67
VYHLÁŠKA
ze dne 11. dubna 2018
o některých požadavcích na systém vnitřních zásad, postupů a kontrolních opatření proti legalizaci výnosů z trestné činnosti a financování terorismu
Česká národní banka stanoví podle § 21 odst. 9 zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění zákona č. 368/2016 Sb.:
§ 1
Předmět úpravy
Tato vyhláška upravuje požadavky na zavedení a uplatňování
a)
postupů pro provádění kontroly klienta a stanovování rozsahu kontroly klienta odpovídající riziku legalizace výnosů z trestné činnosti a financování terorismu (dále jen „riziko“) v závislosti na typu klienta, obchodního vztahu, produktu nebo obchodu a
b)
přiměřených a vhodných metod a postupů pro posuzování rizik, řízení rizik, vnitřní kontrolu a zajišťování kontroly nad dodržováním povinností stanovených zákonem č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, (dále jen „zákon“)
institucemi v rámci systému vnitřních zásad podle § 21 odst. 2 zákona.
§ 2
Osobní působnost
(1)
Vyhláška se vztahuje na instituci, která podléhá dohledu České národní banky1) a podléhá povinnosti vypracovat systém vnitřních zásad.
(2)
Instituce, která ve vztahu k některému klientovi uplatňuje výjimku z povinnosti identifikace a kontroly klienta v souladu s § 13a zákona, není povinna ve vztahu k tomuto klientovi, v rozsahu uplatňované výjimky, naplňovat požadavky podle § 6 až 10.
(3)
Instituce, která ve vztahu ke klientovi provádí zjednodušenou identifikaci a kontrolu klienta podle § 13 zákona, naplňuje ve vztahu k tomuto klientovi požadavky podle § 6 až 10 přiměřeně rozsahu prováděné zjednodušené identifikace a kontroly klienta.
§ 3
Vymezení pojmů
(1)
Pro účely této vyhlášky se rozumí
a)
institucí povinná osoba podle § 2 odst. 1 písm. a) a písm. b) bodů 1 až 10, 15 a písm. h) bodu 5 a odst. 2 písm. a) zákona, která podléhá dohledu České národní banky,
b)
neprůhlednou vlastnickou strukturou stav, kdy nelze zjistit skutečného majitele nebo vlastnickou a řídicí strukturu klienta z
1.
veřejného rejstříku, evidence svěřenských fondů nebo evidence skutečných majitelů vedených orgánem veřejné moci České republiky,
2.
obdobného rejstříku nebo evidence jiného státu, ani
3.
jiného zdroje nebo kombinace zdrojů, které instituce důvodně považuje za důvěryhodné a o kterých se důvodně domnívá, že ve svém celku poskytují úplné a aktuální informace o skutečném majiteli a vlastnické a řídicí struktuře klienta, zejména pokud budou vydány orgánem veřejné moci, nebo budou úředně ověřené; čestné prohlášení samo o sobě nelze pro potřeby zjišťování skutečného majitele a vlastnické a řídicí struktury považovat za důvěryhodný zdroj.
(2)
Pro účely ustanovení § 7, § 9 odst. 3 a odst. 4 a § 11 se právnickou osobou rozumí také svěřenský fond, na který se tato ustanovení použijí přiměřeně.
§ 4
Obecná ustanovení
(1)
Instituce zavede a uplatňuje postupy pro vypracování, přijímání, změnu, zavádění a uplatňování hodnocení rizik a systému vnitřních zásad (dále jen „vnitřní předpisy“).
(2)
Instituce ve svých vnitřních předpisech zohlední obecné pokyny a doporučení Evropského orgánu pro bankovnictví2), Evropského orgánu pro cenné papíry3), Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění4), Společného výboru evropských orgánů dohledu5) a Orgánu pro boj proti praní peněz a financování terorismu9) v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu v rozsahu, ve kterém se na instituci vztahují, uveřejněné v českém jazyce Českou národní bankou na jejích internetových stránkách.
(3)
Instituce při vypracování a dodržování svých vnitřních předpisů, včetně postupů identifikace a kontroly klienta, zohledňuje uznávané a osvědčené principy a postupy v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „uznávané standardy“), jejichž přehled uveřejňuje Česká národní banka na svých internetových stránkách. Tím není dotčeno právo instituce zvolit a ve vnitřních předpisech zohlednit i jiné uznávané standardy, které jsou aktuální a přiměřené povaze, rozsahu a složitosti jí vykonávaných činností; jejich obsah nebo použití však nesmí být v rozporu s požadavky právních předpisů, ani obcházet jejich účel.
