhte planeeritava sisu kohta;
  3) teabe hankimine kliendi ja tema tegeliku kasusaaja rahaliste vahendite ning rikkuse päritolu kohta;
  4) teabe hankimine planeeritud või teostatud tehingute põhjuste kohta;
  5) kõrgemalt juhtkonnalt loa saamine ärisuhte loomiseks või selle jätkamiseks;
  6) ärisuhte seire tõhustamine, suurendades kohaldatavate kontrollimeetmete arvu ja tihedust ning valides tehingute näitajad, mida täiendavalt kontrollitakse.

  (2) Lisaks käesoleva paragrahvi lõikes 1 sätestatule võib kohustatud isik nõuda kliendilt makse tegemist kliendi nimel olevalt kontolt Euroopa Majanduspiirkonna lepinguriigi või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärseid nõudeid rakendava kolmanda riigi krediidiasutusest.

  (3) Krediidiasutus või finantseerimisasutus rakendab lisaks käesoleva paragrahvi lõikes 1 sätestatule täiendavalt ühte või mitut järgmist hoolsusmeedet:
  1) oma filiaali või esinduse tegevuse lõpetamine suure riskiga kolmandas riigis;
  2) erakorralise auditi tegemine krediidiasutuse või finantseerimisasutuse suure riskiga kolmandas riigis asuvas tütarühingus või filiaalis;
  3) suure riskiga kolmanda riigi kohustatud isikuga korrespondentsuhte hindamine ja vajaduse korral lõpetamine.

§ 40.  Korrespondentsuhe kolmanda riigi krediidiasutusega

  (1) Krediidiasutus või finantseerimisasutus võtab piiriülese korrespondentsuhte korral kolmanda riigi respondentasutusega lisaks käesoleva seaduse § 20 lõikes 1 sätestatule kasutusele järgmised hoolsusmeetmed:
  1) piisava teabe kogumine respondentasutuse kohta, et täielikult mõista respondentasutuse tegevuse olemust ja teha avalikult kättesaadava teabe põhjal otsus asjaomase asutuse maine ning järelevalve kvaliteedi üle, sealhulgas uurides, kas asutuse suhtes on algatatud menetlusi seoses rahapesu ja terrorismi rahastamise tõkestamise õigusaktide rikkumisega;
  2) respondentasutuses rakendatavate rahapesu ja terrorismi rahastamise tõkestamise kontrollisüsteemide hindamine;
  3) kõrgemalt juhtkonnalt eelnevalt nõusoleku saamine uue korrespondentsuhte loomiseks;
  4) mõlema asutuse asjakohaste kohustuste dokumenteerimine;
  5) laiendatud kasutusõigusega kontode puhul selles veendumine, et respondentasutus on kontrollinud korrespondentasutuse kontodele otsest juurdepääsu omavate klientide isikusamasust, kohaldab nende suhtes pidevalt hoolsusmeetmeid ning suudab taotluse korral esitada asjakohased kliendi suhtes rakendatavad hoolsusmeetmed.

  (2) Krediidi- või finantseerimisasutus kui kohustatud isik, kes osutab teenust teisele krediidi- või finantseerimisasutusele käesoleva seaduse §-s 7 sätestatud korrespondentsuhtes, kus teenusest saavad kasu teenust saava krediidi- või finantseerimisasutuse kliendid (edaspidi lõplikult kasusaav klient), ei pea järgmiselt nimetatud tingimuste korral lõplikult kasusaavate klientide suhtes §-s 20 sätestatud hoolsusmeetmeid kohaldama, kui kohustatud isik:
  1) on teinud kindlaks, et kliendiks olev krediidi- või finantseerimisasutus on ise kohustatud kohaldama ja kohaldab tegelikkuses käesolevas seaduses sätestatud nõuetega võrdväärseid meetmeid, sealhulgas hoolsusmeetmete kohaldamise, riikliku taustaga isiku tuvastamise ja andmete säilitamise nõudeid, ning on finantsjärelevalve all;
  2) on teadlik, millise riskistruktuuriga on lõplikult kasusaavad kliendid, ning järgib, et selliselt kaasnev risk on kooskõlas kohustatud isiku riskiisuga;
  3) on lepinguga taganud, et saab vajaduse korral viivitamata kätte kõik andmed ja dokumendid, et tuvastada tehingust lõplikult kasusaav isik;
  4) võtab piisavaid meetmeid, et tagada käesoleva lõike punktis 1 sätestatud tingimuste täitmine.

  (3) Kohustatud isikul on keelatud käesoleva paragrahvi lõiget 2 kohaldada, kui kliendiks olev krediidi- või finantseerimisasutus on asutatud suure riskiga kolmandas riigis.

  (4) Käesolevast seadusest tulenevate nõuete täitmise eest vastutab käesoleva paragrahvi lõiget 2 kohaldav kohustatud isik.

§ 41.  Tehingud riikliku taustaga isikuga

  (1) Lisaks käesoleva seaduse § 20 lõikes 1 sätestatule kohaldab kohustatud isik olukorras, kus majandus- või kutsetegevuses tehtavas tehingus või ametitoimingus osalev isik, ametiteenust kasutav isik, klient või nende tegelik kasusaaja on riikliku taustaga isik, riikliku taustaga isiku pereliige või riikliku taustaga isiku lähedaseks kaastöötajaks peetav isik, järgmisi hoolsusmeetmeid:
  1) saab kõrgemalt juhtkonnalt heakskiidu selle isikuga ärisuhte loomiseks või jätkamiseks;
  2) rakendab meetmeid, et teha kindlaks selle isiku rikkuse päritolu ja nende rahaliste vahendite allikad, mida ärisuhtes või juhuti tehingute tegemisel kasutatakse;
  3) teeb selle ärisuhte seiret tugevdatud korras.

  (2) Lisaks käesoleva seaduse §-s 26 sätestatule teeb kohustatud isik hiljemalt väljamakse tegemisel kindlaks, kas elukindlustuslepingu soodustatud isik või tema tegelik kasusaaja on riikliku taustaga isik, riikliku taustaga isiku pereliige või tema lähedaseks kaastöötajaks peetav isik. Elukindlustuslepingu üleandmisel vastavalt käesoleva seaduse § 26 lõikes 3 sätestatule teeb kohustatud isik lepingu üleandmise hetkel kindlaks eelnimetatud asjaolud lepingu ülevõtja ja tema tegeliku kasusaaja kohta. Kui kohustatud isik tuvastab riikliku taustaga isiku, riikliku taustaga isiku pereliikme või riikliku taustaga isiku lähedaseks kaastöötajaks peetava isiku, rakendab ta lisaks käesoleva seaduse § 20 lõikes 1 sätestatule järgmisi hoolsusmeetmeid:
  1) kõrgema juhtkonna teavitamine enne kindlustuslepingukohaste väljamaksete tegemist;
  2) üksikasjalikult kogu ärisuhte kontrollimine.

  (3) Kui riikliku taustaga isik ei täida enam talle antud olulisi avalikke ülesandeid, peab kohustatud isik vähemalt 12 kuu jooksul võtma arvesse riske, mis on kõnealuse isikuga jätkuvalt seotud, ning rakendama asjakohaseid ja riskitundlikkusest lähtuvaid meetmeid seni, kuni on kindel, et riikliku taustaga isikutele omaseid riske kõnealuse isiku puhul enam ei esine.

  (4) Kohustatud isik võib käesolevas paragrahvis sätestatud hoolsusmeetmed jätta kohaldamata kohaliku riikliku taustaga isiku, tema pereliikme või tema lähedaseks kaastöötajaks peetava isiku suhtes, kui puuduvad muud tavapärasest kõrgemale riskile viitavad asjaolud.

5. jagu Hoolsusmeetmete kohaldamata jätmise tagajärjed 

§ 42.  Isiku, tema esindaja või tegeliku kasusaaja tuvastamise võimatuse tagajärjed

  (1) Kohustatud isikul on keelatud luua ärisuhet või võimaldada juhuti tehingu tegemist või seda lõpule viia, kui ta ei suuda täita käesoleva seaduse § 20 lõike 1 punktis 1, 2 või 3 sätestatud hoolsusmeetmeid või kui kohustatud isikul on rahapesu või terrorismi rahastamise kahtlus.

  (2) Kohustatud isikul on keelatud luua ärisuhet või teha tehingut isikuga, kelle kapitali moodustavad esitajaaktsiad või muud esitajaväärtpaberid.

  (3) Makseteenuse pakkujal on keelatud kliendi maksejuhist täita või rahalisi vahendeid kättesaadavaks teha, kui ta ei suuda täita käesoleva seaduse § 19 lõikes 4 sätestatud kohustust.

  (4) Kui käesoleva paragrahvi lõigetes 1–3 sätestatud olukorras on kohustatud isikul kliendiga ärisuhe, loetakse kliendi poolt hoolsusmeetmete rakendamiseks vajaliku teabe või dokumentide andmisest keeldumine oluliseks lepingu rikkumiseks ning kohustatud isikul on kohustus ärisuhte aluseks olev kestvusleping etteteatamistähtaega järgimata erakorraliselt üles öelda ja teavitada kliendiga seoses kahtlasest tehingust rahapesu andmebürood käesoleva seaduse §-s 49 sätestatud korras. Ärisuhe loetakse lõppenuks ülesütlemisteate esitamisega kliendile, mille järel piirab kohustatud isik teenuse osutamise kliendile täielikult.

  (5) Käesoleva paragrahvi lõigetes 1–3 sätestatud keeldu rikkuv kokkulepe on tühine.

  (6) Käesoleva paragrahvi lõigetes 1–5 sätestatut ei kohaldata, kui kohustatud isik on ärisuhte loomisest, tehingust või tehingu katsest teavitanud rahapesu andmebürood käesoleva seaduse §-s 49 sätestatud korras ja saanud rahapesu andmebüroolt konkreetse juhise ärisuhet, ärisuhte loomist või tehingu tegemist jätkata.

§ 43.  Teiste hoolsusmeetmete kohaldamata jätmise tagajärjed

  (1) Kohustatud isikul on õigus keelduda tehingu tegemisest, kui tehingus või ametitoimingus osalev isik, ametiteenust kasutav isik või klient, vaatamata sellekohasele nõudmisele, ei esita dokumente ja asjakohast teavet või tehingu objektiks oleva vara päritolu tõendavaid andmeid või dokumente või kui esitatud andmete ja dokumentide põhjal tekib kohustatud isikul kahtlus, et tegemist võib olla rahapesu või terrorismi rahastamisega või sellega seotud kuritegude toimepanemisega või sellise tegevuse katsega.

  (2) Kohustatud isikul on õigus ärisuhte aluseks olev kestvusleping etteteatamistähtaega järgimata erakorraliselt üles öelda:
  1) kui isiku e-residendi digitaalse isikutunnistuse väljaandmisest keeldutakse, selle kehtivus peatatakse või see tunnistatakse kehtetuks isikut tõendavate dokumentide seaduse § 206 lõikes 2 või 3 sätestatud alusel;
  2) käesoleva paragrahvi lõikes 1 nimetatud juhtudel.

  (3) Kui käesoleva paragrahvi lõikes 1 või 2 kirjeldatud tingimustel oleks tehingu tegemata jätmine võimatu või kui tehingu tegemata jätmine või ärisuhte lõpetamine võib takistada kahtlasest tehingust kasusaajate tabamiseks tehtavaid jõupingutusi, võib kohustatud isik tehingu siiski teha või ärisuhtega jätkata, teavitades rahapesu andmebürood kohe pärast tehingu tegemist või ärisuhte jätkamise otsustamist käesoleva seaduse §-s 49 sätestatud korras.

