Izvješće o provedenom savjetovanju - Prijedlog Pravilnika o postupku utvrđivanja i provjere identiteta stranke na daljinu.
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | Aircash d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU | Temeljem teksta ovog Pravilnika vidljiva je namjera usklađivanja zakonodavnog okvira Republike Hrvatske s EBA Smjernicama o korištenju rješenja za uvođenje stranaka na daljinu prema članku 13. stavku 1. Direktive (EU) 2015/849 (EBA/GL/2022/15). EBA/GL/2022/15 smjernice primjenjuju načelo tehnološke neutralnosti kod uvođenja stranke na daljinu, odnosno utvrđivanja i provjere identiteta stranke na daljinu kao temeljno načelo kojim bi se izbjeglo pogodovanje određenim postojećim ili budućim tehnologijama, odnosno tehnološkim rješenjima i na taj način odgovorilo na potrebu za daljnjom inovacijom. Stoga, za potrebe odgovarajuće implementacije predmetnih EBA/GL/2022/15 potrebno je adekvatno slijediti načelo neutralnosti. EBA/GL/2022/15 smjernice primjenom načela tehnološke neutralnosti taksativno ne navode specifična tehnološka rješenja koja se mogu koristiti u postupku uvođenja stranke na daljinu već u određenim slučajevima propisuju dodatne uvjete koje pojedino rješenje mora zadovoljavati ovisno o eventualnim značajkama i postupcima obuhvaćenim unutar pojedinog rješenja. Primjerice, određen set zasebnih uvjeta (točka 44., odjeljak 4.4. EBA/GL/2022/15) mora biti zadovoljen ako se koristi rješenje gdje stranka ne komunicira sa zaposlenikom. Članak 52. ZSPNFT pretpostavlja mogućnost utvrđivanja i provjere identiteta stranke na temelju: - kvalificiranog certifikata za elektronički potpis – rješenja vezana uz Uredbu (EU) 910/2014, - videoelektroničke identifikacije – pojam koji nije zasebno definiran u ZSPNFT. Temelj za donošenje novog Pravilnika je članak 52. stavak 6. ZSPNFT, a isti navodi kako Ministar financija donosi pravilnik kojim propisuje minimalne tehničke uvjete koje moraju ispunjavati sredstva videoelektroničke identifikacije. U odnosu na pojmove „videoelektronička identifikacija“ i „sredstva videoelektroničke identifikacije“, a sukladno tekstu ZSPNFT, istaknuli bismo: - pojmovi „videoelektronička identifikacija“ i „sredstva videoelektroničke identifikacije“ nisu detaljno i zasebno definirani zakonom već su opći pojmovi šireg smisla koji podrazumijevaju mogućnost utvrđivanja i provjere identiteta na daljinu, - člankom 52. stavkom 4. ZSPNFT navedeni su uvjeti kad se utvrđivanje i provjera identiteta može provesti korištenjem sredstava videoelektroničke identifikacije, - člankom 52., stavkom 5. ZSPNFT propisan je set podataka koji se prikuplja, kao i način prikupa podataka kad iste nije moguće prikupiti u skladu s člankom 52., stavkom 6. ZSPNFT. Uzevši u obzir sve navedeno, smatramo kako je predmetnim zakonodavnim okvirom, koji koristi pojmove „videoelektronička identifikacija“ i „sredstva videoelektroničke identifikacije“ kao pojmove bez zasebnih i detaljnih zakonskih definicija koje bi uključivale taksativno nabrajanje možebitnih tehnoloških rješenja, ostavljena mogućnost za odgovarajuću i potpunu implementaciju načela tehnološke neutralnosti sadržanog u EBA/GL/2022/15 i to na temelju ovlasti Ministra financija sukladno članku 52. stavak 6. ZSPNFT. Stoga, smatramo kako bi poželjno bilo ne uvoditi dodatne definicije unutar teksta ovog Pravilnika koje bi mogle narušiti načelo tehnološke neutralnosti već jednostavno ostaviti mogućnost primjene pojmova „videoelektronička identifikacija“ i „sredstva videoelektroničke identifikacije“ kao općih pojmova šireg smisla, a kako su isti određeni u članku 52. ZSPNFT. Na navedeni način na pojmove koji nisu pobliže određeni unutar ovog Pravilnika primjenjivale bi se odredbe i definicije iz ZSPNFT kao višeg pravnog akta. | Primljeno na znanje | Zahvaljujemo na dostavljenom komentaru. |
| 2 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU | Smatramo da je paralelno s donošenjem ovog Pravilnika nužna i izmjena članka 52. ZSPNFT. - obrazloženje: ZSPNFT u članku 52. stavak 6. predviđa da Ministar Financia donese Pravilnik. koji bi uređivao isključivo minimalne tehničke uvjete koje trebaju ispunjavati sredstva videoelektroničke identifikacije. Ovaj nacrt Pravilnika nije usmjeren samo na tehničke uvjete sredstava videoelektroničke identifikacije, već uređuje i postupak, politike, kontrole, praćenje utvrđivanja i provjere identiteta stranke na daljinu, što je znatno šire područje u odnosu na Zakonski članak te prati zahtjeve EBA GL on remote customer onboarding. Dodatno, ZSPNFT za razliku od navedenih EBA Smjernica nije tehnološki neutralan, već članak 52. propisuje dva tehnološka načina uspostave poslovnog odnosa na daljinu: KEP i videoelektroničku identifikaciju, od čega se ovaj pravilnik odnosi samo na videoelektroničku identifikaciju, dok se za KEP ne predviđa donošenje podzakonskog akta te ostaje nejasno koja se pravila primjenjuju na takva tehnološka rješenja uspostave poslovnog odnosa na daljinu. Trebalo bi promijeniti ovlaštenje ministra financija iz čl. 52.st. 6. Zakona o sprječavanju pranja novca i financiranja terorizma tako da obuhvati i ovlast za implementaciju u RH regulativu Smjernice o korištenju rješenja za uvođenje stranaka na daljinu prema članku 13. stavku 1. Direktive (EU) 2015/849? Naime iz sadržaja ovog nacrta Pravilnika razumijevamo da su istim obuhvaćene navedene Smjernice. Stoga se ovaj komentar odnosi na sve odredbe koje prelaze opseg videolektroničke identifikacije. | Nije prihvaćen | Nakon provedenog savjetovanja sa zainteresiranom javnošću stručni nositelj izrade propisa je doradio uvodni dio Nacrta Pravilnika, koji uključuje preambulu, naziv te obuhvat sadržaja predmetnog propisa. Pravna osnova za donošenje Nacrta Pravilnika sadržana je u odredbi članka 52. stavka 6. a u vezi s člankom 15. stavkom 1. točkom 1. Zakona o sprječavaju pranja novca i financiranja terorizma. Obzirom na specifičnost područja koje se ovim Nacrtom Pravilnika regulira, potrebno je detaljno propisati ne samo tehničke uvjete za provođenje postupka ili mjere koje obveznik mora provoditi, već i politike, kontrole i postupke koje je obveznik dužan donijeti za postupak utvrđivanja i provjere identiteta na daljinu. |
| 3 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 1. | Prijedlog Pravilnika ne definira na dostatno transparentan način vrste tehničkih rješenja koje obveznici mogu implementirati u svrhu uspostave poslovnog odnosa na daljinu. Kroz čitanje teksta Pravilnika obveznik može zaključiti da je prihvatljiva uspostava poslovnog odnosa na daljinu korištenjem 4 tehnološki različite vrste rješenja, a to bi bili: ⦁ rješenja koja primjenjuju automatizirani postupak; ⦁ video konferencija; ⦁ kvalificirani certifikat za e-potpis ili e-pečat; ⦁ rješenje elektroničke identifikacije koje ispunjava zahtjev značajne ili visoke razine sigurnosti u skladu s člankom 8 Uredbe (EU) 910/2014. Navedenim slijedom primjećujemo da tekst nacrta Pravilnika nije usklađen sa člankom 52 Zakona SPNFT koji propisuje 2 moguće vrste tehničkih rješenja: ⦁ kvalificirani certifikat za e-potpis ili e-pečat i to jedino u slučaju kada je je certifikat izdao pružatelj usluga povjerenja sa sjedištem u EU (što nije u potpunosti usklađeno s tekstom Uredbe (EU) 910/2014; ⦁ Sredstva video-elektroničke identifikacije (zapravo video konferencija čija su obilježja bila utvrđena Pravilnikom o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije. Novim Pravilnikom uvode se 2 nove vrste tehnoloških rješenja koja nisu predviđena člankom 52. Zakona SPNFT. Postavlja se pitanje smije li obveznik ignorirati pravni akt više pravne snage (Zakon SPNFT) implementiranjem odredbi pravnog akta niže pravne snage (Pravilnik o postupku utvrđivanja), u slučaju kada su ova dva akta međusobno neusklađena)? Također predlažemo u članku 1. Pravilnika sljedeći dodatak: "ovim Pravilnikom propisuju vrste tehnoloških rješenja koje obveznici mogu implementirati u postupku uspostave poslovnog odnosa na daljinu i specifikaciju vrsta.. | Nije prihvaćen | Nakon provedenog savjetovanja sa zainteresiranom javnošću stručni nositelj izrade propisa je doradio uvodni dio Nacrta Pravilnika, koji uključuje preambulu, naziv te obuhvat sadržaja predmetnog propisa. Pravna osnova za donošenje Nacrta Pravilnika sadržana je u odredbi članka 52. stavka 6. a u vezi s člankom 15. stavkom 1. točkom 1. Zakona o sprječavaju pranja novca i financiranja terorizma. Obzirom na specifičnost područja koje se ovim Nacrtom Pravilnika regulira, potrebno je detaljno propisati ne samo tehničke uvjete za provođenje postupka ili mjere koje obveznik mora provoditi, već i politike, kontrole i postupke koje je obveznik dužan donijeti za postupak utvrđivanja i provjere identiteta na daljinu. |
| 4 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 1. | toč. 3 - Sugeriramo navesti definiciju značenja „rješenja“, smatra li se pod rješenjem samo tehničko-tehnološki aspekt ili i ljudi i procesi. Definiciju poželjno navesti u poglavlju „Značenje pojedinih pojmova“. | Nije prihvaćen | Pojam rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu, nije potrebno zasebno definirati obzirom da navedeni pojam u kontekstu ovoga Nacrta Pravilnika obuhvaća tehnološko-tehnički aspekt rješenja koji uključuje i ljude i procese. |
| 5 | Aircash d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | Pojam poslovni odnos je detaljno definiran člankom 4. točkom 31. ZSPNFT. Uvođenjem pojma "poslovni odnos na daljinu" ne mijenja se sadržaj predmetne Zakonske definicije, ali se zbog dodavanja novog obilježja "na daljinu" koji se odnosi na sam način uspostave poslovnog odnosa, može dovesti do pravne nesigurnosti, odnosno eventualnih naknadnih pravnih tumačenja u vidu traženja razlikovnog elementa između predmetnih pojmova. Stoga, smatramo kako nije potrebno uvoditi novu definiciju pojma "poslovni odnos na daljinu" već zadržati definiciju propisanu člankom 4. točkom 31. ZSPNFT. Predlaže se brisanje predmetne definicije, odnosno odredbe članka 2. stavka 1. točke 6. ovo Pravilnika u odnosu na pojam "poslovni odnos na daljinu". | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 6 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | Definicija reprodukcije službenog osobnog dokumenta je neusklađena s odredbama Zakona SPNFT (uključujući članak 52) koje redom propisuju uvid u presliku, što može značiti i fotokopiju, a što je neusklađeno s odredbama Pravilnika | Primljeno na znanje | U Zakonu o sprječavanju pranja novca i financiranja terorizma se koristi pojam preslika službenog osobnog dokumenta a koja ustvari predstavlja fotokopiju odnosno kopiju izrađenu fotografskom tehnikom. S druge strane, Nacrt Pravilnika jasno definira pojam Reprodukcija službenog osobnog dokumenta kao prikaz fotografije ili videozapisa izvornog službenog osobnog dokumenta prikazanog na strani obveznika, a na temelju koje se utvrđuje autentičnost službenog osobnog dokumenta. |
| 7 | Intis d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | Predlažemo uvesti definiciju „rješenja“, odnosno „rješenja elektroničke identifikacije“ obzirom da ista nije dostupna niti u Zakonu o sprečavanju pranja novca niti u Uredbi (EU) 910/2014. Pojmovi bi trebali biti ujednačeni s Uredbom (EU) 910/2014 koja razlikuje „sustav elektroničke identifikacije“, „sredstva elektroničke identifikacije“ i „usluge povjerenja“, odnosno „kvalificirane usluge povjerenja“ te bi u kontekstu navedenih pojmova trebali jednoznačno naznačiti uključuje li "rješenje" uz videolektroničku identifikaciju i usluge elektroničkog potpisa i elektroničkog pečata. | Nije prihvaćen | Rješenje za uvođenje stranke na daljinu koje temeljem ovog Nacrta Pravilnika uvodi/implementira obveznik u svoje poslovanje može uključivati automatizirani postupak i/ili video konferenciju i/ili sredstvo elektroničke identifikacije. Mišljenja smo kako nije potrebno uvoditi definiciju pojma „rješenje“ odnosno rješenje za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu u Nacrt Pravilnika. U pogledu pojma „rješenje elektroničke identifikacije“ ističemo sljedeće: nomotehnički je dorađen članak 4. stavak 5. Nacrta Pravilnika na način da je pojam „rješenje elektroničke identifikacije“ zamijenjen pojmom „sredstvo elektroničke identifikacije“, a članak 11. stavak 8. Nacrta Pravilnika na način da je pojam „sustav elektroničke identifikacije“ zamijenjen pojmom „sredstvo elektroničke identifikacije“ Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ u članku 3. stavku 1. točki 2. „sredstvo elektroničke identifikacije” definira kao materijalnu i/ili nematerijalnu jedinicu koja sadrži osobne identifikacijske podatke i koja se koristi za autentikaciju na online uslugu. Obzirom da tekst Nacrta Pravilnika u članku 2. stavku 5., članku 11. stavku 8. i članku 13. stavku 3. jasno upućuje na primjenu Uredbe (EU) br. 910/2014, pojam „sredstvo elektroničke identifikacije” nije potrebno posebno uvoditi u Nacrt Pravilnika. |