(4)
Instituce zajistí, že jsou její vnitřní předpisy a jí zvolené uznávané standardy aktuální a přiměřené povaze, rozsahu a složitosti vykonávaných činností. Instituce ve vnitřních předpisech určí minimální intervaly, ve kterých posuzuje a případně aktualizuje své vnitřní předpisy. Tyto intervaly musí být přiměřené k tomu, aby vnitřní předpisy instituce byly i nadále aktuální a odpovídaly skutečnému stavu a vždy zohlednily produkty a služby nabízené institucí před jejich uvedením na trh a technologie předtím, než je instituce začne využívat.
(5)
Instituce dále bez zbytečného odkladu posoudí aktuálnost vnitřních předpisů a zajistí jejich případnou aktualizaci vždy, pokud tato potřeba vyplyne
a)
ze závěru učiněného v hodnocení rizik,
b)
z informace, kterou instituce získá a která směřuje k závěru, že hodnocení rizik nebo k němu využité podklady již nejsou aktuální,
c)
ze změny v obchodní činnosti nebo strategii instituce,
d)
ze změny právních předpisů, nebo
e)
z informací o změně v národním hodnocení rizik podle § 30a zákona.
(6)
Instituce vždy zaznamená výsledek posouzení podle odstavců 4 a 5 a jeho důvody.
(7)
Je-li to důvodné, v návaznosti na aktualizaci podle odstavců 4 a 5 instituce aktualizuje rovněž rizikové profily klientů, a to ve lhůtě přiměřené jejich rizikovému profilu.
§ 5
Hodnocení rizik
(1)
Při hodnocení rizik instituce vždy zohlední
a)
národní hodnocení rizik vypracované v souladu s § 30a zákona,
b)
evropské hodnocení rizik vypracované Evropskou komisí6),
c)
metodické a výkladové materiály a rozhodnutí České národní banky a Finančního analytického úřadu,
d)
informace poskytované Finančním analytickým úřadem a orgány činnými v trestním řízení a
e)
informace získané při identifikaci a kontrole klientů.
(2)
Instituce při hodnocení rizik zohlední alespoň takový rozsah a druhy zdrojů informací, které zajistí, že hodnocení rizik skutečně vypovídá o reálných rizicích spojených s činností instituce.
(3)
Instituce v hodnocení rizik vždy zohlední
a)
povahu své obchodní činnosti,
b)
produkty a služby, které nabízí a poskytuje, a možnosti jejich zneužití k legalizaci výnosů z trestné činnosti a financování terorismu,
c)
rizika spojená s využitím nových technologií při své obchodní činnosti,
d)
rizika spojená s distribučními kanály, které využívá k nabízení a poskytování svých produktů a služeb, a
e)
opatření, která instituce přijala a aplikuje k řízení rizik.
(4)
Instituce zohlední v hodnocení rizik i další opatření, zvláštní rizika a specifické faktory neuvedené v § 5 odst. 3, pokud vyplývají z konkrétní povahy její činnosti.
(5)
Instituce zaznamená postupy, které využila k sestavení svého hodnocení rizik, a důvody, na jejichž základě učinila závěry obsažené v hodnocení rizik.
Stanovení rizikového profilu a další postupy při vzniku a v průběhu obchodního vztahu a při uskutečnění obchodu mimo obchodní vztah
§ 6
Instituce v rámci svého systému vnitřních zásad zavede a uplatňuje pravidla a postupy, podle kterých při vzniku obchodního vztahu a v jeho průběhu
a)
stanoví rizikový profil klienta a přitom zohlední
1.
získané informace o klientovi,
2.
instituci známé faktory zvyšující či snižující riziko spojené s klientem, obchodním vztahem či souvisejícím probíhajícím obchodem mimo obchodní vztah a
3.
své vlastní hodnocení rizik a
b)
přijímá odpovídající opatření vůči klientovi v návaznosti na jeho rizikový profil.
§ 7
(1)
Jako součást pravidel a postupů pro stanovení rizikového profilu klienta instituce určí faktory, které při stanovení rizikového profilu klienta zohledňuje, váhu jednotlivých faktorů a jejich vzájemné vztahy. Tato pravidla a postupy instituce zavede a uplatňuje způsobem, který zajistí účinné řízení rizik. Tímto není dotčena povinnost podle § 9 odst. 2.