§ 44.  Kliendi vara edasikandmise piirangud

  (1) Kohustatud isik võib käesolevas jaos sätestatu rakendamisel kanda kliendi vara üksnes kontole, mis on avatud Eestis äriregistrisse kantud krediidiasutuses või välisriigi krediidiasutuse filiaalis või krediidiasutuses, mis on registreeritud või mille tegevuskoht on Euroopa Majanduspiirkonna lepinguriigis või riigis, kus kehtivad Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärsed nõuded. Erandjuhul võib vara kanda muule kui kliendi kontole, teavitades sellest rahapesu andmebürood vähemalt seitse tööpäeva ette ja tingimusel, et rahapesu andmebüroo ei anna teistsugust korraldust.

  (2) Käesoleva seaduse § 27 lõikes 2 sätestatud viisil asutatavale äriühingule konto avamise korral rakendatakse käesoleva paragrahvi lõikes 1 sätestatut, kui rahapesu andmebüroo ei ole käesoleva seaduse § 55 alusel tehtud ettekirjutusega teistsugust korda ette näinud. Käesoleva lõike rakendamisel ei kohaldata võlaõigusseaduse § 720 lõikes 6 sätestatut.

§ 45.  Erisused õigusteenuse osutamisel

  Käesolevas jaos sätestatut ei kohaldata notari, kohtutäituri, pankrotihalduri, audiitori, advokaadi ja muu õigusteenuse osutaja, raamatupidamisteenuse pakkuja ning raamatupidamise või maksustamise valdkonnas nõustamisteenuse pakkuja suhtes, kui kõnealused kohustatud isikud on seotud kliendi õigusliku seisundi hindamisega või ülesannete täitmisega kõnealuse kliendi kaitsja või esindajana kohtumenetluses või sellega seoses, sealhulgas seoses nõustamisega menetluse algatamise või vältimise asjus.

4. peatükk Andmete kogumine, säilitamine ja kaitse 

§ 46.  Andmete registreerimine

  (1) Kohustatud isik registreerib tehingu tegemise kuupäeva või ajavahemiku ja tehingu sisu kirjelduse.

  (2) Kohustatud isik registreerib lisaks lõikes 1 sätestatule:
  1) teabe kohustatud isiku poolt ärisuhte loomisest või juhuti tehingu tegemisest keeldumise asjaolude kohta;
  2) tehingus või ametitoimingus osaleva isiku, ametiteenust kasutava isiku või kliendi algatusel ärisuhte loomisest või tehingu, sealhulgas juhuti tehingu tegemisest loobumise asjaolud, kui loobumine on seotud kohustatud isiku poolt hoolsusmeetmete kohaldamisega;
  3) teabe, kui infotehnoloogiliste vahendite abil ei ole võimalik käesoleva seaduse § 20 lõikes 1 nimetatud hoolsusmeetmeid kohaldada;
  4) teabe ärisuhte lõpetamise asjaolude kohta seoses hoolsusmeetmete kohaldamise võimatusega;
  5) käesoleva seaduse §-st 49 tuleneva teatamiskohustuse aluseks oleva teabe;
  6) seltsingu, ühisuse või muu juriidilise isiku staatust mitteomava isikute ühenduse esindajaga või usaldusfondi või usaldusisikuga tehinguid tehes asjaolu, et isik omab sellist staatust, ning registrikaardi väljavõtte registrist või tõendi sellise registri pidajalt, kus juriidilise isiku staatust mitteomav isikute ühendus on registreeritud.

  (3) Krediidiasutus ja finantseerimisasutus ning väärtpaberite keskdepositoorium registreerivad tehingu kohta lisaks käesoleva paragrahvi lõikes 1 sätestatule järgmised andmed:
  1) konto avamisel konto tüübi, konto numbri ja vääringu ning väärtpaberite või muu vara olulised tunnused;
  2) vara hoiulevõtmisel deponeerimisnumbri ja vara turuhinna hoiulevõtmise päeval või vara täpse kirjelduse, kui nimetatud vara turuhinda ei ole võimalik määrata;
  3) panga hoiulaeka või seifi üürimisel ja kasutamisel hoiulaeka või seifi numbri;
  4) aktsiate, võlakirjade ja muude väärtpaberitega seotud väljamakse tegemisel väärtpaberite liigi, tehingu rahalise väärtuse, vääringu ja konto numbri;
  5) kindlustuslepingu sõlmimisel selle konto numbri, mida esimese preemiasumma ulatuses debiteeriti;
  6) kindlustuslepingu alusel väljamakse tegemisel selle konto numbri, mida väljamakse summa ulatuses krediteeriti;
  7) maksevahenduse korral andmed, mille edastamine on kohustuslik vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) nr 2015/847;
  8) muu tehingu puhul tehingu summa, vääringu ja konto numbri.

§ 47.  Andmete säilitamine

  (1) Kohustatud isik peab säilitama isikusamasuse tuvastamise ja esitatud teabe kontrollimise aluseks olevate käesoleva seaduse §-des 21, 22 ja 46 nimetatud dokumentide originaale või koopiaid ja ärisuhte loomise aluseks olevaid dokumente viis aastat pärast ärisuhte lõppemist.

  (2) Kohustatud isik peab säilitama käesoleva paragrahvi lõikes 1 nimetatud aja jooksul ka käesolevast seadusest tulenevate kohustuste täitmisega seotud kogu kirjavahetuse ning kõik ärisuhte seire käigus kogutud andmed ja dokumendid, samuti andmed kahtlaste või ebatavaliste tehingute või asjaolude kohta, millest rahapesu andmebürood ei teavitatud.

  (3) Kohustatud isik peab säilitama tehingu kohta koostatud dokumente mis tahes teabekandjal ning käesoleva seaduse §-s 49 nimetatud teatamiskohustuse aluseks olevaid dokumente ja andmeid vähemalt viis aastat pärast tehingu tegemist või teatamiskohustuse täitmist.

  (4) Kohustatud isik peab säilitama käesoleva paragrahvi lõigetes 1–3 nimetatud dokumente ja andmeid viisil, mis võimaldab ammendavalt ja viivitamata vastata rahapesu andmebüroo või vastavalt õigusaktidele teiste järelevalveasutuste, uurimisasutuste või kohtu päringutele, muu hulgas selle kohta, kas kohustatud isikul on või on eelmise viie aasta jooksul olnud ärisuhe päringus nimetatud isikuga ning milline on või oli selle suhte olemus.

  (5) Kui kohustatud isik teeb isikusamasuse tuvastamiseks päringu riigi infosüsteemi kuuluvasse andmekogusse, siis loetakse käesolevas paragrahvis sätestatud kohustused täidetuks, kui teave elektroonilise päringu tegemise kohta nimetatud registrisse on taasesitatav viie aasta jooksul pärast ärisuhte lõppemist või tehingu tegemist.

  (6) Kohustatud isik säilitab käesoleva seaduse § 31 rakendamisel digitaalseks isiku tõendamiseks ette nähtud dokumendi andmeid, teavet elektroonilise päringu tegemise kohta isikut tõendavate dokumentide andmekogusse ning isikusamasuse tuvastamise ja kontrollimise protseduuri heli- ja videosalvestist viis aastat pärast ärisuhte lõppemist.

  (7) Kohustatud isik kustutab käesoleva paragrahvi alusel säilitatud andmed pärast käesoleva paragrahvi lõigetes 1–6 nimetatud tähtaegade möödumist, kui asjaomast valdkonda reguleerivatest õigusaktidest ei tulene teistsugust korda. Pädeva järelevalveasutuse ettekirjutuse alusel võib rahapesu või terrorismi rahastamise tõkestamise, avastamise või uurimise seisukohast olulisi andmeid säilitada kauem, kuid mitte rohkem kui viis aastat pärast esmase tähtaja möödumist.

§ 48.  Isikuandmete kaitse

  (1) Kohustatud isik rakendab käesolevast seadusest tulenevate nõuete kohaldamisel kõiki isikuandmete kaitse reegleid.

  (2) Kohustatud isikul on lubatud käesoleva seaduse rakendamisel kogutud isikuandmeid töödelda üksnes rahapesu ja terrorismi rahastamise tõkestamise eesmärgil ning neid andmeid ei tohi täiendavalt töödelda viisil, mis ei vasta nimetatud eesmärgile, näiteks turunduslikel eesmärkidel.

  (3) Kohustatud isik esitab uutele klientidele enne nendega ärisuhte loomist või juhuti tehingu tegemist isikuandmete töötlemist puudutava teabe. Selle teabe hulgas esitatakse üldine teave kohustatud isiku käesolevast seadusest tulenevate kohustuste kohta isikuandmete töötlemisel rahapesu ja terrorismi rahastamise tõkestamise eesmärgil.

5. peatükk Tegevus rahapesu ja terrorismi rahastamise kahtluse korral 

§ 49.  Teatamiskohustus rahapesu ja terrorismi rahastamise kahtluse korral

  (1) Kui kohustatud isik tuvastab majandus- või kutsetegevuse, ametitoimingu või ametiteenuse osutamise käigus tegevuse või asjaolud, mille tunnused osutavad kuritegelikust tegevusest saadud tulu kasutamisele, terrorismi rahastamisele või sellega seotud kuritegude toimepanemisele või sellise tegevuse katsele või mille puhul tal on kahtlus või ta teab, et tegemist on rahapesu või terrorismi rahastamisega või sellega seotud kuritegude toimepanemisega, on ta kohustatud sellest viivitamata, kuid hiljemalt kaks tööpäeva pärast tegevuse või asjaolude tuvastamist või kahtluse tekkimist, teatama rahapesu andmebüroole.

  (2) Käesoleva paragrahvi lõiget 1 kohaldatakse ka juhul, kui ärisuhte loomine, tehing, toiming või teenuse osutamine jääb teostamata, ja käesoleva seaduse §-des 42 ja 43 nimetatud asjaolude esinemise korral.

  (3) Kohustatud isik, välja arvatud krediidiasutus, teatab rahapesu andmebüroole viivitamata, kuid hiljemalt kaks tööpäeva pärast tehingu tegemist, igast teatavaks saanud tehingust, kus rahaline kohustus suurusega üle 32 000 euro või sellega võrdväärne summa muus vääringus täidetakse sularahas, sõltumata sellest, kas tehing tehakse ühe maksena või mitme omavahel seotud maksena kuni üheaastase perioodi jooksul. Krediidiasutus teatab rahapesu andmebüroole viivitamata, kuid hiljemalt kaks tööpäeva pärast tehingu tegemist, igast valuutavahetuse tehingust sularahas summas üle 32 000 euro, kui krediidiasutusel ei ole tehingus osaleva isikuga ärisuhet.

  (4) Kohustatud isik esitab rahapesu andmebüroole vastavalt tema päringule viivitamata kogu olemasoleva teabe, mida rahapesu andmebüroo küsib.

  (5) Notarile, advokaadile, kohtutäiturile, pankrotihaldurile, ajutisele pankrotihaldurile ja muu õigusteenuse osutajale ega audiitorile, raamatupidamisteenuse pakkujale ja raamatupidamise või maksustamise valdkonnas nõustamisteenuse pakkujale ei kohaldata käesoleva paragrahvi lõigetest 1–4 tulenevat teatamiskohustust, kui ta hindab kliendi õiguslikku olukorda, kaitseb või esindab klienti kohtu-, vaide- või muus sellises menetluses, sealhulgas nõustab klienti menetluse alustamise või vältimise küsimuses, sõltumata sellest, kas teave on saadud enne menetlust, menetluse kestel või pärast menetlust.

  (6) Kui kohustatud isikul on kahtlus või ta teab, et tegemist on rahapesu või terrorismi rahastamisega või sellega seotud kuritegude toimepanemisega, tuleb tehingu või ametitoimingu tegemine või ametiteenuse osutamine edasi lükata kuni käesoleva paragrahvi lõike 1 alusel teate esitamiseni. Kui tehingu edasilükkamine võib tekitada olulist kahju, selle tegemata jätmine ei ole võimalik või võib takistada võimaliku rahapesu või terrorismi rahastamise toimepanija tabamist, tehakse tehing või ametitoiming või osutatakse ametiteenus ning pärast seda esitatakse teade rahapesu andmebüroole.