| 8 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | st (1) toč 7) Predlažemo brisati riječ "prikaz" - obrazloženje: koja je razlika između „prikaza“ fotografije ili videozapisa i samo fotografije ili videozapisa? | Primljeno na znanje | Odredba članka 2. stavka 1. točke. 7. Nacrta Pravilnika je brisana. |
| 9 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | st (1) toč 4) Predlažemo brisati ovaj pojam budući da se ne spominje u daljnjem tekstu pravilnika. | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 10 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | st (1) toč 2) Predlažemo umjesto riječi „stranke“ napisati „fizičke osobe“, iz razloga što zastupnik pravne osobe nije stranka, niti se za pravnu osobu koja može biti stranka mogu pribaviti biometrijski podatci, što je u skladu s EBA GL on Remote Onboarding (dalje: EBA GL) | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 11 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | st (1) toč 1) Predlažemo brisati "na daljinu" - objašnjenje: budući da jedan dio provjera prije uspostave poslovnog odnosa može podrazumijevati provjere poput negative news check i slično, smatramo da ne treba ograničavati automatizirani postupak samo na provjere bez prisustva. Već npr. Automatizirani postupak podrazumijeva da se provjera identiteta dominantno provodi bez intervencije osobe, dok određene back office provjere se i dalje mogu provesti uz angažman zaposlenika | Nije prihvaćen | Automatizirani postupak utvrđivanja i provjere identiteta stranke na način kako je definiran u odredbi točke 1. objašnjava značenje automatiziranog postupka kod utvrđivanja i provjere stranke na daljinu. Sam naziv postupka ukazuje na automatizirani način obrade podataka što međutim ne isključuje mogućnost obveznika da sukladno procjeni rizika uvede dodatne pozadinske provjere koje u određenim slučaju obavljaju zaposlenici obveznika. |
| 12 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | Predlažemo objasniti i pojam provjere identita stranke na daljinu te navesti vrste rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu budući da se često spominje u Pravilniku, a da se u prethodnom Pravilniku spominjalo isključivo rješenje za video elektroničku identifikaciju. | Nije prihvaćen | Zakon o sprječavanju pranja novca i financiranja terorizma u članku 3. točki 46. definira pojam "utvrđivanje i provjera identiteta stranke" slijedom čega navedeni pojam nije potrebno dodatno uvoditi u Nacrt Pravilnika. Rješenje za uvođenje stranke na daljinu koje temeljem ovog Nacrta Pravilnika uvodi/implementira obveznik u svoje poslovanje može uključivati automatizirani postupak i/ili video konferenciju i/ili sredstvo elektroničke identifikacije. |
| 13 | PORSCHE LEASING D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | u odnosu na stavak 1. točka 6.- poslovni odnos na daljinu se definira kao poslovni odnos iz članka 4. točke 31. Zakona uspostavljen primjenom postupka utvrđivanja i provjere identiteta stranke na daljinu. Znači li to, argumentum a contrario, da se utvrđivanje identiteta stranke na daljinu može vršiti isključivo za potrebe uspostavljanja poslovnog odnosa na daljinu, ali ne i za uspostavljanje poslovnog odnosa na uobičajen način? | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 14 | PORSCHE LEASING D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | U odnosno na stavak 1. tč.4. - u tekstu prijedloga pravilnika ne nalazimo termin "osobni identifikacijski podatak" da bi isti kao takav onda trebao biti definiran. | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 15 | Karlo Paljug | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 2. | U točki 4) nužno je definiciju osobnog identifikacijskog podatak, zamijeniti definicijom osobnog podatka sukladno GDPR: „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca; Ovako dolazi do kreiranja pravne nesigurnosti, kada se radi o osobnom podatku, a kada je u pitanju osobni identifikacijski podatak. | Nije prihvaćen | Pojam „osobni identifikacijski podatak“ iz članka 2. stavka 1. točke 4) Nacrta Pravilnika je brisan kao suvišan. |
| 16 | Aircash d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | Iz teksta odredbe članka 3. stavka 2. točke 4. ovog Pravilnika proizlazi da ista nastoji implementirati odredbu iz dijela 4.1.1. točke 9. c) EBA/GL/2022/15. Budući da je načelo tehnološke neutralnosti temeljno načelo EBA/GL/2022/15, same EBA smjernice ne specificiraju tehnološki određena rješenja i postupke već ostavljaju mogućnost i za primjerice potpuno automatizirane postupke ili postupke uz ljudsku intervenciju, ali i za hibridne postupke koji mogu biti dijelom automatizirani, a dijelom uz ljudsku intervenciju. Stoga, predlažemo izmjenu članka 3. stavka 2. točke 4. ovog Pravilnika za potrebe usklade s načelom tehnološke neutralnosti i EBA/GL/2022/15 smjernicama na način da predmetna odredba glasi: "4. opis koraka postupka koji su automatizirani te opis koraka koji zahtijevaju ljudsku intervenciju". | Prihvaćen | Odredba članka 3. stavka 2. točke 4. Nacrta Pravilnika dorađena je na način da glasi: „opis koraka postupka koji su automatizirani te opis koraka koji zahtijevaju ljudsku intervenciju". |
| 17 | HOK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | Odredba članka 3. propisuje da je obveznik dužan donijeti politike, kontrole i postupke za postupak utvrđivanja i provjere identiteta stranke na daljinu te ih redovito pratiti i preispitivati njihovu djelotvornost, mijenjati ih i dopunjavati prema potrebi, te nadzirati njihovu pravilnu provedbu. Smatramo da su predložene obveze, kao i njihov minimalni sadržaj, prevelike za obrtnike obveznike primjene propisanih mjera, s obzirom da bi navedeni postupci predstavljali za obrtnike dodatno administrativno opterećenje te dodatne troškove za usluge praćenja i preispitivanja djelotvornosti navedenih politika, kontrola i postupaka. Stoga predlažemo da se za obrtnike predloženi postupci pojednostave. | Nije prihvaćen | Nacrtom Pravilnika propisuju se uvjeti za uvođenje stranke na daljinu a koje rješenje koje obveznik može i ne mora implementirati u svoj sustav. Dakle, obveznik sam odlučuje o prihvatljivosti navedenog rješenja obzirom na dodatne troškove oko uvođenja rješenja, organizacijsku strukturu, resurse te IT podršku potrebnu za procjenjivanje i stalno praćenje rješenja. Međutim, kada u svoj sustav implementira rješenje, dužan je pridržavati se svih mjera i postupaka propisanih ovim Nacrtom Pravilnika. |
| 18 | Odvjetničko društvo KRAMARIĆ & PARTNERI d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | Pravilnik o postupku utvrđivanja i provjere identiteta stranke na daljinu (dalje: „Pravilnik“) u članku 3. stavku 2. točki 5. propisuje obvezu donošenja politika, kontrola i postupaka za utvrđivanje i provjeru identiteta stranke na daljinu. Pravilnik dalje navodi da takve politike kontrole i postupci moraju minimalno sadržavati i opis kontrola kojima se osigurava da se prva transakcija provede nakon utvrđivanja i provjere identiteta stranke na daljinu. Navedenom odredbom se zapravo propisuje kako je obveznicima zabranjeno provesti bilo kakvu transakciju prije nego što se identitet stranke utvrdi i provjeri sukladno s odredbama Pravilnika. Ustavom Republike Hrvatske (Narodne novine broj 56/1990, 135/1997, 113/2000, 28/2001, 76/2010, 5/2014, dalje: „Ustav“) propisano je da su poduzetnička i tržišna sloboda temelj gospodarskog ustroja Republike Hrvatske (članak 49. stavak 1. Ustava) te da država osigurava svim poduzetnicima jednak pravni položaj na tržištu (članak 49. stavak 2. Ustava). Člankom 50. Ustava propisano je da se poduzetnička sloboda i vlasnička prava mogu samo iznimno ograničiti zakonom radi zaštite interesa i sigurnosti Republike Hrvatske, prirode, ljudskog okoliša i zdravlja ljudi. Stoga, uvjet za ograničenje slobode ili prava je da je takvo ograničenje propisano zakonom. Ne bi trebalo biti sporno da je odredba članka 3. stavka 2. točka 5. Pravilnika protuustavna već iz navedenog razloga, odnosno zato što obveza koju nameće nije propisana zakonom nego pravilnikom kao aktom slabije pravne snage. Naime, Zakon propisuje određene iznimke od utvrđivanja i provjere identiteta stranke prije uspostavljanja poslovnog odnosa. Primjerice članak 17. stavak 3. Zakona o sprječavanju pranja novca i financiranja terorizma (Narodne novine 108/17, 39/19, 151/22, dalje: „Zakon“) omogućuje obveznicima da u određenim situacijama naknadno utvrde i provjere identitet stranke, pod uvjetom da je to prijeko potrebno kako se ne bi prekinuo uobičajeni način uspostavljanja poslovnih odnosa te ako postoji nizak rizik od pranja novca i financiranja terorizma. Nadalje, Zakon previđa iznimke od obveze utvrđivanja i provjere identiteta stranke prije dosezanja određenog praga vrijednosti transakcija. S druge strane, odredbe Pravilnika ne dopuštaju takve iznimke, već nameću beziznimnu obvezu utvrđivanja i provjere identiteta stranke prije prve transakcije, i to neovisno o dostizanju određenog praga vrijednosti transakcija ili procijeni rizika pojedine stranke. Stoga, navedena odredba Pravilnika je protuustavna jer se njome uvodi dodatna obveza koja stroža od odredbi propisanih Zakonom, a što predstavlja ograničenje poduzetničkih i tržišnih sloboda. Takvo ograničenje prava i sloboda je isključivo moguće propisati zakonom, a ne pravilnikom, i to pod uvjetom da se istim postiže legitimni cilj i ako je takvo ograničenje razmjerno cilju koji se želi postići. Slijedom navedenog predlažemo brisanje odredbe članka 3. stavka 2. točke 5. Pravilnika ili izmjenu Pravilnika na način da se predvide iznimke od utvrđivanja i provjere identiteta stranke na daljinu prije provedbe prve transakcije u skladu s odredbama Zakona (mogućnost iz članka 17. stavka 3. Zakona i dosezanje određenog praga vrijednosti). | Nije prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 17., sve obveze i mjere propisane Nacrtom Pravilnika primjenjuju se isključivo na obveznika koji je u svom poslovanju implementirao/ koristi rješenje za uvođenje novih stranaka na daljinu. Dakle, za obveznika koji je implementirao navedeno rješenje člankom 3. stavkom 2. točkom 5. Nacrta Pravilnika uvedena je obveza prema kojoj je dužan donijeti politike, kontrole i postupke za utvrđivanje i provjeru identiteta stranke na daljinu. Navedene politike, kontrole i postupci moraju sadržavati opis kontrola kojima se osigurava da se prva transakcija provede nakon utvrđivanja i provjere identiteta stranke na daljinu, a sve radi smanjivanja i učinkovitog upravljanja rizikom od pranja novca i financiranja terorizam. Kada je riječ o uvođenju novih stranaka na daljinu, ističemo kako je intencija takvog uvođenja stranaka-uspostava poslovnog odnosa kod obveznika. Nadalje, obveznik je prilikom uspostave poslovnog odnosa/obavljanja transakcije dužan provesti mjere dubinske analize iz članka 15. stavka 1. Zakona o sprječavanju pranja novca i financiranja terorizma, a koje uključuju „utvrđivanje identiteta stranke i provjeru njezina identiteta na osnovi dokumenata, podataka ili informacija dobivenih iz vjerodostojnoga, pouzdanoga i neovisnoga izvora, uključujući, ako ga stranka ima, kvalificirani certifikat za elektronički potpis ili elektronički pečat ili bilo koji drugi siguran, daljinski ili elektronički, postupak identifikacije koji su regulirala, priznala, odobrila ili prihvatila relevantna nacionalna tijela“. Slijedom svega navedenog jasno je kako se izuzeće propisano u članku 17. stavku 3. Zakona prema kojem „obveznik može provjeru identiteta stranke… provesti i tijekom uspostavljanja poslovnog odnosa sa strankom…“ ne primjenjuje na obveznika koji koristi rješenje za uvođenje stranke na daljinu. Zaključno ističemo kako navedena odredba nije stroža od odredbi Zakona niti se primjenjuje na obveznika koji ne koristiti rješenje za uvođenje stranke na daljinu. Radi preciznosti i jasnoće predmetna odredba je dorađena te sada glasi: 5. opis kontrola kojima se osigurava da se prva transakcija sa stankom na daljinu provede tek nakon što su provedeni postupci i mjere iz članka 15. Zakona. |