(2)
Mezi faktory, které instituce zohlední podle odstavce 1, pokud je to důvodné, patří zejména:
a)
země původu klienta, skutečného majitele a osoby, která je oprávněna jednat jménem klienta,
b)
země původu osoby, která má přímou nebo nepřímou účast v klientovi, který je právnickou osobou, a země původu osoby, na níž má takový klient přímou nebo nepřímou účast,
c)
země původu osoby, která je členem statutárního orgánu klienta, zástupcem právnické osoby v tomto orgánu anebo je v postavení obdobném postavení člena statutárního orgánu, a osoby, která je osobou v řídicí struktuře klienta podle § 11 odst. 4 věty druhé či má jinak možnost vykonávat vliv v klientovi, který je právnickou osobou,
d)
země, ve které má pobočku anebo provozovnu klient, který je právnickou osobou, která podléhá povinnostem podle § 24a zákona či rovnocenným povinnostem podle práva jiného státu,
e)
země, ze které nebo do které byl či má být v souvislosti s obchodem převeden nebo poskytnut předmět obchodu,
f)
vlastnická a řídicí struktura klienta, který je právnickou osobou,
g)
právní forma klienta,
h)
předměty činnosti nebo povolání klienta a jeho skutečného majitele,
i)
bydliště nebo sídlo klienta,
j)
chování klienta nebo osoby, která jej zastupuje, v rámci obchodu nebo obchodního vztahu,
k)
vlastnosti využívaných produktů a služeb, povaha obchodu nebo obchodního vztahu,
l)
vlastnosti využívaného distribučního kanálu a účast osob odlišných od klienta na obchodu nebo obchodním vztahu,
m)
původ peněžních prostředků klienta,
n)
původ jmění klienta a jeho skutečného majitele,
o)
informace o osobě, která je právnickou osobou a na které má klient přímou nebo nepřímou účast, či má jinak možnost v ní vykonávat vliv,
p)
způsob provedení první identifikace klienta,
q)
způsob zjištění a ověření vlastnické a řídicí struktury klienta, který je právnickou osobou,
r)
negativní informace o klientovi nebo jeho skutečném majiteli získané z médií nebo jiných relevantních zdrojů informací,
s)
převod virtuálních aktiv na nehostovanou adresu nebo z nehostované adresy.
(3)
Instituce v případě obchodního vztahu pravidelně kontroluje platnost a úplnost údajů o klientovi a případně aktualizuje rizikový profil klienta. Instituce ve svém systému vnitřních zásad zavede a uplatňuje postupy pro provádění aktualizace rizikového profilu klienta a určí skutečnosti, na jejichž základě bude aktualizace vždy provedena. Instituce zároveň stanoví maximální pravidelné intervaly pro provádění aktualizace rizikového profilu klienta v závislosti na jeho rizikovém profilu. Instituce zaznamená informace o posouzení rizikového profilu klienta a provedení jeho aktualizace spolu s odůvodněním učiněných závěrů, a to i v případě, že došla k závěru, že není namístě učinit změny.
(4)
Pokud instituce využívá automatizovaného systému k hodnocení rizikovosti klienta, musí mít možnost v odůvodněných případech změnit automatizovaně vygenerované hodnocení.
(5)
V případě poskytování služeb spojených s životním pojištěním instituce při hodnocení rizik daného obchodního vztahu vždy zohlední i informace, které má k dispozici o osobě, která má právo na plnění ze životního pojištění.
(6)
Instituce při stanovení rizikového profilu klienta v rámci obchodního vztahu zároveň zohlední i riziko spojené s probíhajícími, provedenými a zvažovanými obchody v rámci obchodního vztahu.
Kontrola klienta
§ 8
(1)
Instituce v rámci systému vnitřních zásad zavede a uplatňuje vůči klientovi v návaznosti na jeho rizikový profil opatření, která zajistí účinné řízení rizik, zejména aby instituce vždy měla dostatek informací k posouzení rizika spojeného s klientem, obchodem a obchodním vztahem, a aby byla schopna identifikovat případný podezřelý obchod.
(2)
V rámci opatření uplatňovaných vůči klientovi podle odstavce 1 instituce zavede a uplatňuje zejména postupy
a)
k rozhodování o uskutečnění či odmítnutí obchodu, nebo o navázání obchodního vztahu s klientem či ukončení již existujícího obchodního vztahu,
b)
pro provádění kontroly klienta, zejména rozsah a četnost prováděných opatření.
§ 9
(1)
V případě rizikového profilu s vyšším rizikem vykonává instituce zesílenou identifikaci a kontrolu klienta v rozsahu a způsobem, který zajistí účinné řízení identifikovaného rizika.