  (7) Asjakohastel juhtudel annab rahapesu andmebüroo kohustatud isikutele tagasisidet nende poolt teavitamiskohustuse täitmise ning saadud teabe kasutamise kohta.

§ 50.  Teatamiskohustuse täitmise koht ja vorm

  (1) Teade esitatakse selle Euroopa Majanduspiirkonna lepinguriigi rahapesu andmebüroole, kelle territooriumil kohustatud isik on asutatud, asub või teenust osutab.

  (2) Teade esitatakse rahapesu andmebüroo veebivormi või X-tee teenuse kaudu.

  (3) Teatele lisatakse isiku isikusamasuse tuvastamiseks ja esitatud teabe kontrollimiseks kasutatud andmed ning olemasolu korral dokumentide koopiad.

  (4) Nõuded rahapesu andmebüroole esitatava teate sisule, vormile ja teate esitamise juhendi kehtestab valdkonna eest vastutav minister määrusega.

§ 51.  Teate konfidentsiaalsus

  (1) Kohustatud isikul, juriidiliseks isikuks oleva kohustatud isiku struktuuriüksusel, juhtorgani liikmel ja töötajal on keelatud isikut, selle isiku tegelikku kasusaajat, esindajat või kolmandat isikut teavitada nende kohta rahapesu andmebüroole esitatud teatest, sellise teate esitamise plaanist või esitamise toimumisest ning rahapesu andmebüroo poolt käesoleva seaduse §-de 57 ja 58 alusel tehtud ettekirjutusest või kriminaalmenetluse alustamisest. Kohustatud isik võib teavitada isikut rahapesu andmebüroo poolt talle seatud konto käsutamisest või muust piirangust pärast seda, kui rahapesu andmebüroo tehtud ettekirjutus on täidetud.

  (2) Käesoleva paragrahvi lõikes 1 sätestatud keeldu ei rakendata teabe esitamisel:
  1) pädevatele järelevalveasutustele ja õiguskaitseasutustele;
  2) krediidiasutustele ja finantseerimisasutustele omavahel, kui nad kuuluvad samasse kontserni;
  3) käesoleva lõike punktis 2 nimetatud isikuga samasse kontserni kuuluvatele asutustele ja filiaalidele, kui kontsernis kohaldatakse käesoleva seaduse § 15 kohaselt kontserniüleseid protseduurireegleid ja põhimõtteid;
  4) kolmandale isikule, kes tegutseb notarist, advokaadist, kohtutäiturist, pankrotihaldurist, ajutisest pankrotihaldurist ja muu õigusteenuse osutajast või audiitorist, raamatupidamisteenuse pakkujast ning raamatupidamise või maksustamise valdkonnas nõustamisteenuse pakkujast kohustatud isikuga ühes ja samas juriidilises isikus või struktuuris, millel on ühised omanikud ja juhtimissüsteem või kus teostatakse ühist vastavuskontrolli.

  (3) Käesoleva paragrahvi lõikes 1 sätestatud keeldu ei rakendata ka teabevahetusele olukorras, kus see puudutab sama isikut ja sama tehingut, milles osaleb kaks või enam kohustatud isikut, kes on krediidiasutused, finantseerimisasutused, notarid, advokaadid, kohtutäiturid, pankrotihaldurid, ajutised pankrotihaldurid ja muud õigusteenuse osutajad või audiitorid, raamatupidamisteenuse pakkujad ning raamatupidamise või maksustamise valdkonnas nõustamisteenuse pakkujad, kes asuvad Euroopa Majanduspiirkonna lepinguriigis või riigis, kus kehtivad Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/849 nõuetega võrdväärsed nõuded, nad tegutsevad samal kutsealal ning nende ametisaladuse hoidmiseks ja isikuandmete kaitseks rakendatakse Eestis kehtivate nõuetega võrdväärseid nõudeid.

  (4) Notari, advokaadi, kohtutäituri, pankrotihalduri, ajutise pankrotihalduri ja muu õigusteenuse osutaja või audiitori, raamatupidamisteenuse pakkuja ning raamatupidamise või maksustamise valdkonnas nõustamisteenuse pakkuja poolt kliendi veenmist hoiduma õigusvastastest tegudest ei käsitata käesoleva paragrahvi lõikes 1 sätestatud keelu rikkumisena.

  (5) Krediidi- ja finantseerimisasutused võivad omavahel vahetada teavet kõrge riskiga klientide ja kuriteokahtlusega tehingute kohta rahapesu või terrorismi rahastamise tõkestamise eesmärgil.

  (6) Käesolevas paragrahvis reguleeritud teabevahetust tuleb säilitada kirjalikult või kirjalikku taasesitamist võimaldaval viisil järgmise viie aasta jooksul ning teave esitatakse nõudmisel pädevale järelevalveasutusele.

§ 52.  Vastutusest vabastamine

  (1) Kohustatud isik, tema töötaja, esindaja ja tema nimel tegutsenud isik ei vastuta kahju eest, mis tekitatakse majandus- või kutsetegevuses tehtavas tehingus, ametitoimingu tegemisel või ametiteenuse osutamisel osalevale isikule või kliendile:
  1) käesolevast seadusest tulenevate kohustuste heas usus täitmisel tehingu tegemata jätmisest või mittetähtaegsest tegemisest;
  2) seoses käesoleva seaduse §-s 49 sätestatud teatamiskohustuse heas usus täitmisega;
  3) käesoleva seaduse §-de 16 ja 18 heas usus rakendamisega.

  (2) Kohustatud isiku poolt heas usus käesoleva seaduse §-st 49 tuleneva teatamiskohustuse täitmist ja teabe esitamist ei käsitata seadusest või lepingust tuleneva konfidentsiaalsusnõude rikkumisena ning teatamiskohustust täitnud isiku suhtes ei kohaldata teabe avaldamise eest õigusakti või lepinguga ette nähtud vastutust. Käesolevast sättest kõrvalekalduv kokkulepe on tühine.

  (3) Notari ametitegevusega seotud andmete ja dokumentide väljastamisel rahapesu andmebüroole käesoleva seaduse §-s 55 nimetatud rahapesu andmebüroo ettekirjutuse alusel või §-s 49 nimetatud teatamiskohustuse täitmisel on notar vabastatud notariaadiseaduse §-s 3 sätestatud saladuse hoidmise kohustusest.

  (4) Kohustatud isik kehtestab meetmete süsteemi, millega tagatakse, et kohustatud isiku töötajad ja esindajad, kes teatavad rahapesu või terrorismi rahastamise kahtlusest kas kohustatud isiku siseselt või otse rahapesu andmebüroole, on kaitstud kohustatud isiku teiste töötajate, juhtorgani liikmete või klientide ähvarduste või vaenuliku tegevuse eest ning tööalase ebasoodsa või diskrimineeriva kohtlemise eest.

6. peatükk Rahapesu andmebüroo 

§ 53.  Rahapesu andmebüroo

  (1) Rahapesu andmebüroo on Politsei- ja Piirivalveameti iseseisev struktuuriüksus. Rahapesu andmebüroo täidab käesolevast seadusest tulenevaid ülesandeid sõltumatult ja võtab käesolevas seaduses sätestatud tegevust puudutavaid otsuseid vastu iseseisvalt.

  (2) Politsei- ja Piirivalveameti peadirektor nimetab rahapesu andmebüroo juhi ametisse peadirektori teabehalduse ja menetluse ala asetäitja ettepanekul viieks aastaks.

  (3) Politsei- ja Piirivalveamet tagab rahapesu andmebüroole seadusega ette nähtud ülesannete täitmiseks asjakohased rahalised ja tehnilised vahendid ning personali.

§ 54.  Rahapesu andmebüroo ülesanded

  (1) Rahapesu andmebüroo ülesanded on:
  1) rahapesule ja terrorismi rahastamisele viitava teabe kogumine, registreerimine, töötlemine ja analüüsimine;
  2) strateegiline analüüs, mis käsitleb rahapesu ja terrorismi rahastamise riske, ohte, suundumusi ning toimimisviise;
  3) kriminaaltulu jälitamine ning seaduses sätestatud alustel ja ulatuses riikliku sunni rakendamine;
  4) järelevalve tegemine kohustatud isikute tegevuse üle käesoleva seaduse täitmisel, kui õigusaktiga ei ole sätestatud teisiti;
  5) rahapesu ja terrorismi rahastamise tõkestamise ja tuvastamise alane avalikkuse teavitamine ning koondülevaate koostamine ja avaldamine vähemalt üks kord aastas;
  6) koostöö kohustatud isikute, pädevate järelevalveasutuste ja uurimisasutustega rahapesu ja terrorismi rahastamise tõkestamisel;
  7) kohustatud isiku töötajate, uurijate, prokuröride ja kohtunike koolitamine rahapesu ja terrorismi rahastamise tõkestamisega seonduvates küsimustes;
  8) välissuhtlemise ja teabevahetuse korraldamine vastavalt käesoleva seaduse §-le 63;
  9) rahvusvahelise sanktsiooni seadusest tulenevate ülesannete täitmine;
  10) käesolevas seaduses sätestatud väärtegude menetlemine;
  11) tegevuslubade taotluste lahendamine, majandustegevuse peatamine või keelamine või tegevusloa peatamine või kehtetuks tunnistamine majandustegevuse seadustiku üldosa seaduses sätestatud korras, arvestades käesoleva seaduse erisusi.

  (2) Käesoleva paragrahvi lõike 1 punkti 1 kohaldamisel kontrollitakse, kas rahapesu andmebüroole esitatud andmed on olulised rahapesu või sellega seotud kuritegude, samuti terrorismi rahastamise tõkestamiseks, tuvastamiseks või kohtueelseks uurimiseks.

  (3) Rahapesu andmebüroo analüüsib ja kontrollib teavet rahapesu ja terrorismi rahastamise kahtluse kohta, võtab vajaduse korral tarvitusele abinõud vara säilimiseks ning edastab kuriteo tunnuste avastamisel materjali viivitamata pädevale asutusele. Pädev asutus teatab rahapesu andmebüroole viivitamata vara arestimisest, mittearestimisest ja arestist vabastamisest kriminaalmenetluse seadustikus sätestatud korras.

§ 55.  Rahapesu andmebüroo haldusaktid

  (1) Rahapesu andmebüroo teeb seadusest tulenevate ülesannete täitmiseks ettekirjutusi ja annab muid haldusakte.

  (2) Käesoleva seaduse § 57 alusel tehtud ettekirjutuses tehingu peatamiseks või konto või muu vara kasutamise piiramiseks ning rahapesu või terrorismi rahastamise kahtlusega seotud asjaolude, tehingute ja isikute kohta teabe saamiseks tehtud ettekirjutuses selle faktilist alust ei märgita. Ettekirjutuse tegemist põhistavad faktilised asjaolud kajastatakse eraldi dokumendis.

  (3) Isik, kelle tehingu peatamiseks või konto või muu vara kasutamise piiramiseks ettekirjutus tehti, võib tutvuda faktilisi asjaolusid kajastava dokumendiga. Rahapesu andmebürool on õigus keelduda dokumendiga tutvumise võimaldamisest, kui:
  1) see takistaks rahapesu või terrorismi rahastamise tõkestamist;
  2) dokumendis sisalduva teabe avaldamine on vastuolus seaduse või rahvusvaheliste kokkulepetega, sealhulgas rahvusvahelise koostöö raames kehtestatud piirangutega;
  3) see ohustaks tõe väljaselgitamist kriminaalmenetluses.

  (4) Rahapesu andmebüroo haldusaktile kirjutab alla rahapesu andmebüroo juht, juhi asetäitja või juhi volitatud ametnik. Kui alla kirjutab volitatud ametnik, märgitakse allkirja juurde allkirjastamisõigust andva dokumendi number ja väljaandmise kuupäev ning koht, kus on võimalik nimetatud dokumendiga tutvuda.