| 19 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | Članak, 3, stavak 2 Iz ostalih komentara u sklopu ovog Esavjetovanja primjećujemo da obveznici različito tumače uspostavu poslovnog odnosa preko treće osobe, odnosno vanjskog zastupnika. Konkretno, korištenje tehnološkog rješenja za uspostavu poslovnog odnosa na daljinu u slučaju kada ono nije interno, već rješenje vanjskog pružatelja usluge, izjednačuje se s provođenjem dubinske analize preko treće osobe, odnosno vanjskog zastupnika. Prema našem mišljenju takvo tumačenje ne bi bilo ispravno ili je, u najboljem slučaju, djelomično neispravno. Kada je riječ o provođenju dubinske analize putem video konferencije, obveznik koji se koristi tehničkim rješenjem vanjskog pružatelja usluge tehničkog rješenja ne provodi dubinsku analizu preko treće osobe, odnosno vanjskog zastupnika, ukoliko provjeru identiteta u sklopu uspostave poslovnog odnosa provodi zaposlenik obveznika. Također, ne može se smatrati da se dubinska analiza provodi preko treće osobe u slučaju kada obveznik utvrđuje identitet klijenta na osnovu kvalificiranog certifikata za e-potpis ili e-pečat jer čitav postupak dubinske analize propisan Zakonom SPNFT ne provodi kvalificirani pružatelj usluge povjerenja, već sam obveznik koji samo dio podataka koji se prikupljaju u sklopu postupka dubinske analize verificira putem e-potpisa/pečata, a u odnosu na sam e-potpis/pečat provodi postupak validacije na osnovu kojeg odobrava ili ne odobrava uspostavu poslovnog odnosa. Naposljetku, niti automatizirani postupak korištenjem rješenja vanjskog pružatelja usluge ne bi trebalo tumačiti kao uspostavu poslovnog odnosa putem treće osobe ili vanjskog zastupnika, iz razloga što se, sukladno odredbama Zakona SPNFT ali i ovog prijedloga Pravilnika samo dio kontrola u sklopu cjelovite dubinske analize klijenta provodi putem automatiziranog postupka, pri čemu obveznik u svakom trenutku može na temelju podataka prikupljenih u cjelovitom postupku dubinske analize odlučiti ne uspostaviti poslovni odnos s klijentom. Molimo mišljenje predlagatelja po ovom pitanju. | Primljeno na znanje | Korištenje rješenja za uspostavu poslovnog odnosa na daljinu u slučaju kada ono nije interno, već je to rješenje „vanjskog pružatelja usluga softvera“ ne treba izjednačavati s provođenjem dubinske analize stranke preko treće osobe odnosno vanjskog suradnika i zastupnika. Zakonom o sprječavanju pranja novca i financiranja terorizma detaljno je propisano prepuštanje dubinske analize trećoj osobi (članak 38., 39. stavak 1.-7., 40. i 41.), a provođenje dubinske analize stranke od strane vanjskih suradnika i zastupnika (članak 39. stavak 8. i 9.). Dakle, korištenje rješenja „vanjskog pružatelja usluga softvera“ za uspostavu poslovnog odnosa na daljinu ne smatra se provođenjem dubinske analize od strane treće osobe odnosno vanjskog suradnika i zastupnika. |
| 20 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | st. (2) toč 5) Kontorle su sistemski složene tako da se transakcija ne može provesti bez provjere i utvrđivanja identiteta. Ako su potrebne dodatne kontrole (osim sistemske nemogućnosti zadavanja transakcije bez provjere identiteta) molimo preciznije specificirati. | Primljeno na znanje | Člankom 3. stavkom 2. točkom 5. Nacrta Pravilnika uvedena je obveza prema kojoj politike, kontrole i postupci moraju minimalno sadržavati samo opis kontrola kojima se osigurava da se prva transakcija provede nakon utvrđivanja i provjere identiteta stranke na daljinu. |
| 21 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | st. (2) toč 4) Predlažemo da se tekst: „koji uključuje interakciju sa zaposlenikom obveznika ili treće osobe (video konferencija)“ zamijeni s tekstom: „koji zahtijevaju ljudsku intervenciju“. - obrazloženje: iz nacrta Pravilnika proizlazi da su moguća samo dva rješenja, potpuno automatizirano, u kojem ne postoji mogućnost ljudske intervencije, i rješenje koje predviđa interakciju sa zaposlenikom obveznika. Hrvatski prijevod EBA GL točke 4.1.1.-9.c) glasi: „koji su koraci potpuno automatizirani, a koji zahtijevaju ljudsku intervenciju“. Slijedom navedenog, EBA GL ne predviđa samo dva rješenja, već traži da se jasno opišu oni koraci koji su potpuno automatizirani (npr. selfie, liveness detection) i oni koraci koji zahtijevaju ljudsku intervenciju (npr. rješavanje PEP hit-a i slično). | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 22 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | st. (2) toč 3) Predlažemo brisati „države ili geografskog područja“, „ili transakcija i kanala dostave“, što je u skladu s EBA GL - obrazloženje: Analizu rizika treba napraviti u sukladu s čl.12. Zakona, koji već predviđa uzimanje u obzir čimbenike rizika stranke, države ili geografska područja, proizvode, usluge ili transakcije i kanale dostave. Kao dodatni zahtjev, u analizi rizika potrebno je definirati koje su kategorije stranka, proizvoda i usluga prihvatljive za uvođenje na daljinu – ne mogu se uvoditi na daljinu države, geografska područja, a kanal isporuke je definiran već samim rješenjem. | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 23 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | Grupacija tržišta kapitala Udruženja banaka i drugih financijskih institucija predlaže u stavku 2. na kraju točke 4. dodati „ako je primjenjivo“ ili „u slučaju sa je obveznik odabrao postupak video konferencije“ s obzirom da obveznici nisu dužni provoditi video konferenciju prilikom utvrđivanja identiteta stranaka na daljinu. | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 24 | Hrdalo & Krnic odvjetničko društvo d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | Članak 3. stavak 2. točka 3. - molimo pojašnjenje na što se točno analiza rizika treba odnositi, odnosno da li se pretpostavlja odvojena analiza rizika ili proširena analiza rizika iz članka 12. ZSPNFT. Molimo i razjašnjenje: "analiza rizika (...) koja sadržava opis kategorije stranaka, države ili geografskog područja, proizvoda, usluga ili transakcija i kanala dostave, a koji su prihvatljivi za uvođenje postupka utvrđivanja i provjere identiteta stranke na daljinu"? Naime, navedene podatke Obveznik može znati samo u slučaju da sam provodi postupak utvrđivanja identiteta na daljinu, no nije jasno što u slučaju ako Obveznik koristi vanjskog suradnika/zastupnika ili treću osobu koji su specijalizirani u postupku utvrđivanja identiteta stranke na daljinu, kojeg Obveznik koristi baš iz tog razloga, tada taj vanjski suradnik/zastupnik može napraviti navedenu analizu rizika primjerenosti rješenja prema određenim kategorijama, a obveznik iste rezultate onda može uzeti u obzir u procjeni primjerenosti takvog pružatelja usluga, odnosno vanjskog suradnika/zastupnika/treće osobe. Predlažemo jasno naznačiti tko provodi navedenu analizu rizika i kakva se analiza očekuje. Članak 3. stavak 2. točka 6. molimo pobliže označiti i/ili objasniti koji stupanj edukacije pretpostavlja: "podizanje razine svijesti i znanja zaposlenika". Da li navedeno podrazumijeva dodatne/specijalizirane edukacije i ako da, kakve? | Nije prihvaćen | U skladu s člankom 12. stavkom 6. Zakona o sprječavanju pranja novca i financiranja terorizma, …obveznik je prije svih bitnih promjena u poslovnim procesima i poslovnoj praksi koje mogu utjecati na mjere koje se poduzimaju radi sprječavanja pranja novca i financiranja terorizma…kod uvođenja novih tehnologija za postojeće i nove proizvode, dužan provesti procjenu rizika… Analiza rizika koju je obveznik dužan izraditi na temelju članka 3. stavka 2. točke 3. Nacrta Pravilnika nije „odvojena ili proširena“ analiza rizika već obveza koja je propisana gore citiranim člankom. Kada obveznik provođenje mjera dubinske analize prepusti vanjskom suradniku/zastupniku isti je dužan primjenjivati politike, kontrole i postupke obveznika te provesti procjenu rizika iz članka 12. stavka 6. Zakona. Međutim, u slučaju kada mjere dubinske analize prepusti trećoj osobi iz članka 39. stavka 1. Zakona, procjenu rizika uvijek provodi obveznik. Vezano uz točku 6. pojašnjavamo da zaposlenik koji je uključen u postupak utvrđivanja i provjeru identiteta osobe na daljinu treba proći unutarnju ili vanjsku edukaciju od strane osoba koje su upoznate s detaljima tehnika obmane koje se koriste za lažno predstavljanje. Navedeno može uključivati voditelja sigurnosti koji priprema edukaciju za operatere, vanjske konzultante specijalizirane za navedeno područje ili zaposlenike društva koje je osiguralo rješenje za provođenje postupka, a koje ima unutar sebe ugrađene određene sigurnosne mjere. |
| 25 | Electrocoin d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 3. | stavak 2. točka 3 - molimo pojasniti kakva se ovdje analiza rizika očekuje. Predlaže se normirati konkretnije, u smislu da li je riječ o separatnoj analizi rizika ili dodatnoj. stavak 2. točka 5. - nije jasno o kakvim bi ovdje kontrolama se radilo. Također, dikcija odredbe je takva da se može tumačiti kako se niti jedna prva transakcija stranke ne može provesti bez da se prethodno ne provede postupak utvrđivanja i provjere identiteta stranke na daljinu, što je suprotno ZSPNFT obzirom da se transakcije ispod određenog praga provode bez identificiranja stranke. Također, stranka može provesti niz transakcija nižih vrijednosti prije provođenja neke prilikom koje će biti identificirana - stoga je je nepotrebno i suprotno ZSPNFT normirati "prva transakcija". Obzirom da obveznik niti ne smije provesti transakcije poviše određenih limita bez identifikacije, smatramo nepotrebnim ovdje normirati dodatne kontrole koje bi obveznik trebao imati kako bi se pridržavao zakonske obveze. Predlaže se brisati kao obvezu. Podredno, ukoliko taj prijedlog ne bude uvažen, predlaže se preformulirati na način da glasi: .....kojima se osigurava da se transakcija za koju je obvezno provesti postupak identifikacije i dubinske analize stranke u skladu s odredbama Zakona, provede tek nakon utvrđivanja i provjere identiteta stranke da daljinu" | Nije prihvaćen | Molimo pogledati odgovor na komentar pod rednim brojem 24. Dakle, u skladu s člankom 12. stavkom 6. Zakona o sprječavanju pranja novca i financiranja terorizma, …obveznik je prije svih bitnih promjena u poslovnim procesima i poslovnoj praksi koje mogu utjecati na mjere koje se poduzimaju radi sprječavanja pranja novca i financiranja terorizma…kod uvođenja novih tehnologija za postojeće i nove proizvode, dužan provesti procjenu rizika… Analiza rizika koju je obveznik dužan izraditi na temelju članka 3. stavka 2. točke 3. Nacrta Pravilnika nije „odvojena ili proširena“ analiza rizika već obveza koja je propisana gore citiranim člankom. Kada obveznik provođenje mjera dubinske analize prepusti vanjskom suradniku/zastupniku isti je dužan primjenjivati politike, kontrole i postupke obveznika te provesti procjenu rizika iz članka 12. stavka 6. Zakona. Međutim, u slučaju kada mjere dubinske analize prepusti trećoj osobi iz članka 39. stavka 1. Zakona, procjenu rizika uvijek provodi obveznik. U pogledu komentara na točku 5. ističemo kako je predmetna odredba radi preciznosti i jasnoće dorađena te sada glasi: 5. opis kontrola kojima se osigurava da se prva transakcija sa stankom na daljinu provede tek nakon što su provedeni postupci i mjere iz članka 15. Zakona. |