(2)
Zesílená identifikace a kontrola klienta spočívá zejména v některém z následujících opatření nebo v jejich kombinaci:
a)
zesílené monitorování obchodního vztahu a obchodů v rámci obchodního vztahu,
b)
širší rozsah požadovaných informací o klientovi, zejména informace o jeho skutečném majiteli, vlastnické a řídicí struktuře klienta, který je právnickou osobou, povaze obchodního vztahu, realizovaném obchodu nebo zdroji peněžních prostředků,
c)
předchozí schválení navázání obchodního vztahu nebo provedení obchodu v rámci obchodního vztahu i mimo něj alespoň jedním zaměstnancem instituce, jehož funkční zařazení je o úroveň vyšší, než je funkční zařazení zaměstnance nebo zaměstnanců instituce podílejících se na předmětném obchodu s klientem, případně statutárním orgánem instituce nebo jím pověřené osoby k řízení instituce v oblasti opatření proti legalizaci výnosů z trestné činnosti a financování terorismu,
d)
omezení přístupu k některým produktům a službám, které jsou podle posouzení instituce spojené s vyšším rizikem,
e)
požadavek, aby první platba byla provedena z účtu vedeného na jméno klienta u úvěrové instituce nebo u zahraniční úvěrové instituce, která podléhá povinnostem identifikace a kontroly klienta, které jsou alespoň rovnocenné požadavkům práva Evropské unie,
f)
ověřování získaných informací z více důvěryhodných zdrojů nebo
g)
jiná odpovídající opatření v návaznosti na vlastnosti instituce a její činnosti.
(3)
Instituce vždy stanoví u klienta rizikový profil s vyšším rizikem v případě identifikace některého z následujících faktorů zvýšeného rizika:
a)
některá ze zemí původu klienta, osoby oprávněné s institucí jednat jménem klienta, nebo některá ze zemí původu skutečného majitele klienta, je třetí zemí, která má strategické nedostatky v boji proti legalizaci výnosů z trestné činnosti a financování terorismu podle přímo použitelného předpisu Evropské unie7) nebo je takto označena jako vysoce riziková jurisdikce podléhající výzvě k akci Finančním akčním výborem (FATF) ve veřejném prohlášení zveřejněném na jeho internetových stránkách nebo je třeba ji považovat za vysoce rizikovou z jiného důvodu,
b)
klient, osoba oprávněná s institucí jednat za klienta, skutečný majitel klienta, osoby ve vlastnické a řídicí struktuře klienta, který je právnickou osobou, nebo, pokud jsou tyto osoby či majitel instituci známi, osoba, se kterou klient uskutečňuje obchod, osoba, kterou klient ovládá, fyzická osoba, za kterou se obchod provádí, nebo skutečný majitel osoby, se kterou klient uskutečňuje obchod, jsou zapsáni na seznamu osob subjektů, orgánů nebo organizovaných skupin, vůči nimž jsou uplatňována omezující nebo jiná opatření v souladu s jinými právními předpisy sloužícími k provádění mezinárodních sankcí8),
c)
klient nebo jeho skutečný majitel jsou politicky exponované osoby, nebo je instituci známo, že jednají ve prospěch politicky exponované osoby,
d)
klient má neprůhlednou vlastnickou strukturu; o neprůhlednou vlastnickou strukturu se nejedná, pokud je klient právnickou osobou, jejíž cenné papíry jsou přijaty k obchodování na evropském regulovaném trhu nebo zahraničním trhu obdobnému evropskému regulovanému trhu, pokud podléhá požadavkům na zveřejnění informací rovnocenným požadavkům práva Evropské unie,
e)
klient není fyzickou osobou, za kterou se obchod provádí,
f)
klient, který je právnickou osobou, nevykonává, pokud je instituci známo, žádnou ekonomickou činnost,
g)
podezření, že skutečný majitel klienta, který je právnickou osobou, je zastřený v důsledku smlouvy mezi skutečným majitelem a osobou vystupující jako společník, člen statutárního orgánu nebo osoba v postavení obdobném postavení člena statutárního orgánu.
(4)
Instituce uplatní vždy zesílenou identifikaci a kontrolu klienta v případě identifikace některého z následujících faktorů zvýšeného rizika:
a)
podle informací, které má instituce k dispozici, předmět obchodu byl či má být v souvislosti s obchodem převeden nebo poskytnut ze třetí země, která má strategické nedostatky v boji proti legalizaci výnosů z trestné činnosti a financování terorismu podle přímo použitelného předpisu Evropské unie7) nebo která je označena jako vysoce riziková jurisdikce podléhající výzvě k akci Finančním akčním výborem nebo kterou je třeba považovat za vysoce rizikovou z jiného důvodu, nebo předmět obchodu byl či má být v souvislosti s obchodem převeden nebo poskytnut do takové třetí země, nebo s takovou třetí zemí jinak souvisí,
b)
některý z předmětů činnosti klienta, který je právnickou osobou, je rizikový,
c)
jedná se o neobvykle složitý nebo objemný obchod, neobvyklý způsob obchodování, nebo obchod, u kterého není zřejmý jeho ekonomický a zákonný účel, nebo neobvyklé chování klienta, které neodpovídá dosavadnímu průběhu obchodního vztahu,
d)
informace, které má instituce k dispozici, nasvědčují tomu, že klient v posledních 5 letech jednal protiprávně, pokud tímto protiprávním jednáním mohly být legalizovány výnosy z trestné činnosti nebo financován terorismus anebo se s tímto protiprávním jednáním pojí obava z následné legalizace výnosů z trestné činnosti nebo financování terorismu; zejména pokud je takové protiprávní jednání spojované s obavou z legalizace výnosů z trestné činnosti nebo financování terorismu uvedeno v národním hodnocení rizik,
e)
první identifikace klienta proběhla podle § 11 odst. 7 zákona nebo obdobným způsobem podle zahraniční právní úpravy, ledaže klient využívá produkt s potenciálně nižším rizikem zneužití pro legalizaci výnosů z trestné činnosti nebo financování terorismu v souladu s hodnocením rizik podle § 21a zákona nebo využívá službu s potenciálně nižším rizikem zneužití pro legalizaci výnosů z trestné činnosti nebo financování terorismu v souladu s hodnocením rizik podle § 21a zákona.