  (5) Kaebus rahapesu andmebüroo haldusakti või toimingu peale esitatakse halduskohtule. Rahapesu andmebüroo esitab käesoleva paragrahvi lõikes 2 nimetatud ettekirjutuse vaidlustamisel halduskohtule ettekirjutuse tegemist põhistavaid faktilisi asjaolusid kajastava eraldi dokumendi, kehtestades sellele asjakohased piirangud.

§ 56.  Rahapesu andmebüroo juhendid

  (1) Rahapesu andmebürool on õigus anda soovituslikke juhendeid rahapesu ja terrorismi rahastamise tõkestamist käsitlevate õigusaktide selgitamiseks.

  (2) Rahapesu andmebüroo annab juhendi rahapesu kahtlusega tehingute tunnuste kohta.

  (3) Rahapesu andmebüroo annab juhendi terrorismi rahastamise kahtlusega tehingute tunnuste kohta. Juhend kooskõlastatakse eelnevalt Kaitsepolitseiametiga.

  (4) Rahapesu andmebüroo juhendid avalikustatakse rahapesu andmebüroo veebilehel.

§ 57.  Tehingu peatamine, vara käsutamise piiramine ja vara riigi omandisse kandmine

  (1) Rahapesu andmebüroo võib rahapesu või terrorismi rahastamise kahtluse korral, kuritegeliku tegevuse tõkestamiseks või teise riigi rahapesu andmebüroo taotluse alusel ettekirjutusega tehingu peatada või kehtestada kontole, kontol olevale varale või tehingu, ametitoimingu või ametiteenuse objektiks oleva vara või muu rahapesu või terrorismi rahastamise kahtlusega vara suhtes käsutuspiirangu kuni 30 kalendripäevaks ettekirjutuse kättetoimetamisest arvates. Kinnistusraamatus, laevakinnistusraamatus, väärtpaberite keskdepositooriumis, liiklusregistris, ehitisregistris ja muus riiklikus registris registreeritud vara käsutamist võib rahapesu andmebüroo põhjendatud kahtluse korral ettekirjutusega piirata selle säilimise tagamiseks kuni 30 kalendripäevaks.

  (2) Enne käesoleva paragrahvi lõikes 1 nimetatud tähtaja möödumist võib tehingu teha või kontol oleva või muu vara käsutamise piirangust kõrvale kalduda ainult rahapesu andmebüroo kirjalikul loal.

  (3) Rahapesu andmebüroo võib ettekirjutuse alusel piirata vara käsutamist selle säilimise tagamiseks käesoleva paragrahvi lõikes 1 sätestatule lisaks kuni 60 kalendripäeva võrra juhul, kui:
  1) vara päritolu kontrollimisel rahapesu kahtluse korral vara valdaja või omanik ei tõenda rahapesu andmebüroole 30 kalendripäeva jooksul tehingu peatamisest või konto kasutamise piirangu või muu vara käsutamise piirangu kehtestamisest arvates vara legaalset päritolu;
  2) vara suhtes on kahtlus, et seda kasutatakse terrorismi rahastamiseks.

  (4) Täite- või pankrotimenetluses on keelatud arestida või võõrandada vara, mille suhtes kehtib rahapesu andmebüroo poolt käesolevas paragrahvis sätestatud korras kehtestatud piirang.

  (5) Kui vara on arestitud kriminaalmenetluse seadustikus sätestatud korras, on rahapesu andmebüroo kohustatud vara käsutamise piirangud pärast vara arestimise kohtumääruse jõustumist viivitamata lõpetama.

  (6) Kui vara omanikku või kontol oleva vara tegelikku kasusaajat ei ole õnnestunud kindlaks teha, võib rahapesu andmebüroo taotleda halduskohtult luba vara käsutamise piiramiseks kuni vara omaniku või tegeliku kasusaaja kindlakstegemiseni, seda ka kriminaalmenetluse lõpetamisel, kuid mitte rohkem kui üheks aastaks.

  (7) Kui ühe aasta jooksul pärast vara käsutamise piirangute kehtestamist ei ole õnnestunud vara omanikku või kontol oleva vara tegelikku kasusaajat kindlaks teha või kui vara valdaja teatab rahapesu andmebüroole või prokuratuurile kirjalikult soovist varast loobuda, võib rahapesu andmebüroo või prokuratuur taotleda halduskohtult luba vara riigi omandisse kandmiseks. Vara müüakse täitemenetluse seadustikus sätestatud korras ja müügist saadud summa kantakse riigi tuludesse. Riigi tuludesse kantud summa väljanõudmise õigus on vara omanikul kolme aasta jooksul vara riigi tuludesse kandmise päevast arvates.

  (8) Kontol oleva vara puhul käsitatakse käesoleva paragrahvi lõigete 6 ja 7 rakendamisel konto omanikku vara valdajana ning tema omandiõigust ei eeldata.

  (9) Kinnistusraamatus, laevakinnistusraamatus, väärtpaberite keskdepositooriumis, liiklusregistris, ehitisregistris ja muus riiklikus registris registreeritud vara käsutamise piiramine tagatakse registripidajate poolt esmajärjekorras ja viivitamata ilma rahapesu andmebüroo lisatoiminguteta.

  (10) Kui vara legaalne päritolu rahapesu kahtluse korral või vara mitteseotus terrorismi rahastamisega terrorismi rahastamise kahtluse korral leiab tõendamist enne käesoleva paragrahvi lõikes 1, 3 või 6 nimetatud tähtaja möödumist, on rahapesu andmebüroo kohustatud vara käsutamise piirangud viivitamata lõpetama.

§ 58.  Teabe nõudmine

  (1) Rahapesu andmebürool on õigus seadusest tulenevate ülesannete täitmiseks saada teavet pädevatelt järelevalveasutustelt ja teistelt riigi- ja kohaliku omavalitsuse asutustelt ning ettekirjutuse alusel kohustatud isikult ja kolmandalt isikult.

  (2) Ettekirjutuse adressaat on kohustatud ettekirjutuse täitma ja esitama teabe, sealhulgas panga- või ärisaladust sisaldava teabe ettekirjutuses määratud tähtajaks. Teave esitatakse kirjalikult või kirjalikku taasesitamist võimaldavas vormis.

  (3) Rahapesu andmebürool on õigus saada rahapesu tõkestamiseks olulisi andmeid, sealhulgas jälitustegevuse käigus kogutud teavet, kõigilt jälitusasutustelt õigusaktidega sätestatud korras. Jälitustegevuse käigus kogutud teabe edastamiseks teistele asutustele peab rahapesu andmebürool olema teabe esitanud jälitusasutuse kirjalik nõusolek.

  (4) Käesolevat paragrahvi ei kohaldata advokaadi suhtes, välja arvatud juhul, kui ta osutab käesoleva seaduse § 2 lõikes 2 nimetatud teenuseid või advokaadi poolt rahapesu andmebüroole esitatud teade ei vasta kehtestatud nõuetele, kui teatele ei ole lisatud nõutavaid dokumente või kui lisatud dokumendid ei ole nõuetekohased.

§ 59.  Andmete ristkasutus

  Rahapesu andmebürool on seadusest tulenevate ülesannete täitmiseks õigus esitada päringuid ja saada andmeid riigi, kohaliku omavalitsuse või avalik-õigusliku isiku andmekogust vastavalt õigusaktides sätestatud korrale.

§ 60.  Andmete kasutamise piirangud

  (1) Juurdepääs rahapesu andmebüroo andmekogus sisalduvale teabele ja selle töötlemise õigus on ainult rahapesu andmebüroo ametnikul. Käesoleva seaduse alusel võib rahapesu andmebüroo juht kehtestada teabele juurdepääsu piirangu, tunnistades teabe asutusesiseseks kasutamiseks mõeldud teabeks. Rahapesu andmebüroo töötajad ja muud isikud, kellel on juurdepääs rahapesu andmebüroo andmekogus sisalduvale teabele, on kohustatud hoidma saladuses neile teadaolevat rahapesu või terrorismi rahastamisega seotud teavet tähtajatult.

  (2) Rahapesu andmebüroo on kohustatud rahapesu või terrorismi rahastamise ning sellega seotud kuritegude tõkestamiseks, tuvastamiseks ja kohtueelseks uurimiseks edastama olulised andmed, sealhulgas maksu- ja pangasaladust sisaldavad andmed, prokuratuurile, uurimisasutusele ja kohtule.

  (3) Rahapesu andmebüroos registreeritud andmeid edastatakse ainult kohtueelset menetlust teostavale asutusele, prokurörile ja kohtule kirjaliku taotluse alusel seoses kriminaalmenetlusega või rahapesu andmebüroo algatusel, kui see on vajalik rahapesu või terrorismi rahastamise ning sellega seotud kuritegude vältimiseks, tuvastamiseks ja uurimiseks, samuti halduskohtule halduskohtumenetluses, kui lahendatakse rahapesu andmebüroo taotlust või rahapesu andmebüroo toimingu või haldusakti kohta esitatud kaebust või protesti.

  (4) Rahapesu andmebüroo võib teavitada pädevat järelevalveasutust kohustatud isiku poolt käesoleva seaduse nõuete rikkumisest või edastada asjakohase taotluse alusel rahapesu andmebüroos registreeritud andmeid, analüüse ja hinnanguid ulatuses, mis ei riku seaduse, välislepingu või rahvusvahelise koostöö raames kehtestatud piiranguid, kui see on vajalik rahapesu või terrorismi rahastamise või sellega seonduvate kuritegude tõkestamiseks ning pädeva järelevalveasutuse seadusest tulenevate ülesannete täitmiseks või käesoleva seaduse eesmärkide saavutamiseks.

  (5) Rahapesu andmebürool on õigus edastada käesoleva paragrahvi lõikes 4 nimetatud teavet Maksu- ja Tolliametile hasartmängude korraldamise tegevusloaga seotud menetluste tarbeks.

  (6) Rahapesu andmebüroo juhi loal võib isikutele, keda on vajalik kaasata rahapesu andmebüroo ülesannete täitmiseks, ajutiselt anda ligipääsu ülesande täitmiseks vajalikus ja piisavas ulatuses andmetele. Loa saanud isiku õiguste ja pädevuste suhtes kohaldatakse rahapesu andmebüroo ametniku kohta käesoleva paragrahvi lõigetes 1–5 ning käesoleva seaduse §-s 61 sätestatut.

  (7) Rahapesu andmebüroo võib üksikjuhtumil edastada kohustatud isiku kontaktisikule rahapesu andmebüroos registreeritud andmeid vajalikus ja piisavas ulatuses ühiste meetmete võtmiseks terrorismi rahastamise, rahapesu või nendega seotud kuritegude tõkestamisel.

  (8) Rahapesu andmebürool on õigus edastatud andmete kasutamisele kehtestada piiranguid, mille järgimine on andmete kasutajale kohustuslik.

  (9) Rahapesu andmebüroo dokumendid ja arhivaalid, mis vastavalt õigusaktidele kuuluvad üleandmisele Rahvusarhiivile, antakse talle üle 30 aasta möödumisel, peale mida dokumendid ja arhivaalid rahapesu andmebüroo andmekogust kustutatakse. Kuni Rahvusarhiivile üleandmiseni säilitatakse dokumente ja arhivaale rahapesu andmebüroos.

  (10) Rahapesu andmebüroo kogutavate andmete registreerimise ja töötlemise korra kehtestab valdkonna eest vastutav minister määrusega.

§ 61.  Rahapesu andmebüroo ametnikule esitatavad nõuded

  (1) Rahapesu andmebüroo ametnikuks võib nimetada isiku, kellel on laitmatu maine, vajalikud kogemused, võimed ja haridus ning vajalikud kõlbelised omadused.

  (2) Rahapesu andmebüroo ametnik on kohustatud tähtajatult hoidma saladuses talle seoses tööülesannetega teatavaks saanud andmeid, sealhulgas pangasaladust, ka pärast nende töötlemise või kasutamisega seotud ametikohustuste täitmist või teenistussuhte lõppemist.