| 26 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | Članak 14. Uredbe (EU) 910/2014 koja je direktno primjenjiv zakon u RH propisuje da se usluge povjerenja koje pružaju pružatelji usluga povjerenja s poslovnim nastanom u trećoj zemlji priznaju kao pravno jednake kvalificiranim uslugama povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji kada su usluge povjerenja iz treće zemlje priznate u okviru sporazuma sklopljenog između Unije i treće zemlje ili određene međunarodne organizacije u skladu s člankom 218. UFEU-a. Suprotno tomu, članak 52. Zakona SPNFT izričito propisuje da obveznik iz članka 9. može na daljinu provjeriti identitet na temelju kvalificiranog certifikata za elektronički potpis ili elektronički pečat koji je izdao kvalificirani pružatelj usluga povjerenja sa sjedištem u Europskoj uniji primjenom Uredbe 910/2014. Članak 52. takvom stipulacijom nije obuhvatio niti kvalificirane pružatelje usluge povjerenja iz EEA koji se nalaze na službenoj listi kvalificiranoj pružatelja usluga povjerenja Europske unije :https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home . Također nisu obuhvaćeni niti pružatelji usluga povjerenja iz trećih zemalja kojima je izdan EU trust mark. | Nije prihvaćen | Kada je riječ o utvrđivanju i provjeri identiteta stranke na temelju kvalificiranog certifikata za elektronički potpis ili elektronički pečat, Zakon o sprječavanju pranja novca i financiranja terorizma je više nego jasan. U skladu s člankom 52. stavkom 1. obveznik može na daljinu utvrditi i provjeriti identitet na temelju kvalificiranog certifikata za elektronički potpis ili pečat koji je izdao samo kvalificirani pružatelj usluga povjerenja sa sjedištem u Europskoj uniji. Ovdje je bitno istaknuti da je navedena problematika izvan obuhvata sadržaja predmetnog propisa. |
| 27 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | Članak 4, stavak 5 Člankom 52. Zakona o sprječavanju pranja novca i financiranja terorizma nije predviđena uspostava poslovnog odnosa temeljem sustava elektroničke identifikacije koji ispunjava značajne ili visoke razine sigurnosti u skladu s člankom 8. Uredbe (EU) 910/2014, već isključivo uspostava poslovnog odnosa temeljem provjere identiteta na temelju kvalificiranog certifikata za izradu e-potpisa ili e-pečata kojega izdaje kvalificirani pružatelj usluga povjerenja sa sjedištem u Europskoj uniji primjenom Uredbe (EU) 910/2014. U tom smislu članak 4. stavak 5. nije usklađen sa člankom 52. Zakona SPNFT. Vezano uz rješenja elektroničke identifikacije u skladu s člankom 9 Uredbe (EU) 910/2014 koji ispunjavaju zahtjeve značajne ili visoke razine sigurnosti, molimo potvrdu predlagatelja je li riječ o rješenjima značajne i visoke sigurnosti uključenim na ovaj popis Europske komisije: https://ec.europa.eu/digital-building-blocks/wikis/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS? | Nije prihvaćen | Zakon o sprječavanju pranja novca i financiranja terorizma u članku 15. stavku 1. predviđa utvrđivanje identiteta stranke i provjeru njezina identiteta na osnovu bilo kojeg drugog, daljinskog ili elektroničkog, postupka koji su regulirala, priznala, odobrila ili prihvatila relevantna nacionalna tijela. EBA GL/2022/15 Smjernice od 22. studenoga 2022. prihvaća korištenje digitalnog identiteta koji je utvrđen putem identifikacijskog sustava "značajne" ili "visoke" razine sigurnosti. Uredba (EU) 910/2014 u članku 6. stavku 1. točka (b) predviđa uzajamno priznavanje sredstava elektroničke identifikacije država članica koja imaju "značajnu" ili "visoku" razinu sigurnosti, a čiju listu održava Europska komisija. |
| 28 | Intis d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | Navedenom formulacijom Članka 4.5., te Članka 11.8.1. i 11.8.2. nije jasno za koja rješenja elektroničke identifikacije je dovoljno ispunjavanje zahtjeva „značajne“ ili „visoke“ razine sigurnosti, a koje usluge povjerenja moraju biti kvalificirane kako obveznik ne bi bio dužan primijeniti mjere iz stavka 2. točke 1.,4. i 5. Članka 4. Pravilnik. Uredba (EU) 910/2014 razlikuje sustav elektroničke identifikacije niske, značajne i visoke razine sigurnosti koja se pripisuje sredstvima elektroničke identifikacije koja su izdana u okviru tog sustava usluge povjerenja, međutim ne definira „rješenja elektroničke identifikacije“ zbog čega je potrebno jednoznačno propisati zahtjeve koji se odnose na elektroničku odnosno videoelektroničku identifikaciju, elektronički potpis i elektronički pečat. | Djelomično prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 7. nomotehnički je dorađen članak 4. stavak 5. Nacrta Pravilnika na način da je pojam „rješenje elektroničke identifikacije“ zamijenjen pojmom „sredstvo elektroničke identifikacije“, a članak 11. stavak 8. Nacrta Pravilnika na način da je pojam „sustav elektroničke identifikacije“ zamijenjen pojmom „sredstvo elektroničke identifikacije“. Nadalje u članku 11. stavku 8. točke 1. i 2. su spojene, tako da odredba glasi: „sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014 koji ispunjava zahtjeve „značajne” ili „visoke” razine sigurnosti u skladu s člankom 8. Uredbe (EU) br. 910/2014, te kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, posebno poglavlja III. odjeljka 3. i članka 24. stavka 1. podstavka 2. točke (b) Uredbe (EU) br. 910/2014“. Navedenom izmjenom postignuta je veća jasnoća odredbe prema kojoj obveznik nije dužan primijeniti taksativno navedene mjere (točka 1., 2., 3., 4., 5., i 6. članak 8. Nacrta Pravilnika) kada koristi sredstvo elektroničke identifikacije ili kvalificirane usluge povjerenja. |
| 29 | Intis d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | Vezano uz Članak 4.stavak 5. i primjerenost kvalificiranost pružatelja usluga povjerenja Člankom 52.1. Zakona o sprečavanju pranja novca propisano je da obveznici spomenutog zakona „mogu na daljinu utvrditi i provjeriti identitet fizičke osobe, obrtnika ili osobe koja se bavi drugom samostalnom djelatnošću. Pravne osobe i fizičke osobe koja zastupa pravnu osobu na temelju kvalificiranog certifikata za elektronički potpis i elektronički pečat koji je izrađen kvalificiranim sredstvom za izradu elektroničkog potpisa ili sredstvom za izradu kvalificiranog elektroničkog pečata koji je izdao kvalificirani pružatelj usluga povjerenja sa sjedištem u Europskoj uniji primjenom Uredbe (EU) 910/2014.“ Člankom 14.1. Uredbe (EU) br. 910/2014 propisano je da se „Usluge povjerenja koje pružaju pružatelji usluga povjerenja s poslovnim nastanom u trećoj zemlji priznaju kao pravno jednake kvalificiranim uslugama povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji kada su usluge povjerenja iz treće zemlje priznate u okviru sporazuma sklopljenog između Unije i treće zemlje o kojoj je riječi ili određene međunarodne organizacije u skladu s člankom 218. UFEU-a. “ Obzirom da Uredba i Zakon nisu u potpunosti usklađeni kada je u pitanju primjerenost kvalificiranog pružatelja usluga povjerenja, Pravilnikom je potrebno naglasiti da pružatelj usluge povjerenja može imati poslovni nastan i u trećoj zemlji (a ne samo u EU) kada su usluge povjerenja iz treće zemlje priznate u okviru sporazuma sklopljenog između Unije i treće zemlje o kojoj je riječ ili određene međunarodne organizacije u skladu s člankom 218. UFEU-a. | Nije prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 26. kada je riječ o utvrđivanju i provjeri identiteta stranke na temelju kvalificiranog certifikata za elektronički potpis ili elektronički pečat, Zakon o sprječavanju pranja novca i financiranja terorizma je više nego jasan. U skladu s člankom 52. stavkom 1. obveznik može na daljinu utvrditi i provjeriti identitet na temelju kvalificiranog certifikata za elektronički potpis ili pečat koji je izdao samo kvalificirani pružatelj usluga povjerenja sa sjedištem u Europskoj uniji. Ovdje je bitno istaknuti da je navedena problematika izvan obuhvata sadržaja predmetnog propisa. |
| 30 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | st (3) Što bi se smatralo dokazom da je rješenje prikladno u odnosu na rizik od PN i FT? | Primljeno na znanje | Dokazom se primjerice može smatrati dokument iz kojeg je razvidno da je obveznik proveo sve procjene, mjere i testiranja sukladno članku 4. stavku 2. točkama 1.- 5. Nacrta Pravilnika. |
| 31 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | st (2) toč. 2) Isti komentar kao u uvodu koji je vezan uz ovlast ministra financija iz čl. 52.st. 6. ZSPNFT. | Nije prihvaćen | Nije prihvaćen. Molimo pogledati odgovor na komentare pod rednim brojem 2. i 96. Dakle, za razliku od Pravilnika o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije („Narodne novine“ broj 1/19) a koji je usmjeren na tehničke uvjete sredstava videoelektroničke identifikacije, Nacrt Pravilnika usmjeren je na uključivanje novih stranaka na daljinu u cilju uspostave poslovnog odnosa. Obzirom na specifičnost područja koje se Nacrtom Pravilnika regulira, potrebno je detaljno propisati ne samo mjere kojih se obveznik mora pridržavati, već i politike, kontrole i postupke koje je obveznik dužan donijeti vezano uz sam postupak utvrđivanja i provjere identiteta na daljinu. Nakon provedenog savjetovanja sa zainteresiranom javnošću stručni nositelj izrade propisa je doradio uvodni dio Nacrta Pravilnika, koji uključuje preambulu, naziv te obuhvat sadržaja predmetnog propisa. Tako je sada pravna osnova za donošenje Nacrta Pravilnika sadržana u odredbi članka 52. stavka 6. a u vezi s člankom 15. stavkom 1. točkom 1. Zakona o sprječavaju pranja novca i financiranja terorizma. |
| 32 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | st (2) toč. 1) Predlažemo da ovdje ili pojasni, ili izbriše dio koji se odnosi na pouzdanost i neovisnost informacija. Smatramo da će se primjerenost rješenja moći dokazati kroz provedbu točke 4 i 5. | Primljeno na znanje | Odredba članka4. stavka 2. točke 1. usmjerena je na utvrđivanje potpunosti i točnosti podataka i dokumenata koji se koriste za utvrđivanje i provjeru identiteta stranke na daljinu, odnosno pouzdanosti i neovisnosti izvora informacija. Na osnovu provedene procjene obveznik će utvrditi prikladnost korištenog rješenja, odnosno potrebu primjene dodatnih mjera za postizanje visoke razine sigurnosti rješenja. Točke 4. i 5. usmjerene su na sigurnosna i funkcionalna testiranja na osnovu kojih se provodi dodatna procjena rješenja. Radi naglašavanja važnosti „pouzdanosti i neovisnosti izvora informacija“ koje se koriste u postupku, prijedlog za brisanjem navedenog teksta nije prihvaćen te je zadržan postojeći tekst Pravilnika. |
| 33 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | st. (1) Predlažemo izbrisati riječ „periodično“ - obrazloženje: rješenje se testira prije uvođenja i nakon promjena, dok se kroz životni tijek kontrolira (npr. 2LC, IA…) i provodi se procjena rizika; Periodično testiranje nije navedeno ni u Eba smjernicama. Zbog svega nevedemo smatramo da je periodično testiranje pretjerano strog zahtjev za koji ne prepoznajemo podlogu. | Nije prihvaćen | Sukladno dobrim praksama nakon uvođenja rješenja obveznik je dužan redovito kontrolirati njegovu funkcionalnost i sigurnost, a učestalost provjere rješenja utvrđuje se na osnovu procjene rizika. |