(5)
Instituce v rámci systému vnitřních zásad stanoví kritéria k určení, kdy se jedná o obchod nebo způsob obchodování nebo chování podle odstavce 4 písm. c). Instituce dále zavede a uplatňuje pravidla a postupy k identifikaci takových obchodů a způsobů obchodování a chování.
(6)
V případě identifikace faktoru zvýšeného rizika uvedeného v odstavci 4 instituce uplatní alespoň opatření zesílené identifikace a kontroly klienta podle odstavce 2 písm. b), zejména vždy zkoumá pozadí a účel takových obchodů a způsobu obchodování.
§ 10
(1)
Instituce vždy bez zbytečného odkladu ověří informace, které má o klientovi k dispozici, pokud má pochybnosti o pravdivosti, úplnosti nebo správnosti dříve získaných informací.
(2)
Instituce v rámci systému vnitřních zásad zavede a uplatňuje pravidla a postupy, podle kterých při změně právní úpravy v oblasti boje proti legalizaci výnosů z trestné činnosti a financování terorismu nebo souvisejících právních předpisů ověřuje, zda množství a druh informací, které má k dispozici o svých stávajících klientech, i nadále splňuje požadavky nové právní úpravy, včetně pravidel a postupů k zajištění nápravy, je-li potřebná. Pokud právní předpis nestanoví jinak, může instituce při určení časového rámce, ve kterém vykoná toto ověření, zohlednit rizikový profil klienta.
(3)
Instituce v rámci systému vnitřních zásad zavede a uplatňuje postupy a pravidla, podle nichž se řídí při hodnocení, zda by provedení kontroly nebo její dílčí části mohlo vést ke zmaření nebo ohrožení šetření podezřelého obchodu podle § 9b zákona. Tato pravidla zahrnují alespoň postup ke zjištění důvodu pro neprovedení kontroly klienta, jeho vyhodnocení a postup při uskutečnění obchodu a oznámení podezřelého obchodu v takových případech, včetně náležitostí oznámení podle § 18 odst. 7 zákona. Instituce v těchto případech důvody a okolnosti neprovedení kontroly nebo její dílčí části zaznamená.
§ 11
(1)
Instituce vykonává kontrolu klienta v takovém rozsahu a takovým způsobem, aby byla schopná plně posoudit, pochopit a řídit rizika spojená s tímto klientem, obchodem nebo obchodním vztahem.
(2)
Instituce učiní všechna opatření, která lze rozumně požadovat, ke zjištění všech zemí původu klienta, zemí původu jeho skutečného majitele a zemí původu osoby oprávněné s institucí jednat jménem klienta.
(3)
V případě klienta, který je právnickou osobou nebo podnikající fyzickou osobou, instituce získá informace o činnosti klienta postačující k porozumění této činnosti. Instituce zjistí a při posouzení rizika klienta, který je právnickou osobou nebo podnikající fyzickou osobou, zohlední všechny činnosti vykonávané klientem.
(4)
V zájmu pochopení řídicí struktury klienta, který je právnickou osobou, instituce zjistí vždy alespoň všechny osoby, které jsou členem statutárního orgánu klienta anebo v postavení obdobném postavení člena statutárního orgánu, a tyto informace zaznamená. Je-li u klienta podle věty první členem jeho statutárního orgánu anebo v postavení obdobném postavení člena statutárního orgánu rovněž právnická osoba, instituce zjistí vždy také všechny osoby, které jsou členy statutárního orgánu nebo v postavení obdobném postavení člena statutárního orgánu této právnické osoby.
(5)
V zájmu pochopení vlastnické struktury klienta, který je právnickou osobou, instituce zjistí skutečného majitele a posoudí strukturu vlastnických vztahů.
§ 12
Mezinárodní sankce
(1)
Instituce v rámci systému vnitřních zásad zavede a uplatňuje pravidla a postupy k identifikaci faktoru zvýšeného rizika podle § 9 odst. 3 písm. b).