§ 62.  Rahapesu andmebüroo ja Kaitsepolitseiameti koostöö

  (1) Rahapesu andmebüroo ja Kaitsepolitseiamet teevad terrorismi rahastamise kahtlusega tehingute uurimisel koostööd vastastikuse ametiabi ning teabevahetuse kaudu.

  (2) Kaitsepolitseiameti peadirektor nimetab kontaktisiku, kellel on rahapesu andmebüroo ametnikuga võrdsed õigused saada teavet kõigist terrorismi rahastamise kahtlusega teadetest ning teha vajaduse korral ettepanekuid täiendava teabe nõudmiseks.

  (3) Kaitsepolitseiameti kontaktisik kaasatakse käesoleva seaduse § 54 lõike 1 punktides 1, 4, 6 ja 7 sätestatud ülesannete täitmisel ning tema õiguste ja pädevuse suhtes kohaldatakse rahapesu andmebüroo ametniku kohta käesoleva seaduse § 60 lõigetes 1–5 ja §-s 61 sätestatut.

  (4) Kaitsepolitseiameti kontaktisikul on õigus teha käesolevas seaduses sätestatud järelevalvet koos rahapesu andmebüroo ametnikuga.

§ 63.  Rahvusvaheline infovahetus

  (1) Rahapesu andmebürool on õigus vahetada teavet ja sõlmida koostöökokkuleppeid rahapesu andmebüroo ülesandeid täitva välisriigi asutusega (edaspidi teine rahapesu andmebüroo) või välisriigi õiguskaitseasutusega.

  (2) Rahapesu andmebürool on õigus omal algatusel või taotluse korral saada ja edastada teisele rahapesu andmebüroole mis tahes teavet, mida teisel rahapesu andmebürool võib olla vaja rahapesu või terrorismi rahastamise tõkestamisel ning sellesse kaasatud füüsiliste või juriidiliste isikutega seotud teabe töötlemisel või analüüsimisel.

  (3) Rahapesu andmebüroo poolt teisele rahapesu andmebüroole edastatav teabetaotlus sisaldab selle teabe küsimise asjaolusid, tausta kirjeldust, taotluse põhjust ja teavet selle kohta, kuidas taotletavat teavet kavatsetakse kasutada.

  (4) Rahapesu andmebüroo võib käesoleva paragrahvi lõigete 2 ja 3 rakendamisel kasutada turvalisi teabevahetuskanaleid.

  (5) Kui rahapesu andmebüroo saab käesoleva seaduse § 49 lõigete 1 ja 2 alusel teate teise Euroopa Majanduspiirkonna lepinguriigi isikute ning seoste kohta, edastab ta sellekohase teabe viivitamata selle lepinguriigi rahapesu andmebüroole.

  (6) Käesolevas paragrahvis sätestatud teabe vahetamisel võib rahapesu andmebüroo teabe edastamisel kehtestada piiranguid ja tingimusi teabe kasutamisele ning teabe saaja peab kehtestatud piiranguid järgima.

  (7) Rahapesu andmebüroo võib keelduda teabe vahetamisest üksnes erandjuhtudel, kui teabe vahetamine jääb ilmselgelt väljapoole rahapesu ja terrorismi rahastamise tõkestamise eesmärke, võib kahjustada kriminaalmenetlust, kahjustab ilmselgelt ebaproportsionaalselt mõne füüsilise või juriidilise isiku või rahapesu andmebüroo õiguspäraseid huve või on muul viisil vastuolus riigisisese õiguse üldpõhimõtetega või ei sisalda selle teabe küsimise asjaolusid, tausta kirjeldust, taotluse põhjust ja teavet selle kohta, kuidas taotletavat teavet kavatsetakse kasutada.

  (8) Rahapesu andmebüroo tagab taotluse alusel teiselt rahapesu andmebüroolt saadud teabe kasutamise vastavalt teise büroo seatud piirangutele, küsides vajaduse korral teabe muul viisil kasutamiseks teabe esitanud teiselt büroolt eelnevalt loa.

  (9) Rahapesu andmebüroo tagab, et taotluse alusel edastatava teabe levitamise luba antakse viivitamata ja võimalikult suures ulatuses. Taotluse saanud rahapesu andmebüroo võib keelduda loa andmisest teabe levitamiseks taotletud ulatuses, kui see jääb ilmselgelt väljapoole rahapesu ja terrorismi rahastamise tõkestamise eesmärke, võib kahjustada kriminaaluurimist, kahjustab ilmselgelt ebaproportsionaalselt mõne füüsilise või juriidilise isiku või rahapesu andmebüroo õiguspäraseid huve või on muul viisil vastuolus riigisisese õiguse üldpõhimõtetega. Teabe levitamise piiramist selgitatakse.

7. peatükk Järelevalve korraldus 

§ 64.  Järelevalveasutused

  (1) Kohustatud isikute poolt käesoleva seaduse ja selle alusel antud õigusaktide nõuete täitmise üle teeb riiklikku järelevalvet Politsei- ja Piirivalveamet või rahapesu andmebüroo, kui käesolevas paragrahvis ei ole sätestatud teisiti.

  (2) Finantsinspektsioon teeb järelevalvet käesoleva seaduse ja selle alusel kehtestatud õigusaktide nõuete täitmise üle nende krediidiasutuste ning finantseerimisasutuste poolt, kelle üle ta teeb järelevalvet Finantsinspektsiooni seaduse alusel ja kooskõlas Euroopa Liidu õigusaktidega. Finantsinspektsioon teeb järelevalvet Finantsinspektsiooni seaduses sätestatud korras, arvestades käesolevas seaduses sätestatud erisusi. Finantsinspektsioon teeb käesoleva lõike esimeses lauses nimetatud krediidi- ja finantseerimisasutuste üle järelevalvet kõikidel käesoleva seaduse §-s 2 nimetatud tegevusaladel ning §-s 6 nimetatud teenuste osutamisel.

  (3) Eesti Advokatuuri (edaspidi advokatuur) juhatus teeb järelevalvet advokatuuri liikmete poolt käesoleva seaduse ja selle alusel kehtestatud õigusaktide nõuete täitmise üle advokatuuriseaduse alusel, arvestades käesolevas seaduses sätestatut.

  (4) Justiitsministeerium teeb järelevalvet notarite poolt käesoleva seaduse ja selle alusel kehtestatud õigusaktide nõuete täitmise üle notariaadiseaduse alusel, arvestades käesolevas seaduses sätestatut. Justiitsministeerium võib järelevalve tegemise delegeerida Notarite Kojale.

  (5) Finantsinspektsioon, advokatuuri juhatus, Justiitsministeerium ja Notarite Koda teevad rahapesu andmebürooga koostööd, lähtudes käesoleva seaduse eesmärkidest.

  (6) Järelevalveasutustel on õigus vahetada teavet ja teha koostööd teiste riikide järelevalveasutustega, lähtudes käesolevas seaduses sätestatud ülesannetest.

  (7) Järelevalveasutusel on õigus järelevalve tegemisele kaasata vajaduse korral eksperte, tõlke ja nõustajaid, kui on tagatud sellise isiku vastavus käesoleva seaduse § 61 lõikes 1 nimetatud nõuetele.

§ 65.  Riikliku järelevalve meetmete ja sunniraha kohaldamine

  (1) Politsei- ja Piirivalveamet ning rahapesu andmebüroo võivad käesolevas seaduses sätestatud riikliku järelevalve tegemiseks kohaldada korrakaitseseaduse §-des 30–32, 35, 50 ja 51 sätestatud riikliku järelevalve erimeetmeid, arvestades käesolevas seaduses ja Finantsinspektsiooni seaduses sätestatud erisusi.

  (2) Kui kohustatud isik on krediidiasutus või finantseerimisasutus, on sunniraha ülemmäär haldusakti täitmata jätmise või ebakohase täitmise korral:
  1) füüsilise isiku puhul esimesel korral kuni 5000 eurot ja järgmistel kordadel kuni 50 000 eurot ühe ja sama kohustuse täitmisele sundimiseks, kuid kokku mitte rohkem kui 5 000 000 eurot;
  2) juriidilise isiku puhul kuni 32 000 eurot ja järgmistel kordadel kuni 100 000 eurot ühe ja sama kohustuse täitmisele sundimiseks, kuid olenevalt sellest, milline summa on suurem, kokku kuni 5 000 000 eurot või kuni 10 protsenti juriidilise isiku aastasest kogukäibest vastavalt viimasele kättesaadavale juhtorgani kinnitatud raamatupidamise aastaaruandele.

  (3) Kui käesoleva paragrahvi lõike 2 punktis 2 nimetatud juriidiline isik on emaettevõtja või sellise emaettevõtja tütarettevõtja, kes peab koostama konsolideeritud raamatupidamise aruande, siis arvestatakse juriidilise isiku aastase kogukäibena kas aastast kogukäivet või antud haldusakti või ettekirjutuse aluseks olnud rikkumise valdkonna tululiigi kogukäivet viimase kättesaadava konsolideeritud raamatupidamise aastaaruande järgi, mille on heaks kiitnud emaettevõtja kõrgeima taseme juhtorgan.

  (4) Käesoleva paragrahvi lõikes 3 nimetamata kohustatud isikute puhul on sunniraha ülemmäär võrdne kuni kahekordse rikkumise tulemusel teenitud kasumiga, kui sellist kasumit on võimalik kindlaks teha, või vähemalt 1 000 000 eurot.

§ 66.  Haldusjärelevalve tegija õigused

  (1) Haldusjärelevalve tegijal on õigus kontrollida kohustatud isikute asu- või tegevuskohta. Järelevalve tegijal on õigus kontrollitava isiku esindaja juuresolekul siseneda kohustatud isiku valduses olevasse hoonesse ja ruumi.

  (2) Kohapealse kontrolli käigus on haldusjärelevalve tegijal õigus:
  1) piiranguteta uurida vajalikke dokumente ja andmekandjaid, teha nendest väljavõtteid, ärakirju ja koopiaid, saada kohustatud isikult nende kohta selgitusi ning jälgida tööprotsesse;
  2) saada suulisi ja kirjalikke selgitusi kontrollitavalt kohustatud isikult ning tema juhtorgani liikmetelt ja töötajatelt.

  (3) Haldusjärelevalve tegijal on õigus nõuda kohustatud isikult kontrollimiseks vajalikku teavet ka kohapealset kontrolli tegemata.

§ 67.  Järelevalve tegija kohustused

  (1) Kui Finantsinspektsioon, Politsei- ja Piirivalveamet, advokatuuri juhatus, Justiitsministeerium või Notarite Koda tuvastab järelevalvet tehes olukorra, mille tunnused osutavad rahapesu või terrorismi rahastamise kahtlusele, teatab ta sellest käesoleva seaduse § 49 alusel viivitamata rahapesu andmebüroole.

  (2) Finantsinspektsioon, advokatuuri juhatus ja Justiitsministeerium on kohustatud esitama rahapesu andmebüroole hiljemalt 15. aprilliks teabe eelmisel kalendriaastal:
  1) läbi viidud järelevalvemenetluste arvu ja järelevalvega hõlmatud kohustatud isikute arvu kohta nende liikide kaupa;
  2) järelevalve tegemisel avastatud rikkumiste arvu ja selliste isikute arvu kohta, kelle suhtes kohaldati väärteomenetlust või muid meetmeid, ning nende õigusliku aluse kohustatud isikute kaupa.

  (3) Politsei- ja Piirivalveamet, rahapesu andmebüroo ning Finantsinspektsioon avalikustavad oma veebilehel käesoleva seaduse 10. peatükis sätestatud väärteoasjas jõustunud lahendi või käesolevas peatükis kehtestatud korras antud haldusakti, ettekirjutuse või sunniraha määramise otsuse viivitamata pärast selle jõustumist. Veebilehel märgitakse vähemalt rikkumise liik ja laad, rikkumise eest vastutava isiku andmed ning teave lahendi, ettekirjutuse või otsuse vaidlustamise ja tühistamise kohta. Kogu nimetatud teave on veebilehel kättesaadav vähemalt viie aasta jooksul.