| 34 | IDENTITY CONSORTIUM d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | U čl.4. st. (5) smatramo da su potrebne tri izmjene: a) da bi značajno doprinijelo jasnoći stavka da se, a vezano uz rješenje elektroničke identifikacije, doda njihova kvalifikacija da se tu poziva na *notificirane* eID sheme, odnosno "rješenja elektroničke identifikacije prijavljena Europskoj Komisiji i objavljena u Službenom listu Europske unije", kako bi se izbjegla pogrešna tumačenja u praksi (npr da se ne-notificirane eID sheme (npr. mTokeni banaka) mogu smatrati priznatim eID rješenjima po ovom stavku) b) u drugom dijelu stavka "te" (..."kvalificirane usluge povjerenja"...") je pogrešan veznik, s obzirom da uzrokuje tumačenje da bi neko rješenje moralo biti i eID shema significant/high *i* da bi rješenje trebalo biti kvalificirana usluga povjerenja,što je naravno pogrešno, s obzirom da je ILI jedno ili drugo. U čl. 11. st.(8) je "ili" ispravno navedeno na kraju točke 1. c) pozivajući se isključivo na točku (b) iz čl.24.st.1.podst.2. Uredbe 910/2014, diskriminiraju se kvalificirane usluge definirane u točkama (a), (c) i (d) istog članka, stavka i podstavka. Potpuno je nejasno zašto bi bile prihvatljive samo usluge povjerenja pod (b), a dodatno je i tehnološki nemoguće obveznicima utvrditi da li je neki kvalificirani certifikat vezan uz e-potpis izdan po (a), (b), (c) ili (d). Stoga smatramo da se taj dio stavka treba obrisati. Sumarno, smatramo da st (5) treba glasiti: "U slučaju kada obveznik koristi rješenje elektroničke identifikacije prijavljeno Europskoj Komisiji i objavljeno u Službenom listu Europske unije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev „značajne” ili „visoke” razine sigurnosti u skladu s člankom 8. navedene Uredbe, ili kada koristi kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlje III. odjeljka 3., nije dužan primijeniti mjere iz stavka 2. točaka 1., 4. i 5. ovoga članka." | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 35 | Hrdalo & Krnic odvjetničko društvo d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | Članak 4. stavak 2. točka 1. - nije jasno da li se procjena primjerenosti rješenja u pogledu potpunosti i točnosti podataka i dokumenata na razini cjelokupnog poslovanja (...) razlikuje od procjene i testiranja rješenja iz stavka 1. istog članka? Molimo uskladiti, ako se radi o jedno te istoj procjeni primjerenosti rješenja te jednako označiti. U suprotnom molimo pobliže objasniti. Predlažemo i preformulirati: "1. procjenu primjerenosti rješenja u odnosu na proizvod i usluge koje obveznik pruža". | Djelomično prihvaćen | Kada obveznik razmatra hoće li implementirati/koristiti rješenje za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu te prije provedbe rješenja obveznik je dužan provesti njegovu procjenu. Ova procjena rješenja razlikuje se od procjene primjerenosti rješenja iz stavka 2. točke 1. koja se odnosi na potpunost i točnost podataka i dokumenata koji se prikupljaju te pouzdanosti i neovisnosti izvora informacija koje obveznik koristi. |
| 36 | Hrdalo & Krnic odvjetničko društvo d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | Članak 4. stavak 1. - prijedlog novog teksta: " Prije uvođenja i inicijalne upotrebe rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu i nakon značajnijih promjena u rješenju, obveznik je dužan provesti procjenu i testiranje rješenja te dokumentirati rezultate testiranja." Podredno, u slučaju da se ne usvoji prijedlog novog teksta od strane Electrocoin d.o.o., pobliže odrediti o kojoj se analizi rizika radi (onoj iz članka 3. stavka 2. točke 3. ili o analizi rizika iz članka 12. ZSPNFT) te isto uskladiti s člankom 3. stavkom 2. točkom 3. | Djelomično prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 35. procjena i testiranje rješenja iz članka 4. stavka 1. Nacrta Pravilnika provodi se kada obveznik razmatra hoće li implementirati/koristiti rješenje za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu. Navedena procjena i testiranje rješenja u bitnome se razlikuje od procjene primjerenosti rješenja iz stavka 2. točke 1. Nacrta Pravilnika koja se odnosi na potpunost i točnost podataka i dokumenata koji se prikupljaju te pouzdanost i neovisnost izvora informacija koje obveznik koristi. |
| 37 | Electrocoin d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | Stavak 2. - čini se da bi u primjeni ovog stavka trebalo diferencirati obveznika koji koristi svoje interno rješenje, razvijeno za vlastite potrebe, i obveznika koji koristi rješenje na temelju ugovornog odnosa sa pružateljem softwarea. | Nije prihvaćen | Bez obzira na to čije rješenje koristi, „interno rješenje“ ili „rješenje vanjskog pružatelja usluga softvera“, obveznik je dužan primjenjivati sve mjere propisane Nacrtom Pravilnika. |
| 38 | Electrocoin d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 4. | stavak 1. - molim pojasniti - . provodi li se procjena i testiranje rješenja i periodično ili prije uvođenja rješenja? Da li je u kontekstu ove rečenice riječ „periodično“ višak? I ukoliko je uvijek obveznik obvezan prije uvođenja rješenja isto testirati, zašto isto vezati uz procjenu rizika? Predlaže se preformulirati na način da glasi: " Prije uvođenja i inicijalne upotrebe rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu i nakon značajnijih promjena u rješenju, obveznik je dužan provesti procjenu i testiranje rješenja te dokumentirati rezultate testiranja." Stavak 2. - "politike, kontrole i postupci moraju sadržavati zahtjeve u pogledu procjene rješenja koji se odnose na opseg, korake i čuvanje zapisa, a koji moraju obuhvaćati" - pojednostaviti i pojasniti što bi to pretpostavljalo. Sveobuhvatno testiranje rješenja trebalo bi zapravo obuhvaćati zaključak obveznika da li rješenje funkcionira na način da korištenjem istog obveznik može dobiti pouzdane podatke o verifikaciji identiteta stranke te da li je primjereno u odnosu na proizvod ili uslugu koju obveznik pruža. Preformulirati: "Procjena rješenja mora obuhvaćati: " točka 1. - u slučaju kada obveznik koristi automatizirana rješenja za identifikaciju stranaka (tzv. KYC software), pružatelj takvog softwarea ugovorno jamči obvezniku razinu točnosti i izvor informacija koji koristi za provođenje postupka identificiranja. Takva rješenja baziraju se na screeningu osobnih dokumenata, a čiju potpunost i točnost niti obveznik niti pružatelj softwarea ne mogu utjecati, već je upravo poanta korištenja takvog rješenja otkrivanje nepotpunosti ili netočnosti u dokumentima (primjerice, krivotvorena osobna isprava). Stoga nije jasno kako bi obveznik mogao izvršiti ovakvu procjenu. Predlaže se preformulirati: "1. procjenu primjerenosti rješenja u odnosu na proizvod i usluge koje obveznik pruža" - točka 2. - koja je osnova za vršenje procjene uključujući "poslovne, reputacijske i pravne rizike"? Korištenje bilokakvih da li internih da li eksternih rješenja za identifikaciju stranke odabir je obveznika i, s obzirom da ZSPNFT, postupak koji je propisan internim aktima i faktički tajan. Zašto bi uopće obveznik u pogleduprimjene takvog rješenja imao reputacijski rizik? Predlaže se brisati. točka 3. - brisati točka 4. - korištenjem vanjskih rješenja (na ugovornoj usnovi s pružateljem softwarea) upravo se ovakvo testiranje događa na strani pružatelja softwarea, te obveznik ne može sam testirati takve rizik. Brisati. točka 5. brisati tekst "usmjerenog na stranku,proizvod i uslugu". Rješenje se koristi samo kao alat za identifikaciju. Stavak 3. - molimo pojasniti i pojednostaviti - dokaz o procjeni koja je provedena prije provedbe rješenja i dokaz da je rješenje prikladno - zar ne bi to trebao biti isti dokaz, i to u formi procjene i testiranja rješenja koja se zahtjeva u stavku 1.? Također, šta je s rješenjima koja se već koriste u praksi prije stupanja ovog pravilnika - kakav je prijelazan režim (isto se odnosi i na stavak 4)? Predlaže se jasno diferencirati da ovaj članak normira samo procjenu rješenja, a koja obuhvaća testiranje i procjenu primjerenosti, pa u tom smislu preformulirati: "......dostaviti dokaze o procjeni izvršenoj u skladu s ovim člankom." | Nije prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 35. i 36., kada obveznik razmatra hoće li implementirati/koristiti rješenje za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu te prije provedbe rješenja obveznik je dužan provesti njegovu procjenu. Ova procjena rješenja razlikuje se od procjene primjerenosti rješenja iz stavka 2. točke 1. koja se odnosi na potpunost i točnost podataka i dokumenata koji se prikupljaju te pouzdanost i neovisnost izvora informacija koje obveznik koristi. Bez obzira na to čije rješenje koristi, „interno rješenje“ ili „rješenje vanjskog pružatelja usluga softvera“, obveznik je dužan primjenjivati sve mjere propisane Nacrtom Pravilnika, pa tako i procjenu primjerenosti rješenja u pogledu potpunosti i točnosti podataka i dokumenata te slijedom toga preuzima sve poslovne, reputacijske i pravne rizike koji proizlaze iz korištenja takvoga rješenja. Nacrt Pravilnika ne propisuje obveze vanjskom pružatelju usluga softvera već su Nacrtom Pravilnika propisane obveze i odgovornosti obveznika, te slijedom toga nije prihvaćen prijedlog da se brišu točka 3. i točka 4. Također, ne prihvaća se brisanje teksta "usmjerenog na stranku, proizvod i uslugu" iz točke 5. iz razloga što je obveznik dužan provesti sveobuhvatno testiranje rješenja koje uključuje ocjenu primjerenosti rješenja u odnosu na proizvod ili uslugu u svrhu umanjivanja rizika od pranja novca i financiranja terorizma. Prijedlog nije prihvaćen iz razloga što odredba jasno propisuje da je obveznik dužan na zahtjev nadležnog nadzornog tijela dokazati koje je procjene proveo, a što uključuje ishod procjene i konačni rezultat o tome je li upotreba rješenja prikladna u odnosu na rizike od pranja novca i financiranja terorizma koji su utvrđeni. U prijelaznim odredbama Nacrta Pravilnika utvrditi će se rok u kojim postojeći obveznici moraju ispuniti nove uvjete odnosno uskladit svoje poslovanje. |
| 39 | Aircash d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | Budući da se određeni načini praćenja primjerenosti i pouzdanosti rješenja mogu međusobno preklapati i voditi do nepotrebnog opterećenja za obveznika primjene ovog Pravilnika predlažemo uskladu s dijelom 4.1.4. točkom 20. EBA/GL/2022/15 na način da članak 5. stavak 6. glasi: "20. Obveznik je dužan razmotriti najučinkovitiji način praćenja kontinuirane primjerenosti i pouzdanosti rješenja koji uključuje jedno od sljedećih sredstava ili njih nekoliko - ispitivanje osiguranja kvalitete - automatizirana ključna upozorenja i obavijesti - redovita automatizirana izvješća o kvaliteti - ispitivanje uzorka - ručni pregledi. | Prihvaćen | Odredba članka 5. stavka 3. Nacrta Pravilnika je dorađena na način da glasi: „Obveznik je dužan uspostaviti i primijeniti najučinkovitiji način praćenja primjerenosti i pouzdanosti rješenja koji uključuje: - ispitivanje osiguranja kvalitete rješenja - automatizirana upozorenja i obavijesti - redovita automatizirana izvješća o kvaliteti - ispitivanje uzorka ili - ručni pregled rješenja. |
| 40 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | Članak 5, stavak 4 je nejasno/nespretno propisan. Predlažemo jasnije naznačiti da je obveznik prilikom propisivanja mjera za uklanjanje rizika utvrđenih u sklopu stalnog praćenja rješenja dužan provesti analizu onih poslovnih odnosa u sklopu kojih je uočeno neadekvatno funkcioniranje rješenja te provoditi mjere za uklanjanje rizika skladu s procjenom rizika, pri čemu prednost u provođenju mjera za uklanjanje rizika imaju rizici više kategorije. | Nije prihvaćen | Člankom 5. stavcima 3., 4., i 5. Nacrta Pravilnika jasno je propisano da se prednost primjene mjera za otklanjanje utvrđenih rizika i pogrešaka koje utječu na učinkovitost i djelotvornost rješenja mora dati poslovnim odnosima koji nose potencijalno viši rizik od pranja novca i financiranja terorizma. Navedene mjere su propisane, ali nisu ograničene na mjere iz stavka 5. Nacrta Pravilnika. |
| 41 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | st (7) Koliko dugo obveznik mora čuvati te dokaze? | Primljeno na znanje | Rokovi čuvanja podataka od strane obveznika propisani su člankom 79. Zakona o sprječavanju pranja novca i financiranja terorizma |
| 42 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | st (6) Predlažemo iza riječi „uključuje“ dodati tekst: „jedno od sljedećih sredstava ili njih nekoliko“. - Obrazloženje: Primjenjuju li se navedeni uvjeti kumulativno ili alternativno? Ako je alternativno molimo iza svakog načina dodati 'ili'. Ako je ipak potrebno uključiti sve načine praćenja potrebno je tako navesti. Odredba točke 20. EBA GL definira: Kreditne i financijske institucije trebale bi razmotriti najučinkovitiji način praćenja kontinuirane primjerenosti i pouzdanosti rješenja za uvođenje stranaka na daljinu. Trebale bi razmotriti jedno od sljedećih sredstava ili njih nekoliko, ne ograničavajući se na: i. ispitivanje osiguranja kvalitete; ii. automatizirana ključna upozorenja i obavijesti; iii. redovita automatizirana izvješća o kvaliteti; iv. ispitivanje uzorka; v. ručni pregledi Molimo detaljniju specifikaciju/objašnjenje svakog od navedenih uvjeta -npr. smatraju li se izvješća o razini usluge (u kojima je prikazano izvršenje SLA parametara) izvješćem o kvaliteti? Što podrazumijeva ispitivanje osiguranja kvalitete rješenja i automatizirana upozorenja i obavijesti? | Primljeno na znanje | U skladu s Jedinstvenim metodološko-nomotehničkim pravilima za izradu akata, kada se radi o inačici odnosno alternativnom pobrojavanju, na kraju pretposljednjeg podstavka stavlja se rastavni veznik »ili«. Dakle, u konkretnom slučaju obveznik je dužan provesti jednu ili više propisanih mjera. |