(2)
Instituce v rámci systému vnitřních zásad zavede a uplatňuje pravidla a postupy k účinnému řízení rizik souvisejících s identifikací faktoru zvýšeného rizika podle odstavce 1. Tato pravidla a postupy zahrnují alespoň pravidla a postupy k včasnému naplnění povinností podle právních předpisů, které slouží k provádění mezinárodních sankcí.
§ 13
Korespondenční vztahy
(1)
Instituce zajistí, aby při vzniku korespondenčního vztahu s respondenční institucí podle § 25 odst. 1 zákona byly zdokumentovány povinnosti a odpovědnost každé jednotlivé instituce související s korespondenčním vztahem z hlediska uplatňování opatření proti legalizaci výnosů z trestné činnosti a financování terorismu.
(2)
Instituce se při vzniku korespondenčního vztahu, který umožňuje přístup klientů respondenční instituce ke korespondenčnímu účtu, ujistí a po dobu trvání tohoto vztahu se pravidelně, v intervalech nastavených podle § 7 odst. 3, dále ujišťuje, že
a)
respondenční instituce provedla identifikaci a kontrolu všech svých klientů, kteří mají přístup k účtu respondenční instituce, a
b)
respondenční instituce je na vyžádání schopna instituci poskytnout informace získané při identifikaci a kontrole svých klientů, kteří mají přístup k účtu respondenční instituce.
(3)
Instituce vykonává průběžnou kontrolu a případnou aktualizaci informací o respondenční instituci, které má k dispozici na základě povinností uložených v § 25 odst. 2 a § 25b odst. 3 zákona a v odstavcích 1 a 2.
§ 14
Převzetí identifikace a identifikace na dálku
Instituce v rámci systému vnitřních zásad zavede a uplatňuje pravidla a postupy k určení, zda je přijatelné převzetí identifikace podle § 11 zákona v návaznosti na identifikované riziko. Tato pravidla a postupy obsahují opatření zajišťující odpovídající řízení rizika spojeného s umožněním využití platebního účtu vedeného u zahraniční úvěrové instituce pro provedení identifikace na dálku podle § 11 odst. 7 zákona a mohou obsahovat další opatření zajišťující odpovídající řízení rizik spojených s převzetím identifikace.
§ 15
Zvláštní ustanovení o institucích, které jsou součástí skupiny
(1)
Instituce, která je součástí skupiny, v rámci systému vnitřních zásad zohlední skupinové strategie a postupy k předcházení legalizaci výnosů z trestné činnosti a financování terorismu, které jsou v souladu s právním řádem České republiky. Systém vnitřních zásad instituce, která je součástí skupiny, rovněž zohlední další faktory spojené s účastí instituce ve skupině. Účast ve skupině a vlastnosti skupiny a její obchodní činnosti musí být zohledněny i v hodnocení rizik instituce.
(2)
Instituce, která je součástí skupiny, v rámci systému vnitřních zásad zohlední také své individuální vlastnosti a rizika s nimi spojená. Tyto individuální vlastnosti zohlední i ve svém hodnocení rizik. Pokud je instituce součástí skupiny, která působí i v jiné zemi, než je Česká republika, zohlední vnitřní předpisy instituce pravidla a prostředí České republiky.
(3)
Instituce, která je součástí skupiny, zohlední
a)
v rámci strategií a postupů pro sdílení informací v rámci skupiny alespoň informace o oznámených podezřelých obchodech, odmítnutí obchodu, navázání obchodního vztahu s klientem či ukončení již existujícího obchodního vztahu z důvodu souvisejícího s rizikem legalizace výnosů z trestné činnosti nebo financování terorismu a informace ovlivňující rizikový profil klienta a
b)
informace získané při sdílení v rámci skupiny v rizikovém profilu klienta; přitom přihlédne ke specifickým rizikům produktů a služeb, které nabízí.
§ 16
Personální zajištění
(1)
Instituce v rámci systému vnitřních zásad zavede a uplatňuje pravidla a postupy k zajištění, aby personální zdroje instituce byly přiměřené povaze, rozsahu a složitosti jí vykonávaných činností a zajišťovaly účinné plnění povinností k předcházení legalizaci výnosů z trestné činnosti a financování terorismu.
(2)
Instituce v rámci systému vnitřních zásad zavede pozici kontrolora dodržování předpisů v oblasti předcházení legalizace výnosů z trestné činnosti a financování terorismu, ledaže to není přiměřené rozsahu a povaze jejího podnikání.