  (4) Politsei- ja Piirivalveametil, rahapesu andmebürool ning Finantsinspektsioonil on asjaolusid hinnates õigus lükata väärteoasjas jõustunud lahendi või asjakohase haldusakti avalikustamine edasi või jätta rikkuja isik isikuandmete kaitse tagamiseks avalikustamata, kuni on täidetud vähemalt üks järgmistest tingimustest:
  1) andmete avaldamine ohustab finantsturgude stabiilsust või pooleliolevat menetlust;
  2) rikkumise eest vastutava isiku avalikustamine oleks määratud karistusega võrreldes ebaproportsionaalne.

  (5) Politsei- ja Piirivalveametil, rahapesu andmebürool ning Finantsinspektsioonil on asjaolusid hinnates õigus jätta väärteoasjas jõustunud lahend või asjakohane haldusakt avalikustamata, kui käesoleva paragrahvi lõikes 4 nimetatud võimalusi peetakse ebapiisavaks, et tagada finantsturgude stabiilsus, või otsuse avaldamine oleks ebaproportsionaalne vähem oluliseks peetava meetme puhul.

§ 68.  Kontrolli tulemuste kajastamine

  (1) Finantsinspektsioon on kohustatud koostama kontrollimise tulemuste kohta akti, mis tehakse kontrollitavale teatavaks krediidi- või finantseerimisasutuse tegevust reguleerivas seaduses sätestatud tähtaja jooksul. Muu haldusjärelevalve tegija on kohustatud koostama kontrollimise tulemuste kohta akti, mis tehakse kontrollitavale teatavaks ühe kuu jooksul kontrolli tegemisest arvates.

  (2) Aktis peavad sisalduma järgmised andmed:
  1) kontrolltoimingu nimetus;
  2) akti koostaja ametinimetus ning tema ees- ja perekonnanimi;
  3) akti koostamise koht ja kuupäev;
  4) viide kontrollimise aluseks olnud sättele;
  5) kontrollimise juures viibinud kontrollitava esindaja või hoone või ruumi valdaja esindaja ees- ja perekonnanimi ning ametinimetus;
  6) kontrollimise juures viibinud muu isiku ees- ja perekonnanimi ning ametinimetus;
  7) kontrollimise algus- ja lõpuaeg ning tingimused;
  8) kontrollimise käik ja tulemused vajaliku üksikasjalikkusega.

  (3) Aktile kirjutab alla selle koostaja. Akt jääb haldusjärelevalveasutusele ja selle koopia jääb kontrollitud isikule või tema esindajale.

  (4) Kontrollitaval on õigus seitsme päeva jooksul akti kättesaamisest arvates esitada kirjalikke selgitusi.

§ 69.  Järelevalve rahapesu andmebüroo tegevuse üle

  (1) Kontrolli rahapesu andmebüroos registreeritud andmete töötlemise seaduslikkuse üle teeb Andmekaitse Inspektsioon.

  (2) Rahapesu andmebüroo isikuandmete töötlemise protsessi hindamiseks on Andmekaitse Inspektsioonil õigus tutvuda rahapesu andmebüroo juhendite ja protseduuridega ning saada kirjalikke ja suulisi selgitusi. Andmesubjekti kaebuse lahendamise käigus on Andmekaitse Inspektsioonil õigus saada rahapesu andmebüroolt andmeid kaebuse lahendamiseks vajalikus ulatuses.

  (3) Teenistuslikku järelevalvet rahapesu andmebüroo tegevuse seaduslikkuse üle teeb Politsei- ja Piirivalveamet.

  (4) Politsei- ja Piirivalveameti peadirektoril ning tema volitatud ametnikul on õigus rahapesu andmebüroos registreeritud andmetega tutvuda teenistusliku järelevalve tegemiseks vajalikus ulatuses.

  (5) Teenistuslikku järelevalvet tegeva ametniku suhtes kohaldatakse rahapesu andmebüroo ametniku kohta käesoleva seaduse § 60 lõigetes 1–5 ja §-s 61 sätestatut.

8. peatükk Tegevusluba 

§ 70.  Loakohustus

  (1) Ettevõtjal peab olema tegevusluba järgmistel tegevusaladel tegutsemiseks:
  1) finantseerimisasutusena tegutsemine;
  2) usaldusfondide ja äriühingute teenuse osutamine;
  3) pandimajateenuse osutamine;
  4) virtuaalvääringu raha vastu vahetamise teenuse pakkumine;
  5) virtuaalvääringu rahakotiteenuse pakkumine;
  6) väärismetalli ja väärismetalltoodete, välja arvatud tootmise, teaduse ning meditsiini vajaduseks kasutatavad väärismetallid ja väärismetalltooted, või vääriskivide kokkuost või hulgimüük.

  (2) Tegevusloakohustust käesoleva seaduse alusel ei ole isikul:
  1) kellel on Finantsinspektsiooni tegevusluba;
  2) kellel on teisest seadusest tulenev kohustus taotleda Finantsinspektsiooni tegevusluba;
  3) kellel on Euroopa Majanduspiirkonna lepinguriigi finantsjärelevalve asutuse tegevusluba, mille alusel on tal õigus tegutseda Eestis filiaali kaudu või piiriüleselt ning sellisest tegevusest on teavitatud Finantsinspektsiooni, või
  4) kes pakub käesoleva paragrahvi lõikes 1 nimetatud teenuseid kontserni sees.

  (3) Tegevusloa taotluses esitatakse lisaks majandustegevuse seadustiku üldosa seaduses sätestatule järgmised andmed ja dokumendid:
  1) teenuse pakkumise koha aadress, sealhulgas veebilehe aadress;
  2) teenuse pakkumise eest vastutava isiku nimi ja kontaktandmed kõigi käesoleva lõike punktis 1 nimetatud teenuse pakkumise kohtade kohta;
  3) kui juriidilisest isikust ettevõtja ei ole registreeritud Eesti äriregistris, siis juriidilisest isikust ettevõtja omaniku nimi, registri- või isikukood, selle puudumise korral sünniaeg, asu- või sünnikoht ja elukoha aadress, tema tegeliku kasusaaja nimi, isikukood, selle puudumise korral sünniaeg, sünnikoht ja elukoha aadress;
  4) juriidilisest isikust teenusepakkuja juhtorgani liikme ja prokuristi nimi, isikukood, selle puudumise korral sünniaeg, sünnikoht ning elukoha aadress, kui teenusepakkuja ei ole Eesti äriregistris registreeritud ettevõtja;
  5) käesoleva seaduse §-de 14 ja 15 kohaselt koostatud protseduurireeglid ja sisekontrollieeskirjad ning rahvusvahelise sanktsiooni seaduse §-s 6 loetletud erikohustustega isikute puhul rahvusvahelise sanktsiooni seaduse § 12 lõike 6 kohaselt koostatud protseduurireeglid ja nende täitmise kontrollimise kord;
  6) käesoleva seaduse § 17 kohaselt määratud kontaktisiku nimi, isikukood, selle puudumise korral sünniaeg, sünnikoht, kodakondsus, elukoha aadress, ametikoht ja kontaktandmed;
  7) vastavalt rahvusvahelise sanktsiooni seaduse § 12 lõikele 6 ettevõtja määratud rahvusvahelise finantssanktsiooni rakendamise eest vastutava isiku nimi, isikukood, selle puudumise korral sünniaeg, sünnikoht, kodakondsus, elukoha aadress, ametikoht ja kontaktandmed;
  8) kui ettevõtja, tema juhtorgani liige, prokurist, tegelik kasusaaja või omanik on välisriigi kodanik, välisriigis asutatud teenusepakkuja või kui ettevõtja on välisriigi teenusepakkuja, siis tema päritoluriigi karistusregistri tõend või pädeva kohtu- või haldusorgani väljastatud samaväärne dokument, mis tõendab karistuse puudumist riigivõimuvastase või rahapesualase süüteo või muu tahtlikult toimepandud kuriteo eest, mille väljastamisest ei ole möödunud rohkem kui kolm kuud ning mis on notariaalselt või sellega võrdsustatud korras kinnitatud ja legaliseeritud või kinnitatud legaliseerimist asendava tunnistusega (apostilliga), kui välislepingust ei tulene teisiti.

  (4) Käesoleva paragrahvi lõikes 3 nimetatud andmetele lisatakse käesoleva paragrahvi lõike 1 punktis 1 nimetatud tegevusala tegevusloa taotluse korral info selle kohta, millist finantsteenust osutama hakatakse.

  (5) Kui ettevõtja soovib tegevusluba kasutada ka tütarettevõtja tegevuseks, esitab ta tegevusloa taotluses lisaks majandustegevuse seadustiku üldosa seaduses sätestatule ka kõik käesoleva paragrahvi lõikes 3 ja vajaduse korral ka käesoleva paragrahvi lõikes 4 nimetatud andmed selle tütarettevõtja kohta.

§ 71.  Tegevusloa taotlemine

  Tegevusloa taotluse lahendab rahapesu andmebüroo tegevusloa andmise või andmisest keeldumisega 30 tööpäeva jooksul taotluse esitamise päevast arvates.

§ 72.  Tegevusloa kontrolliese

  Ettevõtjale antakse tegevusluba, kui:
  1) temal, tema juhtorgani liikmel, prokuristil, tegeliku kasusaajal ja omanikul puudub kehtiv karistus riigivõimuvastase või rahapesualase süüteo või muu tahtlikult toimepandud kuriteo eest;
  2) ettevõtja poolt käesoleva seaduse § 17 kohaselt määratud kontaktisik vastab käesolevas seaduses sätestatud nõuetele;
  3) ettevõtja tütarettevõtja, kelle tegevuseks soovitakse kasutada ettevõtja nimele taotletavat tegevusluba, vastab käesoleva paragrahvi punktides 1 ja 2 nimetatud nõuetele.

§ 73.  Majandustegevuse muutmise kavatsuse teatele dokumentide lisamise kohustus

  Kui ettevõtja esitab majandustegevuse muutmise kavatsuse teate enda, oma juhtorgani liikme, prokuristi, tegeliku kasusaaja või omaniku muutumise kohta, siis tuleb teatele lisada käesoleva seaduse § 70 lõike 3 punktis 8 nimetatud dokument, kui ettevõtja on välisriigi teenusepakkuja või tema juhtorgani liige, prokurist, tegelik kasusaaja või omanik on välisriigi kodanik.

§ 74.  Majandustegevusega seotud asjaolude muutumisest teatamise kohustus

  Majandustegevuse muutmise kavatsuse teates ning majandustegevuse muutumise teates kirjeldab ettevõtja, millised tegevusloa kontrolliesemesse kuuluvad või tegevusloa kõrvaltingimustega seotud asjaolud on muutunud või milliseid kavatsetakse muuta, või esitatakse tütarettevõtja kohta, kes alustab majandustegevust tegevusloa regulatsioonieseme raames, kõik käesoleva seaduse § 70 lõikes 3 nimetatud andmed ja majandustegevuse seadustiku üldosa seaduse § 14 lõike 1 punktides 1–3, 5 ja 6 sätestatud andmed.

§ 75.  Tegevusloa kehtetuks tunnistamine

  Lisaks majandustegevuse seadustiku üldosa seaduse § 37 lõikes 1 sätestatule tunnistab rahapesu andmebüroo käesoleva seaduse § 70 lõikes 1 nimetatud tegevusloa kehtetuks, kui:
  1) ettevõtjale on andnud tegevusloa Finantsinspektsioon;
  2) ettevõtja korduvalt ei täida järelevalveasutuse ettekirjutusi;
  3) ettevõtja ei ole taotletud tegevusalal tegutsema asunud kuue kuu jooksul loa väljastamisest arvates.