| 43 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | st (5) Predlažemo da se propiše da je obveznik dužan procijeniti potrebu da se u odnosu na zahvaćene poslovne odnose poduzme neka od niže propisanih mjera, čime bi se obvezniku omogućila procjena rizika i potrebnog djelovanja, u skladu s EBA GL (t.19.b) | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 44 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | st (4) Predlažemo ispred pojma „poslovnih odnosa“ dodati riječ „zahvaćenih“. Postojeći prijedlog teksta upućuje da bi bila potrebna analiza svih poslovnih odnosa, iako neki poslovni odnosi nisu zahvaćeni rizicima/pogreškama. EBA GL propisuju obvezu pregleda svih zahvaćenih poslovnih odnosa. | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 45 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | st (2). toč. 3) Predlažemo koristiti pojam „izvanredna kontrola“, umjesto „trenutna kontrola“ | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 46 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | Grupacija UCITS fondova Udruženja investicijskih i mirovinskih fondova predlaže u stavku 2. nakon riječi "dopunjavati", dodati riječi „ovisno o potrebi“, s obzirom da politike, kontrole i postupke obveznik mijenja ovisno o potrebi, ukoliko ih ne mijenja periodično. Također, ukoliko se politike, kontrole i postupci inicijalno kreiraju, nije ih potrebno dopunjavati, osim u slučaju da se pokažu neadekvatnim. U odnosu na stavak 3., otklanjanje utvrđenih rizika i pogrešaka, ako se rizici i pogreške detektiraju, provodi se jednokratno. Time je za otklanjanje rizika primjenjivija Odluka, dok se politikama, kontrolama i postupcima može propisati obveza otklanjanja utvrđenih rizika i pogrešaka, ako se isti detektiraju. Ako se pod stavkom 5. misli na mjere, predlaže se tako navesti. Sukladno stavku 4., stavak 3. bi trebao propisati obvezu periodične analize poslovnih odnosa, ili je potrebno zamijeniti stavak 3. i stavak 4. na način da se stavkom 4. navede da je društvo obvezno raditi periodičnu analizu klijenata, a idućim stavkom utvrdi kako je potrebno otkloniti nedostatke detektirane poslovnim odnosima koji nose viši rizik. U stavku 5., na kraju točke 1. predlaže se dodati riječi: "u slučaju poslovnih odnosa koji ukazuju na viši rizik", a na kraju točaka 2. i 3. predlaže se dodati riječi "u slučaju neprihvatljivog rizika". U stavku 6. predlaže se brisati točke 1. i 2.. Grupacija je mišljenja kako većina društava nema dovoljne kapacitete da bi imali automatizirane alerte, jer značajno poskupljuju aplikaciju. Ipak, ispitivanje osiguranja kvalitete rješenja društva mogu provoditi na način prilagođen rješenju i veličini društva. | Nije prihvaćen | Prijedlog nije prihvaćen obzirom da je intencija propisivanja navedene mjere kontinuirano a ne periodično praćenje rješenja, a kako bi se osiguralo da isto funkcionira u skladu s očekivanjem obveznika. Stoga je obveznik dužan donijeti politike, kontrole i postupke koje će redovito pratiti i preispitivati njihovu politiku i djelotvornost te kada je potrebno mijenjati ih i/ili dopunjavati. (članak 13. stavak. 4.). Nije prihvaćen prijedlog za doradom odredbe stavka 5. obzirom da se u navedenoj odredbi jasno upućuje na primjenu stavka 4. Nije prihvaćen prijedlog da se u stavku 6. brišu točke 1. i 2. Nacrt Pravilnika ne propisuje obvezno korištenje automatskih upozorenja i obavijesti, već navodi načine praćenja primjerenosti i pouzdanosti rješenja. Naime, obveznik treba sam odabrati učinkovit način provjere. Obveza je postavljena alternativno, a ne na način da se sve navedene kontrole moraju koristiti istovremeno. |
| 47 | Hrdalo & Krnic odvjetničko društvo d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | Članak 5. stavak 1. - čini se da je riječ "stalno" višak. Naime, u stavku 1. ovog članka navodi se da je Obveznik dužan: "stalno pratiti rješenje kako bi se uvjerio da je funkcionalnost rješenja u skladu s njegovim očekivanjem", a u stavku 2. točci 2. ovog članka govori se o "učestalosti i opsegu praćenja rješenja". Isto je nedosljedno i nije jasno da li je Obveznik u konačnici ovlašten sam odlučiti o učestalosti praćenja rješenja ili ga mora stalno pratiti. Prijedlog novog teksta: "Obveznik je dužan pratiti rješenje kako bi se uvjerio da je funkcionalnost rješenja u skladu s njegovim očekivanje." Predlaže se i brisanje riječi "Stalno" iz naslova članka. Članak 5. stavak 2. točka 1. - ako obveznik procjenjuje primjerenost rješenja, testira te prati primjerenost rješenja svojim potrebama kakve to dodatne postupke bi trebao poduzeti kako bi osigurao navedene stavke? U slučaju da Obveznik radi s vanjskim zastupnikom/suradnikom/trećom osobom, isti moraju poduzimati postupke kako bi udovoljili potrebama Obveznika. U trenutku kada Obveznik procijeni da rješenje više nije primjereno (npr. utvrdi puno pogrešnih validacija i onboardinga stranaka s kojima se ne bi smjelo stupiti u poslovni odnos) Obveznik može prekinuti suradnju ili naložiti ispravljanje navedenih grešaka, ali nikako ne može ulaziti u postupke i procedure, softverska rješenja pružatelja usluge identifikacija stranaka na daljinu (niti ima ovlaštenja za isto). Predlaže se ovakve obveze normirati isključivo za Obveznike koji koriste interno razvijeno rješenje. Članak 5. stavak 3. - nastavno na prethodno navedeno, poduzimanje mjera otklanjanja utvrđenih rizika i pogrešaka kako su navedene u ovom stavku, moguće su samo ako Obveznik ima vlastiti sustav utvrđivanja stranaka na daljinu. U slučaju da Obveznik koristi rješenje vanjskog suradnika/zastupnika, navedene mjere može poduzimati samo u opsegu koliko to dopušta odnos koji su stranke međusobno uspostavile, npr. putem naloga pružatelju usluge identifikacije stranaka na daljinu da ispravi pogreške. Tome i služi vanjski pružatelj usluga, da pruža uslugu u kojoj je specijaliziran i s kojom se bavi, a koja je potrebna Obvezniku iz različitih razloga, stoga Obveznik, nakon što utvrdi primjerenost rješenja, testira ga i odabere pružatelja, odnosno praćenjem kvalitete usluge koju pružatelj rješenja pruža, može pozvati da pogreške uklone ili prekinuti suradnju. Predlaže se ovakve obveze normirati isključivo za Obveznike koji koriste interno razvijeno rješenje. Članak 5. stavak 4. - potpuno nerazumljivo. Potrebno objasniti što se u stvari ovdje traži od Obveznika, osobito dio stavka: "dati prednost poslovnom odnosu koji nosi potencijalno viši rizik od pranja novca i financiranja terorizma". Također nije jasno zašto se navedeno spominje u dijelu Pravilnika koji se odnosi na "stalno praćenje rješenja", a tiče se analize poslovnih odnosa. Predlaže se brisanje ovog stavka. Članak 5. stavak 7. - Molimo uskladiti nomenklaturu i definirati točno što se odnosi na koji dio. Izgleda kao da veliki broj pojmova redundantno uređuje iste stvari. Tako sada imamo: politike, kontrole, postupke, praćenje rješenja/praćenje primjerenosti/pouzdanosti rješenja, mjere radi otklanjanja nedostataka/mjere otklanjanja rizika i pogrešaka, učinkovitost/primjerenost/djelotvornost rješenja. Predlaže se uskladiti definicije u cijelom Pravilniku. | Djelomično prihvaćen | Nije prihvaćen prijedlog da se u naslovu članka 5. te u stavku 1. Nacrta Pravilnika riječ "stalno" briše kao višak. Mišljenja smo da obveznik mora imati kontinuitet u praćenju rješenja, a sve kako bi se uvjerio odnosno kako bi bio siguran da rješenje funkcionira u skladu s njegovim očekivanjima. Nadalje, o učestalosti praćenja rješenja obveznik sam odlučuje, a isto ovisi o nedostacima rješenja koja su otkrivena tijekom stalnog odnosno kontinuiranog praćenja rješenja. Nije prihvaćen prijedlog da se u stavku 2. točki 1. Nacrta Pravilnika obveze normiraju isključivo za obveznika koji koristi „interno razvijeno rješenje“. Radi razumijevanja predmetne tematike najprije je nužno pojasniti da „pružatelj usluga softvera“ nije vanjski suradnik/zastupnik obveznika niti treća osoba iz Zakona o sprječavanju pranja novca i financiranja terorizma (članak 38. i članak 39. stavak 8.). Intencija ovog Nacrta Pravilnika nije propisivanje obveza „pružatelju usluga softvera“. Međusobna prava i obveze između „pružatelja usluga softvera“ i obveznika reguliraju se ugovornim odnosom, dok odgovornost za provođenje mjera propisanih ovim Nacrtom Pravilnika uvijek snosi obveznik. Dakle, bez obzira na to čije rješenje obveznik koristi, je li to njegovo „interno rješenje“ ili „rješenje pružatelja usluga softvera“, dužnost je obveznika primjenjivati sve mjere propisane Nacrtom Pravilnika. Nije prihvaćen prijedlog da se briše stavak 4. kao nerazumljiv. Smatramo da navedena odredba koja se poziva na stavak 3. jasno nameće obvezu prema kojoj je obveznik dužan donijeti mjere kojima se otklanjaju utvrđeni rizici i pogreške rješenja za provođenje postupka utvrđivanja i provjere identiteta strankaka na daljinu. Navedene mjere moraju sadržavati analizu poslovnih odnosa sa strankama. Odredba nadalje jasno propisuje da obveznik treba dati prednost onom poslovnom odnosu koji nosi potencijalno viši rizik od pranja novca i financiranja terorizma. Dosadašnji članak 5. podijeljen je u dva članka na način da novi članak 5. uređuje pitanja stalnog praćenje rješenja, a članak 6. uređuje elemente provođenja mjera otklanjanja utvrđenih materijaliziranih rizika i pogrešaka koji utječu na učinkovitost i djelotvornost rješenja. |
| 48 | Hrdalo & Krnic odvjetničko društvo d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | Članak 5. Generalni komentar: potrebno je razgraničiti obveze Obveznika koji samostalno utvrđuju i provjeravaju identitet stranke na daljinu (koji samom činjenicom internog rješenja imaju potpunu kontrolu nad istim rješenjem) i Obveznika koji koristi rješenja od strane vanjskog zastupnika/suradnika ili treće osobe. Potonji Obveznik može napraviti sve da u ugovornim odnosima regulira u maksimalnoj mogućoj mjeri svoje odnose s pružateljem usluga te ih prekine u slučaju da rješenje više nije primjereno. | Nije prihvaćen | Kao što je pojašnjeno u odgovoru na komentar pod rednim brojem 47. intencija ovog Nacrta Pravilnika nije propisivanje obveza „pružatelju usluga softvera“, niti je „pružatelj usluga softvera“ vanjski suradnik/zastupnik obveznika ili treća osoba iz Zakona o sprječavanju pranja novca i financiranja terorizma (članak 38. i 39. stavak 8.). Bez obzira na to čije rješenje koristi, svoje „interno rješenje“ ili „rješenje pružatelja usluga softvera“, obveznik je dužan primjenjivati sve mjere propisane Nacrtom Pravilnika |
| 49 | Electrocoin d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | stavak 3. - također upitno ukoliko obveznik koristi rješenje na temelju ugovornog odnosa sa pružateljem softwarea (tada obveznik može jedino zaključiti možda da je rješenje neprimjereno, ali ne i poduzeti mjere otklanjanja pogrešaka). Predlaže se ovakve obveze normirati isključivo za obveznike koji koriste interno razvijeno rješenje. stavak 4. - potpuno je nejasno što se ovime želi postić u smislu utjecaja na učinkovitost rješenja o identifikaciji. Analiza poslovnih odnosa dio je AML procesa obveznika, u formi stalnog praćenja poslovnog odnosa dok je postupak identifikacije u pravilu jednokratan, proveden prethodno zasnivanju poslovnog odnosa te nije jasno u kakvoj su korelaciji postupak identifikacije i razina rizičnosti poslovnog odnosa koju obveznik utvrdi tijekom praćenja istog. Predlaže se brisati. stavak 5. - ZSPNFT rješavana ova pitanja. Nije jasno zbog čega je ova odredba bitna u kontekstu pravilnika koji uređuje pitanje utvrđivanje identiteta stranke na daljinu. Predlaže se brisati. stavak 7. - ponovo, obveznik koji koristi rješenje na ugovornoj osnovi s pružateljem softwarea ne može samostalno otkloniti nedostatke. | Nije prihvaćen | Molimo pogledati odgovor na komentare pod rednim brojem 47. i 48. Dakle, intencija ovog Nacrta Pravilnika nije propisivanje obveza „pružatelju usluga softvera“, niti je „pružatelj usluga softvera“ vanjski suradnik/zastupnik obveznika ili treća osoba iz Zakona o sprječavanju pranja novca i financiranja terorizma (članak 38. i 39. stavak 8.). Bez obzira na to čije rješenje koristi, svoje „interno rješenje“ ili „rješenje pružatelja usluga softvera“, obveznik je dužan primjenjivati sve mjere propisane Nacrtom Pravilnika. Nadalje, radi jasnoće dosadašnji članak 5. podijeljen je u dva članka na način da novi članak 5. uređuje pitanja stalnog praćenje rješenja, a članak 6. uređuje elemente provođenja mjera otklanjanja utvrđenih materijaliziranih rizika i pogrešaka koji utječu na učinkovitost i djelotvornost rješenja. |