(3)
Postupy a zásady zajišťující odpovídající personální zdroje instituce v rozsahu podle odstavce 1 a 2 zahrnují alespoň
a)
určení okruhu zaměstnanců podílejících se na systému instituce k předcházení legalizaci výnosů z trestné činnosti a financování terorismu, včetně osob, které se mohou při výkonu své činnosti setkat s podezřelými obchody (dále jen „odpovědní zaměstnanci“),
b)
postupy a zásady pro výběr odpovědných zaměstnanců stanovující alespoň požadavky na znalosti a zkušenosti odpovědných zaměstnanců odpovídající jejich pracovní náplni a zařazení,
c)
minimální frekvenci a způsob školení odpovědných zaměstnanců a osob, které se na předmětu činnosti instituce podílejí jinak než v základním pracovněprávním vztahu, podle § 23 zákona,
d)
postupy pro výběr a pověření člena statutárního orgánu podle § 22a zákona a rozsah jeho povinností a pravomocí při plnění povinností vyplývajících ze zákona a této vyhlášky; je-li to opodstatněné rozsahem a povahou činnosti, instituce v postupech pro výběr a pověření zajistí funkční a efektivní oddělení neslučitelných funkcí,
e)
postupy, zásady a pravidla pro výběr kontrolora dodržování předpisů v oblasti předcházení legalizace výnosů z trestné činnosti a financování terorismu a vymezení jeho povinností a pravomocí.
§ 17
(1)
Instituce zajistí, aby osoba, která vyhodnocuje možné podezření na legalizaci výnosů z trestné činnosti nebo financování terorismu,
a)
měla přístup ke všem informacím potřebným k vyhodnocení podezřelosti obchodu a
b)
měla přístup k informacím obsaženým v informačním systému instituce umožňujícím rychlé a účinné vyhledávání, sledování a vyhodnocování potřebných informací.
(2)
Vyhledávání informací zajišťuje instituce automatizovaným způsobem, ledaže je to nepřiměřené její velikosti nebo rozsahu či povaze její obchodní činnosti.
§ 17a
Lhůta pro šetření
Instituce ve svých vnitřních předpisech určí přiměřenou lhůtu pro šetření možného podezření na legalizaci výnosů z trestné činnosti nebo financování terorismu tak, aby byla schopna účinně plnit povinnosti k předcházení legalizaci výnosů z trestné činnosti a financování terorismu. Instituce počítá tuto lhůtu od okamžiku, kdy získala informaci o provedení obchodu či chování klienta, která zakládá možné podezření na legalizaci výnosů z trestné činnosti nebo financování terorismu.
§ 17b
Technické vybavení
Instituce ve svých vnitřních předpisech vymezí technické vybavení v rozsahu potřebném pro účinné, přiměřené a včasné plnění postupů stanovených v rámci systému vnitřních zásad.
§ 18
Zpětná rekonstruovatelnost
(1)
Instituce zajistí, že schvalovací a rozhodovací procesy a kontrolní činnosti v rámci systému vnitřních zásad, včetně jejich důvodů, souvisejících odpovědností, pravomocí, podkladů a posouzení zprávy hodnotící činnost instituce v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu podle § 19 (dále jen „hodnotící zpráva“), včetně procesu identifikace a kontroly klienta, posouzení a stanovení rizikového profilu klienta, volby odpovídajících opatření užitých vůči klientovi či posouzení související s podáním oznámení o podezřelém obchodu, jsou zpětně rekonstruovatelné.
(2)
K zabezpečení požadavku podle odstavce 1 instituce zavede a uplatňuje systém uchování informací v rozsahu podle § 16 zákona, který zahrnuje rovněž informace o zjištěních a úkonech učiněných při identifikaci a kontrole klienta a při přezkoumávání obchodů a korespondenci vztahující se k obchodům a obchodním vztahům, a dále informace o opatřeních uplatněných vůči klientovi na základě jeho rizikového profilu. V rámci systému uchování informací instituce zajistí rekonstruovatelnost sestavení, vyhodnocení a aktualizace rizikového profilu klienta.
(3)
Instituce zajistí zpětnou rekonstruovatelnost podle odstavce 1 tak, že vede záznamy způsobem, který umožní v případě potřeby zjistit, kterých konkrétních osob se týkají úkony a zjištění učiněné v rámci identifikace a kontroly klienta, kdo a kdy daný úkon či zjištění za instituci provedl a s jakým výsledkem, na základě jakých podkladů a důvodů, a kdy a kým byl daný podklad či údaj vložen do dokumentace vedené v souvislosti s klientem.