9. peatükk Juriidilise isiku ja maksekonto tegeliku kasusaaja andmed 

§ 76.  Tegeliku kasusaaja andmete hoidmise kohustus

  (1) Eraõiguslik juriidiline isik kogub ja hoiab andmeid oma tegeliku kasusaaja kohta, sealhulgas teavet tema omandiõiguse või kontrolli tegemise viiside kohta. Tegeliku kasusaaja andmeid hoiab eraõigusliku juriidilise isiku juhatus äriregistri juures.

  (2) Eraõigusliku juriidilise isiku osanikud, aktsionärid või liikmed peavad käesoleva paragrahvi lõikes 1 nimetatud kohustuse täitmise võimaldamiseks andma juriidilise isiku juhatusele kogu neile teadaoleva teabe tegeliku kasusaaja kohta, sealhulgas teabe tema omandiõiguse või kontrolli tegemise viiside kohta.

  (3) Käesoleva paragrahvi lõikes 1 nimetatud kohustust ei kohaldata:
  1) korteriühistuseaduses sätestatud korteriühistule;
  2) hooneühistuseaduses sätestatud hooneühistule;
  3) reguleeritud turul noteeritud äriühingule;
  4) sihtasutuste seaduses sätestatud sihtasutusele, kelle majandustegevuse eesmärk on põhikirjas määratud soodustatud isikute või isikute ringi huvides vara hoidmine või kogumine ja kellel puudub muu majandustegevus.

§ 77.  Andmete esitamine

  (1) Lähtudes käesoleva seaduse § 9 lõigetes 2–4 ja §-s 76 sätestatust, esitab täisühing, usaldusühing, osaühing, aktsiaselts või tulundusühistu äriregistri infosüsteemi kaudu oma tegeliku kasusaaja kohta järgmised andmed:
  1) isiku nimi, isikukood ja isikukoodi riik, isikukoodi puudumise korral sünniaeg ja -koht ning elukohariik;
  2) andmed isiku kontrolli tegemise viisi kohta.

  (2) Lähtudes käesoleva seaduse § 9 lõikest 7, esitab mittetulundusühing äriregistri infosüsteemi kaudu oma tegeliku kasusaaja kohta järgmised andmed:
  1) isiku nimi, isikukood ja isikukoodi riik, isikukoodi puudumise korral sünniaeg ja -koht ning elukohariik;
  2) andmed isiku kontrolli tegemise viisi kohta.

  (3) Lähtudes käesoleva seaduse § 9 lõikest 7, esitab sihtasutus äriregistri infosüsteemi kaudu oma tegeliku kasusaaja kohta järgmised andmed:
  1) isiku nimi, isikukood ja isikukoodi riik, isikukoodi puudumise korral sünniaeg ja -koht ning elukohariik;
  2) andmed isiku kontrolli tegemise viisi kohta;
  3) sihtasutuste seaduse § 9 tähenduses soodustatud isikute nimekiri, mis sisaldab iga soodustatud isiku nime, isikukoodi ja isikukoodi riiki, isikukoodi puudumise korral sünniaega ja -kohta ning elukohariiki iga soodustatud isiku kohta, kui sellised isikud on sihtasutuse põhikirjas märgitud.

  (4) Äriühing, mittetulundusühing või sihtasutus peab tegeliku kasusaaja andmed esitama koos äriregistrisse kandmise avaldusega.

  (5) Esitatud andmete muutumise korral esitab äriühing, mittetulundusühing või sihtasutus uued andmed äriregistri infosüsteemi kaudu 30 päeva jooksul andmete muutumisest teadasaamisest arvates.

  (6) Kui tegeliku kasusaaja andmed ei ole muutunud, kinnitab äriühing, mittetulundusühing või sihtasutus andmete õigsust majandusaasta aruande esitamisel.

§ 78.  Andmete avalikustamine

  (1) Tegeliku kasusaaja andmed avalikustatakse äriregistri infosüsteemis.

  (2) Tasu määrad tegeliku kasusaaja andmete väljastamise eest kehtestab valdkonna eest vastutav minister määrusega.

  (3) Tegeliku kasusaaja andmeid väljastatakse tasuta kohustatud isikule, valitsusasutusele, Finantsinspektsioonile ja kohtule.

§ 79.  Tegeliku kasusaaja õigus nõuda esitatud andmete parandamist

  (1) Tegelikuks kasusaajaks märgitud isikul või tema seaduslikul või lepingulisel esindajal on õigus taotleda juriidilise isiku juhatuselt ebaõigete andmete parandamist.

  (2) Kui juriidilise isiku juhatus on põhjendamatult keeldunud käesoleva paragrahvi lõikes 1 nimetatud taotluse alusel ebaõigete andmete parandamisest, võib tegelikuks kasusaajaks märgitud isik nõuda juriidiliselt isikult ebaõigete andmete avaldamisega tekitatud kahju hüvitamist.

§ 80.  Andmete kustutamine

  Tegeliku kasusaaja andmed kustutatakse automaatselt viis aastat pärast juriidilise isiku registrist kustutamist.

§ 81.  Maksekonto teabe automatiseeritud edastamise kohustuslikkus

  (1) Krediidi- ja finantseerimisasutus, kes on ärisuhte raames kliendile avanud maksekonto (edaspidi konto), millele on väljastatud rahvusvaheline IBAN-kood, peab liituma elektroonilise arestimissüsteemiga ja tagama, et selle süsteemi kaudu on kättesaadavad vähemalt järgmised andmed:
  1) konto omaniku ja tema nimel tehinguid tegeva isiku nimi koos käesoleva seaduse § 20 lõike 1 punkti 1 rakendamisel saadud teabega;
  2) konto omaniku tegeliku kasusaaja andmed koos käesoleva seaduse § 20 lõike 1 punkti 3 rakendamisel saadud teabega;
  3) konto IBAN-kood;
  4) konto avamise ja sulgemise kuupäevad.

  (2) IBAN (inglise keeles international bank account number) käesoleva paragrahvi tähenduses on standardile EVS 876:2016 vastav rahvusvaheline konto tunnus, mille elemendid on kindlaks määranud Rahvusvaheline Standardiorganisatsioon ja millega üheselt identifitseeritakse konkreetne konto liikmesriigis.

  (3) Käesoleva paragrahvi lõikes 1 nimetatud krediidiasutus ja finantseerimisasutus tagavad elektroonilise arestimissüsteemi kaudu lõikes 1 nimetatud andmete kohta päringule vastamise ka viie aasta jooksul alates konto sulgemise kuupäevast.

10. peatükk Vastutus 

§ 82.  Rahapesu ja terrorismi rahastamise hoolsusmeetmete, riskihinnangu, protseduurireeglite ning sisekorraeeskirja rakendamata jätmise korralduse andmine

  (1) Kohustatud isiku juhatuse liikme poolt hoolsusmeetmete, käesoleva seaduse §-s 13 nimetatud riskihinnangu, protseduurireeglite või sisekontrollieeskirja rakendamata jätmise korralduse andmise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 83.  Anonüümse konto või hoiuraamatu avamine

  (1) Krediidi- või finantseerimisasutuse töötaja poolt anonüümse konto või hoiuraamatu avamise otsuse tegemise või sellekohase lepingu sõlmimise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 84.  Isikusamasuse tuvastamise ja kontrollimise kohustuse täitmata jätmine

  (1) Kohustatud isiku, tema juhatuse liikme või töötaja poolt käesolevas seaduses sätestatud kliendi või juhuti tehingus osaleva isiku või isiku esindaja isikusamasuse tuvastamise ja kontrollimise kohustuse rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut või arestiga.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 85.  Tegeliku kasusaaja tuvastamise kohustuse rikkumine

  (1) Kohustatud isiku, tema juhatuse liikme või töötaja poolt käesolevas seaduses sätestatud tegeliku kasusaaja tuvastamise ja kontrollimise kohustuse rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut või arestiga.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 86.  Teabe kogumise ja hindamise nõuete rikkumine

  (1) Kohustatud isiku, tema juhatuse liikme või töötaja poolt ärisuhte või juhuti tehtava tehingu eesmärgi ning olemuse kohta teabe kogumise ja sellise teabe hindamise nõuete rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 87.  Riikliku taustaga isikuga tehingu tegemise nõuete rikkumine

  (1) Kohustatud isiku, tema juhatuse liikme või töötaja poolt riikliku taustaga isikuga tehingu tegemise nõuete rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 88.  Ärisuhte loomise ja juhuti tehingu tegemise keelu rikkumine

  (1) Kohustatud isiku, tema juhatuse liikme või tema töötaja poolt ärisuhte loomise ja juhuti tehingu tegemise keelu rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 89.  Ärisuhte seire kohustuse rikkumine

  (1) Kohustatud isiku, tema juhatuse liikme või tema töötaja poolt käesolevas seaduses sätestatud ärisuhte seire kohustuse rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 90.  Tegevuse edasiandmise keelu rikkumine

  (1) Kohustatud isiku või tema juhatuse liikme poolt tegevuse edasiandmise eest isikule, kes on asutatud suure riskiga kolmandas riigis, –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 91.  Korrespondentpanganduse nõuete rikkumine

  (1) Korrespondentsuhte loomise eest käesolevas seaduses sätestatud nõudeid rikkudes –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 92.  Rahapesu ja terrorismi rahastamise kahtlusest teatamise kohustuse rikkumine

  (1) Rahapesu või terrorismi rahastamise kahtlusest, valuutavahetusest või muust tehingust, kus rahaline kohustus suurusega üle 32 000 euro või sellega võrdväärne summa muus vääringus täidetakse sularahas, rahapesu andmebüroole teatamise kohustuse rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut või arestiga.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 93.  Ebaseaduslik teavitamine rahapesu andmebüroole edastatud andmetest

  (1) Kohustatud isiku, tema juhatuse liikme, kontaktisiku või töötaja või järelevalveasutuse töötaja poolt isiku, tema esindaja või isiku tegeliku kasusaaja ebaseadusliku teavitamise eest tema kohta rahapesu andmebüroole edastatud teatest või andmetest või tema kohta rahapesu andmebüroo tehtud ettekirjutusest või kriminaalmenetluse alustamisest –
karistatakse rahatrahviga kuni 300 trahviühikut või arestiga.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 94.  Andmete registreerimise ja säilitamise kohustuse rikkumine

  (1) Käesolevas seaduses sätestatud andmete registreerimise ja säilitamise kohustuse rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 95.  Tegeliku kasusaaja andmete esitamata jätmine või valeandmete esitamine

  (1) Eraõigusliku juriidilise isiku aktsionäri, osaniku või liikme poolt tegeliku kasusaaja andmete esitamata jätmise, andmete muutumisest teatamata jätmise või teadvalt valeandmete esitamise eest, kui sellega on põhjustatud olukord, kus kohustatud isik ei suuda täita käesoleva seaduse § 20 lõike 1 punktis 3 sätestatud hoolsusmeedet, –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 32 000 eurot.

§ 96.  Makseteenuse pakkuja kohustuste rikkumine

  (1) Makseteenuse pakkuja juhi või töötaja või makseagendi juhi või töötaja või füüsilisest isikust makseagendi poolt maksjaga seotud teabe välja selgitamata või kontrollimata jätmise, samuti edastamata jätmise või muude Euroopa Parlamendi ja nõukogu määrusega (EL) nr 2015/847 kehtestatud makseteenuse pakkuja kohustuste rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.

  (2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 400 000 eurot.

§ 97.  Menetlus

  Käesolevas peatükis sätestatud väärtegude kohtuvälised menetlejad on Politsei- ja Piirivalveamet ning Finantsinspektsioon.

11. peatükk Rakendussätted 

§ 98.  Seaduse rakendamise järelanalüüs

  Rahandusministeerium analüüsib 2018. aasta 31. detsembriks käesolevas seaduses ärisuhte loomisele reaalajas intervjuu nõude rakendamise otstarbekust ja eesmärgipärasust ning tegelike kasusaajate teabe esitamise regulatsiooni piisavust ja esitab vajaduse korral ettepanekud õigusaktide muutmiseks Riigikogu rahanduskomisjonile.