| 50 | Electrocoin d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 5. | stavak 2. - molimo pojasniti - zašto je obveznik dužan mijenjati ili dopunjavati politike "postupcima koje poduzima"? Znači li to da obveznik takve postuke ne mora nužno imati u politikama, kontrolama i postupcima inicijalno propisane? Što ako obveznik ne može vršiti takve kontrole ako koristi rješenje za identifikaciju na ugovornoj osnovi sa pružateljem softwarea? | Nije prihvaćen | Obveznik je dužan donijeti politike, kontrole i postupke koje će redovito pratiti i preispitivati njihovu djelotvornost i kada je potrebno mijenjati i/ili dopunjavati (članak 13. st.6). Stavkom 2. propisan je opseg mjera koje obveznik mora ugraditi u politike kontrole i postupke radi kontinuiranog praćenja rješenja. Bez obzira na to čije rješenje koristi, svoje „interno rješenje“ ili „rješenje pružatelja usluga softvera“, obveznik je dužan primjenjivati sve mjere propisane Nacrtom Pravilnika. |
| 51 | Aircash d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | Predlažemo izmjenu članka 6. stavka 2. točke 3. ovog Pravilnika na način da ista glasi: "2. su fotografije, videozapisi, zvuk i ostali podatci snimljeni u čitljivom formatu i dovoljno kvalitetno da stranka bude nedvosmisleno prepoznatljiva" Predloženom izmjenom se izbjegava korištenje pojma "visoka kvaliteta" koji je neodređen te podložan različitim tumačenjima, a uz to se postiže sama svrha predmetne odredbe, odnosno osiguranje da stranka bude nedvojbeno prepoznatljiva temeljem prikupljenih podataka. Također, dodavanjem "ostali podatci" Pravilnik ostavlja mogućnost za buduća rješenja i inovacije. | Djelomično prihvaćen | Odredba novoga članka 7. stavka 2. točke 2. Nacrta Pravilnika dorađena je i glasi: „2. su audio-vizualni podatci snimljeni u čitljivom formatu i dovoljne kvalitete te da je osoba čiji se identitet utvrđuje i provjerava nedvojbeno prepoznatljiv“. |
| 52 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | Članak 6, stavak 4: koji sve podaci, informacije i dokumentacija moraju sadržavati vremenski žig, da li samo oni koji bi bili potpisani kvalificiranim e-potpisom ili bi vremenski žig trebalo primjenjivati i na dokumentaciju koja se prikuplja u sklopu dubinske analize a koja ne uključuje potpis klijenta, odnosno ovisno o načinu njihovog prikupljanja (ručno-stranka, automatski, korištenjem drugih unutarnjih i vanjskih izvora)? | Prihvaćen | Podatci, informacije i dokumentacija prikupljeni tijekom postupka utvrđivanja i provjere identiteta na daljinu moraju imati sadržanu informaciju o vremenu kreiranja/prikupljanja prilikom čega nije nužno korištenje vremenskog žiga u skladu s Uredbom (EU) 910/2014. Odredba novoga članka 7. dorađena je na način da je pojam „vremenski žig“ zamijenjen pojmom „vremenska oznaka“. |
| 53 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | st (4) Molimo pojasniti termin vremenskog žiga, odnosno, misli li se na pojam iz eIDAS uredbe 910/2014 ("Elektronički vremenski žig” znači podaci u elektroničkom obliku koji povezuju druge podatke u elektroničkom obliku s određenim vremenom i na taj način dokazuju da su ti podaci postojali u to vrijeme"). Da li je to hash+timestamp svakog dokumenta koji osigurava njegovu nepromjenjivost ili je dovoljno imati vrijeme kreiranja dokumenta na serveru gdje nije moguća manipulacija dokumentima? Nad kojim dokumentima treba primijeniti vremenski žig, samo na dokumentima ili i na snimcima, logovima? Ako na svim, je li dovoljan vremenski žig na zapis cijele sesije ili mora svaki dokument /procesni korak biti zasebno potpisan? Znači li ovo da je obvezno koristi komercijalni servis i kvalificirani vremenski žig? | Prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 52. odredba novoga članka 7. dorađena je na način da se da je „pojam vremenski žig“ zamijenjen pojmom „vremenska oznaka“. Podatci, informacije i dokumentacija prikupljena tijekom postupka utvrđivanja i provjere identiteta na daljinu moraju imati sadržanu informaciju o vremenu kreiranja/prikupljanja prilikom čega nije nužno korištenje vremenskog žiga u skladu s Uredbom (EU) 910/2014. |
| 54 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | st (3) Članak 4.st.5. nacrta Pravilnika predviđa mogućnost oslanjanja obveznika na QES u skladu s EIDAS Uredbom upravo po pitanju utvrđenja i provjeru identiteta prema vrsti podataka i informacija koji su navedeni u stavku 1. članka 7. nacrta. Predlažemo da se u članak 7. unese novi stavak: „U slučaju kada obveznik koristi rješenje elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev „značajne” ili „visoke” razine sigurnosti u skladu s člankom 8. navedene Uredbe, te kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlje III. odjeljka 3. i članka 24. stavka 1. podstavka 2. točke (b) Uredbe (EU) br. 910/2014 smatra se da su kriteriji iz stavka 1. ovog članka ispunjeni“. Istu mogućnost predviđa i točka 25. EBA GL. | Prihvaćen | Članak 8. dorađen je na način da je iza stavka 2. dodan novi stavak 3. koji glasi: Odredbe stavka 1. i 2. ovoga članka ne primjenjuju se na obveznika koji koristi sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev „značajne” ili „visoke” razine sigurnosti u skladu s člankom 8. navedene Uredbe, ili kada koristi kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlje III. odjeljka 3. |
| 55 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | st (2) toč. 3) Predlažemo dodati u tekst pridjev „neočekivanog“. - Obrazloženje: EBA GL t.24.c) predviđa da se nastavak identifikacije ne nastavi u slučaju „neočekivanog“ prekida veze. | Prihvaćen | Odredba je dorađena na predloženi način. |
| 56 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | Grupacija UCITS fondova Udruženja investicijskih i mirovinskih fondova predlaže u stavku 2., točki 2. i stavku 4. umjesto „i“ navesti „ili“ ( fotografija, videozapisi, zvuk ili podatci) ovisno o tome što obveznik koristi. Također, predlaže se dodati razgovor (mogućnost spremanja razgovora umjesto zvuka jer razgovor može biti i u tekstualnom formatu). Također, nije potrebno imati arhiviran i videorazgovor i sliku za potvrdu identiteta, već jedno od navedenog. Osim toga, članak 7. predviđa dostavu dokumentacije. Postavlja se pitanje je li dovoljno uz prikupljanje dokumentacije arhivirati sliku s vremenskim žigom za potvrdu identiteta? | Djelomično prihvaćen | Odredba novog članka 7. stavka 2. točka 2. Nacrta Pravilnika dorađena je na način da glasi: „2. su audio-vizualni podatci snimljeni u čitljivom formatu i dovoljne kvalitete te da je osoba čiji se identitet utvrđuje i provjerava nedvojbeno prepoznatljiv“. U pogledu pojma „vremenski žig“ ističemo kako je navedeni pojam zamijenjen pojmom „vremenska oznaka“. |
| 57 | IDENTITY CONSORTIUM d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | U čl.6. st. (2) toč. 2, s obzirom da se govori o "visokoj kvaliteti" (koja je potrebna da bi se nedvojbeno utvrdio i provjerio identitet), očito je da se ovdje govori o svim vrstama audio-vizualnih podataka koji se prikupljaju, što ne mora nužno biti samo fotografija/videozapis/zvuk, stoga bi radi primjenjivosti Pravilnika i u budućnosti (sa dolaskom novih formata audio-vizualnih podataka) tj. zbog tzv. future-proofinga bilo bolje da se referencira na “audio-vizualne podatke”. Odnosno, pretjeranom konkretizacijom vrsta mogućih audio-vizualnih podataka (fotografija, videozapisi, zvuk), Pravilnik je manje spreman za budućnost, stoga bi bilo bolje koristiti "audio-vizualni". Stoga smatramo da bi čl.6.st. (2) toč. 2 trebala glasiti “su audio-vizualni podatci snimljeni u čitljivom formatu i visoke kvalitete te da je osoba čiji se identitet utvrđuje i provjerava nedvojbeno prepoznatljiva” U čl.6.st. (4) se ponavlja navođenje “slike, videozapisa i zvuka u čitljivom formatu” (iz st.(2) toč 2. istog članka), a pri čemu informacije i dokumentacija kao takve ne mogu “sadržavati sliku/videozapis/zvuk”, pa stoga ugrađivanje ovog proširenja i ponavljanje već navedenog u st(2) toč 2. na ovom mjestu nema smisla. Uz to, tehnološki nema smisla da navedene kategorije “sadrže” žig (jer se time gubi smisao što uopće jest vremenski žig), nego bi one trebale biti *ovjerene* vremenskim žigom. Stoga smatramo da bi čl. 6 st (4) trebao glasiti “Podatci, informacije i dokumentacija iz stavka 3. ovoga članka moraju biti ovjerene vremenskim žigom, a za potrebe nadzora nadležnog nadzornog tijela iz članka 81. Zakona.” | Prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 56. pojam „vremenski žig“ zamijenjen pojmom „vremenska oznaka“. |
| 58 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | Stavkom 2. propisuje se da je obveznik dužan osigurati da su podaci i informacije pribavljene ažurni i točni no obveznik isto nije u mogućnosti jamčiti s obzirom da klijenti, prilikom identifikacije automatiziranog postupka mogu priložiti osobni dokument na kojem nisu navedeni ažurni i točni podaci (npr. promjena prezimena ili adrese prebivališta, a osobni dokument nije izmijenjen). Grupacija tržišta kapitala Udruženja banaka i drugih financijskih institucija predlaže zamijeniti formulaciju „da su podatci i informacije pribavljene korištenjem rješenja ažurni i točni“ sa „da podatci i informacije pribavljeni korištenjem rješenja odgovaraju dokumentaciji temeljem koje je izvršena identifikacija“ ili sl. | Prihvaćen | Odredba novoga članka 7. stavka 2. točka 1. Nacrta pravilnika dorađena je na način da glasi: „1. su podatci i informacije pribavljene korištenjem rješenja ažurni i točni i u skladu s propisanim mjerama dubinske analize pod uvjetima propisanima u Glavi III. Poglavlju III. NAČIN PROVOĐENJA MJERA DUBINSKE ANALIZE STRANKE Zakona“. |
| 59 | Raiffeisenbank Austria d.d. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 6. | Potrebno je navesti u čl. 2, kao jedan od uvjeta koje je obveznik dužan osigurati, izričitu prethodnu privolu osobe čiji se identitet utvrđuje. | Nije prihvaćen | Nije prihvaćen. Privola osobe koja pristupa postupku za provođenje tog postupka i/ili obradu osobnih podataka, povlačenje privole te postupanje zaposlenika koji sudjeluje u postupku u slučaju kada utvrdi postojanje mogućeg utjecaja drugih osoba na danu privolu, obveznik je dužan urediti internim aktom. |
| 60 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 7. | st (2) Molimo pojašnjenje u kojem kontekstu je ovo bitno i koje mjere ublažavanje rizika uključuje? Odnosi li se ovaj zahtjev samo na automatizirane postupke? Postoje li neki specifični zahtjevi i mjere za postupak koji primjenjuje videokonferenciju? Koje mjere minimalno treba primijeniti obveznik za ublažavanje rizika od lažnog predstavljanja? U kojem kontekstu treba tumačiti zahtjev vezano uz prikrivanje podataka o stvarnoj lokaciji? | Primljeno na znanje | Primjena mjera za ublažavanje rizika od lažnog predstavljanja odnosi se na sve postupke utvrđivanja i provjere identiteta stranke na daljinu obzirom da imaju inherentnu ranjivost elektroničkog procesiranja i prijenosa podataka. Napredne metode napada kao primjerice Deep Fake tehnologija se mogu koristiti za provođenje napada te obveznik mora voditi računa o načinima prevencije i detekcije ovakvih vrsta napada. Primjer zaštite bi bio korištenje alata koji detektiraju promjene vizualne ili audio prezentacije podataka koji se prenose tijekom postupka, odnosno promjene biometrijskih podataka na osnovu kojih se vrši utvrđivanje i provjera identiteta osobe koja je pristupila postupku. Lažno predstavljanje može uključivati i prikrivanje prave lokacije fizičke osobe na način da se koristi odgovarajuća tehnologija (primjerice VPN-a) za promjenu izvorišne IP adresu koju prima obveznik. |