Hodnotící zpráva
§ 19
(1)
Instituce v rámci vnitřních kontrolních činností nejméně jednou za 12 po sobě jdoucích kalendářních měsíců vypracuje hodnotící zprávu, v níž zhodnotí tyto skutečnosti:
a)
zda postupy a opatření, které instituce uplatňuje v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu, jsou dostatečně účinné,
b)
zda byly v systému vnitřních zásad instituce v uplynulém období zjištěny nedostatky, a jaká rizika z toho mohou pro instituci plynout,
c)
jaká opatření instituce přijala k vyloučení či zmírnění rizik podle písmene b) a
d)
zjištění vnitřního auditu, povinného auditu nebo jiného odpovídajícího ověření, pokud byly takový audit nebo jiné ověření v daném období provedeny, a opatření na ně navazující.
(2)
Závěry a hodnocení obsažené v hodnotící zprávě musejí být řádně odůvodněny. Hodnotící zprávu vždy schvaluje alespoň pověřená osoba podle § 22a zákona. Má-li instituce zřízenu pozici kontrolora dodržování předpisů v oblasti předcházení legalizace výnosů z trestné činnosti a financování terorismu, zpracovává tento kontrolor hodnotící zprávu nebo se k úplnosti a správnosti hodnotící zprávy alespoň vyjadřuje. V případě, že pozice kontrolora dodržování předpisů v oblasti předcházení legalizace výnosů z trestné činnosti a financování terorismu zřízena institucí není, zpracovává hodnotící zprávu kontaktní osoba podle § 22 zákona nebo hodnotící zpráva obsahuje alespoň vyjádření kontaktní osoby k úplnosti a správnosti hodnotící zprávy.
(3)
Instituce v hodnotící zprávě uvede statistické údaje o oznámeních o podezřelých obchodech za období, za které je zpracována. Kde je to vhodné, tyto údaje rozčlení podle organizačního uspořádání nebo podle obchodních činností instituce. Instituce zahrne do hodnotící zprávy též vyhodnocení informací ohledně využití podaných oznámení o podezřelých obchodech, které od Finančního analytického úřadu obdrží.
(4)
V případě zjištění nedostatků v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu instituce v hodnotící zprávě uvede návrh na jejich odstranění.
§ 20
(1)
Instituce vypracuje hodnotící zprávu nejpozději do konce čtvrtého kalendářního měsíce následujícího po konci období, za které je zpracována.
(2)
Má-li instituce statutární orgán, projedná tento orgán hodnotící zprávu nejpozději do konce čtvrtého kalendářního měsíce následujícího po konci období, za které je zpracována, a vyjádří se ke zjištěným nedostatkům a návrhům v ní obsaženým.
(3)
Má-li instituce dozorčí radu, správní radu nebo kontrolní komisi, plní tyto povinnosti také tento orgán.
(4)
V případě zahraniční instituce, která působí na území České republiky prostřednictvím své pobočky, organizační složky, nebo provozovny, plní tyto povinnosti vedoucí této pobočky, organizační složky, nebo provozovny.
§ 21
(1)
Hodnotící zprávu spolu s vyjádřením podle § 19 odst. 2 a § 20 instituce uchovává nejméně po dobu 5 let od konce období, za které je zpracována.
§ 22
Zrušovací ustanovení
Zrušují se:
1.
Vyhláška č. 281/2008 Sb., o některých požadavcích na systém vnitřních zásad, postupů a kontrolních opatření proti legalizaci výnosů z trestné činnosti a financování terorismu.
2.
Vyhláška č. 129/2014 Sb., kterou se mění vyhláška č. 281/2008 Sb., o některých požadavcích na systém vnitřních zásad, postupů a kontrolních opatření proti legalizaci výnosů z trestné činnosti a financování terorismu.
§ 23
Účinnost
Tato vyhláška nabývá účinnosti dnem 1. října 2018.
Guvernér:
Ing. Rusnok v. r.
1)
§ 44 zákona č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů.
2)
Nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES, v platném znění.
3)
Nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro cenné papíry a trhy), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/77/ES, v platném znění.
4)
Nařízení Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES, v platném znění.
5)
Například čl. 54 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010.
6)
Článek 6 odst. 1 až 3 směrnice Evropského parlamentu a Rady (EU) 2015/849 ze dne 20. května 2015 o předcházení využívání finančního systému k praní peněz nebo financování terorismu, o změně nařízení Evropského parlamentu a Rady (EU) č. 648/2012 a o zrušení směrnice Evropského parlamentu a Rady 2005/60/ES a směrnice Komise 2006/70/ES.
7)
Například nařízení Komise v přenesené pravomoci (EU) 2016/1675 ze dne 14. července 2016, kterým se směrnice (EU) 2015/849 Evropského parlamentu a Rady doplňuje o identifikaci vysoce rizikových třetích zemí se strategickými nedostatky, v platném znění.
8)
Například zákon č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění pozdějších předpisů.
9)
Nařízení Evropského parlamentu a Rady (EU) 2024/1620 ze dne 31. května 2024, kterým se zřizuje Orgán pro boj proti praní peněz a financování terorismu a mění nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.