§ 99.  Hasartmängukorraldaja hoolsusmeetmete rakendamise erisus

  2018. aasta 31. augustini kohaldab hasartmängukorraldaja hoolsusmeetmeid vähemalt võidu väljamaksmise, panuse tegemise või mõlema korral, kui kliendi antav või saadav summa on vähemalt 2000 eurot või sellega võrdväärne summa muus vääringus.

§ 100.  Olemasolevatele kliendisuhetele sätete uuesti kohaldamise kohustus

  Kohustatud isik kohaldab vajaduse korral ühe aasta jooksul seaduse jõustumisest arvates käesoleva seaduse 3. peatükis nimetatud hoolsusmeetmeid olemasolevate klientide suhtes. Hoolsusmeetmete kohaldamise vajaduse hindamisel lähtub kohustatud isik muu hulgas kliendi olulisusest ja riskiprofiilist ning ajast, mis on möödunud hoolsusmeetmete eelmisest kohaldamisest või nende kohaldamise ulatusest.

§ 101.  Riskihinnangu koostamise ja protseduurireeglite uuendamise tähtaeg

  (1) Kohustatud isikul on oma tegevuse käesoleva seaduse nõuetega kooskõlla viimiseks aega üks aasta käesoleva seaduse jõustumisest arvates.

  (2) Käesoleva seaduse § 70 lõikes 1 nimetatud loakohustusega isik esitab Politsei- ja Piirivalveametile §-s 13 nimetatud riskihinnangu ning sellele vastavad protseduurireeglid ja sisekontrollieeskirja ühe aasta jooksul käesoleva seaduse jõustumisest arvates.

§ 102.  Teave olemasoleva tegevuse edasiandmise lepingu kohta

  Kohustatud isik esitab pädevale järelevalveasutusele teabe käesoleva seaduse jõustumise ajal kehtinud tegevuse edasiandmise lepingu kohta käesoleva seaduse § 24 lõikes 4 sätestatud korras viie kuu jooksul käesoleva seaduse jõustumisest arvates ning teavitab pädevat järelevalveasutust lepingu muutmisest käesoleva seaduse nõuetega kooskõlla viimiseks.

§ 103.  Alternatiivse maksevahendi teenuse pakkuja tegevusluba

  (1) Alternatiivse maksevahendi teenuse pakkuja tegevusluba omav ettevõtja teatab kaheksa kuu jooksul käesoleva seaduse jõustumisest arvates Politsei- ja Piirivalveametile, kas ta soovib muuta oma tegevusloa virtuaalvääringu raha vastu vahetamise teenuse pakkuja tegevusloaks. Politsei- ja Piirivalveamet teeb asjakohase teate saamisel 30 tööpäeva jooksul taotluse esitamise päevast arvates otsuse tegevusloa andmise kohta ilma riigilõivu tasumise kohustuse ning tegevusloa kontrolliesemesse kuuluvate asjaolude täiendava kontrollimiseta.

  (2) Alternatiivse maksevahendi teenuse pakkuja tegevusluba muutub kehtetuks üheksa kuud pärast käesoleva seaduse jõustumist.

§ 104.  Äriregistrisse või mittetulundusühingute ja sihtasutuste registrisse kantud juriidilise isiku teatamiskohustus

  Enne käesoleva seaduse jõustumist äriregistrisse või mittetulundusühingute ja sihtasutuste registrisse kantud juriidilise isiku juhatus deklareerib äriregistrile tegeliku kasusaaja andmed 60 päeva jooksul käesoleva sätte jõustumisest arvates.

§ 105.  Teatamiskohustuse täitmise vorm

  Käesoleva seaduse § 50 lõikes 2 nimetatud teade esitatakse kuni 2018. aasta 30. juunini suuliselt, kirjalikult või kirjalikku taasesitamist võimaldavas vormis. Kui teade esitati suuliselt, korratakse seda hiljemalt järgmisel tööpäeval kirjalikult või kirjalikku taasesitamist võimaldavas vormis.

§ 106.  Audiitortegevuse seaduse muutmine

Audiitortegevuse seaduse § 48 lõike 3 punktis 8 asendatakse tekstiosa „§ 34 lõike 3 punkti 2” tekstiosaga „§ 51 lõike 2 punkti 4”.

§ 107.  Finantsinspektsiooni seaduse muutmine

Finantsinspektsiooni seaduses tehakse järgmised muudatused:

1) paragrahvi 46 lõiget 3 täiendatakse punktiga 41 järgmises sõnastuses:

„41) rahapesu ja terrorismi rahastamise tõkestamise seaduse alusel menetletud väärteoasjas tehtud jõustunud lahendist või haldusaktist ning sunniraha määramisest, samuti nimetatud otsuste suhtes esitatud vaietest või kaebustest;”;

2) paragrahvi 47 lõige 3 muudetakse ja sõnastatakse järgmiselt:

„(3) Inspektsioonil on õigus kasutada käesoleva seaduse ja muude õigusaktidega või nende alusel talle antud õigusi, volitusi ja teavet, et täita Euroopa järelevalveasutuse, lepinguriigi ning muu välisriigi finantsjärelevalve asutuse taotlus teabe saamiseks, õiguse kitsendamiseks või muu akti või toimingu tegemiseks. Kui edastatav teave seondub rahapesu ja terrorismi rahastamise või selliste tegevuste tõkestamisega ning pärineb teise lepinguriigi pädevalt asutuselt, tohib seda edastada üksnes selle asutuse loal või sellise loa andmisel seatud piirides.”;

3) paragrahvi 471 täiendatakse lõikega 45 järgmises sõnastuses:

„(45) Inspektsioon annab teada või selgitab teise lepinguriigi pädevale asutusele tema taotluse alusel, kuidas Inspektsioon on järelevalve käigus arvesse võtnud eelnimetatud liikmesriigi pädeva asutuse esitatud teavet ja tuvastatud asjaolusid.”;

4) paragrahvi 54 lõike 4 punkt 5 muudetakse ja sõnastatakse järgmiselt:

„5) Tagatisfondile või teise lepinguriigi asjaomasele asutusele või Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 artikli 113 lõikes 7 osutatud krediidiasutuste ja investeerimisühingute lepingulisele või omaalgatuslikule kaitseskeemile nende ülesannete täitmiseks vajalikus ulatuses;”.

§ 108.  Hasartmänguseaduse muutmine

Hasartmänguseaduse § 9 lõike 3 sissejuhatavas lauseosas asendatakse arv „8” arvuga „9”.

§ 109.  Korruptsioonivastase seaduse muutmine

Korruptsioonivastase seaduse § 16 lõiget 4 täiendatakse punktiga 4 järgmises sõnastuses:

„4) krediidiasutusel ja finantseerimisasutusel rahapesu ja terrorismi rahastamise tõkestamise seadusest tulenevate kohustuste täitmiseks.”.

§ 110.  Krediidiasutuste seaduse muutmine

Krediidiasutuste seaduses tehakse järgmised muudatused:

1) paragrahvi 63 lõike 2 punktis 6 asendatakse tekstiosa „§ 29 lõikes 1” tekstiosaga „§ 14 lõikes 1”;

2) paragrahvi 88 lõike 51 punkt 3 sõnastatakse järgmiselt:

„3) krediidiasutusega samasse konsolideerimisgruppi kuuluvale ettevõtjale, kes vajab pangasaladuseks olevaid andmeid rahapesu ja terrorismi rahastamise tõkestamise seaduses sätestatud hoolsusmeetmete kohaldamiseks, ning teisele isikule rahapesu ja terrorismi rahastamise tõkestamise seaduse § 51 rakendamiseks vajalikus ulatuses.”;

3) paragrahvi 89 lõige 21 tunnistatakse kehtetuks.

§ 111.  Makseasutuste ja e-raha asutuste seaduse muutmine

Makseasutuste ja e-raha asutuste seaduse § 1131 tunnistatakse kehtetuks.

§ 112.  Rahapesu ja terrorismi rahastamise tõkestamise seaduse kehtetuks tunnistamine

Rahapesu ja terrorismi rahastamise tõkestamise seadus (RT I 2008, 3, 21) tunnistatakse kehtetuks.

§ 113.  Rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmine

Rahapesu ja terrorismi rahastamise tõkestamise seaduse § 9 lõike 9 punktis 2 ja § 76 lõike 3 punktis 1 asendatakse sõna „korteriühistuseaduses” sõnadega „korteriomandi- ja korteriühistuseaduses”.

§ 114.  Rahvusvahelise sanktsiooni seaduse muutmine

Rahvusvahelise sanktsiooni seaduse § 6 punktist 8 jäetakse välja tekstiosa „, välja arvatud reguleeritud turu korraldaja ja väärtpaberiarveldussüsteemi korraldaja, väärtpaberite registri pidamise seaduse tähenduses”.

§ 115.  Võlaõigusseaduse muutmine

Võlaõigusseaduse § 7101 lõikes 5 asendatakse tekstiosa „§ 27 lõikes 1” tekstiosaga „§ 42 lõikes 1”.

§ 116.  Väärtpaberituru seaduse muutmine

Väärtpaberituru seaduse § 54 lõike 1 punktis 13 asendatakse tekstiosa „§ 29 lõikes 1” tekstiosaga „§ 14 lõikes 1”.

§ 117.  Äriseadustiku muutmine

Äriseadustikus tehakse järgmised muudatused:

1) paragrahvi 53 lõike 5 punktis 4 asendatakse tekstiosa „§ 15 lõikes 41” tekstiosaga „§ 27 lõikes 2” ning § 520 lõigetes 41 ja 5 asendatakse tekstiosa „§ 15 41. lõikes” tekstiosaga „§ 27 2. lõikes”;

2) paragrahvi 520 lõikes 51 asendatakse tekstiosa „§ 15 41. lõikes” tekstiosaga „§ 27 2. lõikes” ja tekstiosa „§ 27 4. lõikega” tekstiosaga „§ 44 1. lõikega”;

3) paragrahvi 520 lõikes 52 asendatakse tekstiosa „§ 15 41. lõikes” tekstiosaga „§ 27 2. lõikes” ja tekstiosa „§ 40 1” tekstiosaga „§ 57 1” ning tekstiosa „ § 40 4” tekstiosaga „ § 57 5”;

4) seadustiku normitehnilist märkust täiendatakse tekstiosaga järgmises sõnastuses:

„Euroopa Parlamendi ja nõukogu direktiiv 2011/16/EL maksustamisalase halduskoostöö kohta ja direktiivi 77/799/EMÜ kehtetuks tunnistamise kohta (ELT L 64, 11.03.2011, lk 1–12), muudetud direktiividega 2014/107/EL (ELT L 359, 16.12.2014, lk 1–29), 2015/2376/EL (ELT L 332, 18.12.2015, lk 1–10), 2016/881 (ELT L 148, 03.06.2016, lk 8–21) ja 2016/2258/EL (ELT L 342, 16.12.2016, lk 1–3).”.

§ 118.  Äriseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse (juriidilise isiku ja tema juhatuse või seda asendava organi asukoht) muutmine

Äriseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse (juriidilise isiku ja tema juhatuse või seda asendava organi asukoht) (RT I, 20.04.2017, 1) paragrahvi 1 punktis 4 esitatud äriseadustiku § 631 lõike 2 teises lauses asendatakse arv „7” arvuga „8”.

§ 119.  Seaduse jõustumine

  (1) Käesoleva seaduse § 19 lõige 3 ja §-d 76–80 jõustuvad 2018. aasta 1. septembril.

  (2) Käesoleva seaduse § 113 jõustub 2018. aasta 1. jaanuaril.

  (3) Käesoleva seaduse §-d 81 ja 95 jõustuvad 2019. aasta 1. jaanuaril.

https://www.riigiteataja.ee/otsingu_soovitused.json