| 61 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 7. | Grupacija UCITS fondova Udruženja investicijskih i mirovinskih fondova u stavku 1. točki 2. i stavku 2. predlaže izbaciti riječ „ automatski“ jer podatke i informacije iz dostavljene dokumentacije djelatnik može unijeti u aplikaciju. | Nije prihvaćen | U skladu s odredbom članka 7. stavka 1., obveznik će u politikama, kontrolama i postupcima propisati vrstu podataka i informacije potrebne za utvrđivanje i provjeru identiteta na daljinu te način na koji će ih prikupiti. U slučaju kada zaposlenik unosi podatke u „aplikaciju“, obveznik je dužan navedeno propisati u politikama, kontrolama i postupcima iz stavka 1. |
| 62 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 8. | st (1) Predlažemo, radi jasnoće, tekst „kategorije pravnih osoba“ zamijeniti s tekstom „koju će kategoriju pravnih osoba uvoditi na daljinu“, što je u skladu s točkom 29. EBA GL. | Prihvaćen | Odredba je dorađena na način da glasi: "Obveznik je dužan u politikama, kontrolama i postupcima iz članka 3. ovoga Pravilnika utvrditi za koju će kategoriju pravnih osoba uspostaviti poslovni odnos na daljinu, uzimajući u obzir rizik od pranja novca i financiranja terorizma povezan sa svakom kategorijom." |
| 63 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 8. | Grupacija UCITS fondova Udruženja investicijskih i mirovinskih fondova mišljenja je kako se navedeno0 u stavku 1. ne razlikuje od ZSPNFT te predlaže brisanje ove odredbe. Također, Grupacija je mišljenja kako se postupak utvrđivanja i provjere identiteta pravne osobe ne razlikuje prema kategoriji pravne osobe. U odnosu na stavak 2. točku 3. Grupacija predlaže da se koristi i definira zaseban termin za provjeru identiteta putem slike/videopoziva i za utvrđivanje identiteta samo iz dokumentacije te da se isto definira u pojmovima. Na ovako predloženi način izvodi se zaključak kako se mora slikati/snimiti i stvarni vlasnik, jednako kao i zastupnik, što nije potrebno. | Djelomično prihvaćen | Odredba je dorađena na način da glasi: "Obveznik je dužan u politikama, kontrolama i postupcima iz članka 3. ovoga Pravilnika utvrditi za koju će kategoriju pravnih osoba uspostaviti poslovni odnos na daljinu, uzimajući u obzir rizik od pranja novca i financiranja terorizma povezan sa svakom kategorijom." Nadalje, stavak 2. izmijenjen je na način da glasi: „(2) Rješenje za utvrđivanje i provjeru identiteta pravne osobe na daljinu mora omogućiti prikupljanje: - svih relevantnih podataka i dokumentacije za utvrđivanje i provjeru identiteta pravne osobe - svih relevantnih podataka i dokumentacije za utvrđivanje i provjeru je li fizička osoba koja djeluje u ime pravne osobe zakonski zastupnik ili punomoćnik pravne osobe - podatke o stvarnim vlasnicima.“ |
| 64 | Electrocoin d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 8. | stavak 2., alineja 1 - "identitet pravne osobe" - pravna osoba nema identitet, o pravnoj osobi prikupljaju se podaci iz službenog registra te osnivački akt kada je to propisano ZSPNFT. Stoga se predlaže ovu točku brisati, odnosno preformulirati na način da se propiše da rješenje mora omogućiti pribavu podataka iz odgovarajućeg registra. | Nije prihvaćen | Zakon o sprječavanju pranja novca i financiranja terorizma u članku 23. detaljno uređuje utvrđivanje i provjeru identiteta pravne osobe. |
| 65 | Electrocoin d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 9. | Podatak o namjeni i predviđenoj prirodi poslovnog odnosa je podatak koji se prikuplja u okviru dubinske analize sukladno ZSPNFT. Nije jasno koja je osnova za prikupljanje ovog podatka "prije dovršetka" postupka identifikacije. Obveznik može identificirati stranku i onda kada nije obvezan provesti dubinsku analizu nad strankom. Predlaže se brisati. | Nije prihvaćen | U skladu s člankom 15. stavkom 1. točkom 3. Zakona o sprječavanju pranja novca i financiranja terorizma, dubinska analiza stranke zahtijeva prikupljanje podatka o namjeni i predviđenoj prirodi poslovnog odnosa prilikom uspostavljanja poslovnog odnosa (članak16. stavak 1. točka 1.), a sve u cilju utvrđivanja rizičnosti stranke. |
| 66 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 10. | Članak 10, stavak 2, molimo da u odgovoru predložite kontrolu koju bi obveznik koji uspostavlja poslovni odnos temeljem kvalificiranog elektroničkog potpisa trebao provesti u odnosu na reprodukciju službenog osobnog dokumenta? | Nije prihvaćen | Kada se koristi digitalni identitet baziran na digitalnom certifikatu te u slučaju uspostave poslovnog odnosa koji se potvrđuje kvalificiranim elektroničkim potpisom, obveznik nije dužan provesti utvrđivanje i provjeru identiteta stranke na daljinu putem službenog osobnog dokumenta uz uvjet da se radi o kvalificiranoj usluzi povjerenja koja ispunjava zahtjeve Uredbe (EU) 910/2014. |
| 67 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 10. | st (1) Ako obveznik primjenjuje proces videoelektroničke identifikacije u kojem provjeravamo autentičnost osobnog dokumenta unutar videokonferencije (prikaz osobnog dokumenta s obje strane, zajedno s klijentom, a u sesiji se provjera broj dokumenta u OIB sustavu i druge mjere) smatra li se to „prihvaćanjem reprodukcije službenog osobnog dokumenta“? | Primljeno na znanje | Postupak utvrđivanja i provjere identiteta osobe na daljinu obavezno uključuje provjeru autentičnosti službenog osobnog dokumenta (osim u slučaju digitalnog identiteta). Provjera izgleda i sadržaja prednje i stražnje strane osobnog dokumenta putem videokonferencije od strane obveznika predstavlja provjeru autentičnosti osobnog dokumenta čija se točnost u velikoj mjeri povećava paralelnim korištenjem odgovarajuće aplikacije koja to provodi korištenjem odgovarajućeg algoritma. Provjera OIB-a na osnovu imena subjekta i broja osobne iskaznice ili matičnog broja predstavlja dodatnu kontrolu kojom se provjerava autentičnost danih podataka. Opisani postupak u kojem se provjerava (prikaz osobnog dokumenta s obje strane, zajedno sa strankom, a u sesiji se provjera broj dokumenta u OIB sustavu i druge mjere) se smatra „prihvaćanjem reprodukcije službenog osobnog dokumenta“. |
| 68 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 10. | Grupacija UCITS fondova Udruženja investicijskih i mirovinskih fondova postavlja pitanje na koji način se može provjeriti propisano u stavku 1. točki 2. Grupacija se slaže da je potrebno osigurati osigurati ispravne identifikacijske isprave, ali smatra kako spomenuta odredba nije dovoljno precizno definirana, niti da je primjenjiva u ovom obliku. Točku 4. istoga stavka, Grupacija predlaže brisati jer točka nije jasna. Također, predlaže unijeti novu točku koja glasi: „odgovara li identifikacijski dokument koji klijent prikazuje u videopozivu reprodukciji dostavljenog identifikacijskog dokumenta“. | Nije prihvaćen | Radi jasnoće i preciznosti odredba novoga članka 11. stavka 1. Nacrta Pravilnika je dorađena na sljedeći način: „Ako obveznik prilikom utvrđivanja i provjere identiteta stranke na daljinu prihvaća prikaz fotografije ili videozapisa izvornog službenog osobnog dokumenta (reprodukcija službenog osobnog dokumenta), dužan je u cilju utvrđivanja autentičnosti službenog osobnog dokumenta provjeriti“. |
| 69 | IDENTITY CONSORTIUM d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 10. | U čl.10. st.(1) toč.1 smatramo da bi termin “svojstva” bilo značajno primjereniji od termina “specifikacije”. Dakle, smatramo da bi čl.10.st (1) toč.1. trebala glasiti: “sadržava li reprodukcija službenog osobnog dokumenta sigurnosne značajke ugrađene u službeni osobni dokument i jesu li svojstva reprodukcije valjana i prihvatljiva, posebice vrsta i veličina znakova i struktura službenog osobnog dokumenta, uspoređujući ih sa službenim bazama podataka, kao što je Javni internetski registar vjerodostojnih putnih i osobnih isprava Vijeća Europske unije (PRADO)” Vezano uz čl.10.st (1), smatramo da se toč.1 ne poziva u dovoljnoj mjeri na sve važne sigurnosne elemente na identifikacijskom dokumentu. Štoviše, bez detekcije holograma kao ključnog sigurnosnog optičkog elementa (hologram je u praksi JEDINI optički element čijom se provjerom može utvrditi autentičnost identifikacijskog dokumenta), sve ostale provjere su besmislene jer se bez provjere holograma ne može provjeriti autentičnost svih ostalih podataka, dakle ne smije se “vjerovati” ostalim podacima (tj sve ostale podatke moguće je “posložiti u PhotoShopu”), te stoga smatramo da ga treba izdvojiti kao zasebnu provjeru. Zbog toga smatramo iznimno važnim da se u čl.10.st (1) doda nova toč 2. (između postojećih toč. 1. i toč 2.) koja bi glasila “sadržava li reprodukcija službenog osobnog dokumenta autentične optičke sigurnosne značajke (hologram)” | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 70 | Hrdalo & Krnic odvjetničko društvo d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 10. | Članak 10. stavak 1. točka 1-4., stavak 2. - u slučaju korištenja rješenja vanjskog suradnika/zastupnika/treće osobe, to rješenje mora ispunjavati navedene kvalitete. Predlaže se ovakve obveze normirati isključivo za Obveznike koji koriste interno razvijeno rješenje, a u odnosu na Obveznike koji koriste vanjske suradnike/zastupnike/treće osobe odrediti da isti navedeno povjeravaju vanjskim suradnicima/zastupnicima/trećim osobama na temelju procjene primjerenosti. | Nije prihvaćen | Kao što je navedeno u odgovoru na komentar pod rednim brojem 47. i 48., intencija Nacrta Pravilnika nije propisivanje obveza „pružatelju usluga softvera“, niti je „pružatelj usluga softvera“ vanjski suradnik/zastupnik obveznika ili treća osoba iz Zakona o sprječavanju pranja novca i financiranja terorizma (članak 38. i 39. stavak 8.). Bez obzira na to čije rješenje koristi, svoje „interno rješenje“ ili „rješenje pružatelja usluga softvera“, obveznik je dužan primjenjivati sve mjere propisane Nacrtom Pravilnika. |
| 71 | PORSCHE LEASING D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 10. | U odnosu na stavak 3. predlažemo nomotehnički redefinirati odredbu kako slijedi: "U slučaju kada stranka čiji se identitet utvrđuje i provjerava koristi službeni osobni dokument za utvrđivanje identiteta koji sadrži elektronički nosač podataka, obveznik može koristiti dobivene podatke i informacije radi provjere njihove autentičnosti." | Prihvaćen | Odredba je dorađena na predloženi način. |
| 72 | PRIMEX PAYMENTS D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | Članak 11, stavak 5, točka 3 Hoće li biti osiguran period usklađenja s Pravilnikom za one obveznike koji su, uz sukladnost regulatora, implementirali automatizirani postupak bez provjere živosti na niskorizične slučajeve uspostave poslovnog odnosa? | Primljeno na znanje | U prijelaznim odredbama Nacrta Pravilnika utvrdit će se rok u kojim obveznici koji su uz suglasnost nadležnog nadzornog tijela implementirali automatizirani postupak, moraju uskladit svoje poslovanje. |
| 73 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (7) toč. 5. Je li predviđeno slanje koda poštom? Potrebno je specificirati da li se u ovom slučaju zahtijeva neka aktivna radnja klijenta. | Primljeno na znanje | Potreba primjene dodatnih kontrola (u slučaju kada na to ukazuje procjena rizika) može rezultirati dodatnim kontaktiranjem stranke na jedan od navedenih načina te se podrazumijeva aktivna uključenost stranke. Vrsta aktivne radnje stranke ovisit će o konkretnom slučaju te o previđenom postupku obveznika s kojim stranka mora biti upoznata. |
| 74 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (7) toč. 3. Je li namjera da više nema privole kako je to određeno čl. 5 sada važećeg Pravilnika o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije („Narodne novine“ broj 1/19)? Ako jest tada treba povesti računa da bi to trebalo biti određeno zakonom s obzirom na čl. 22. Zakona o provedbi Opće uredbe o zaštiti podataka. | Primljeno na znanje | Nije intencija Nacrta Pravilnika propisivanje postupka kojim će se na daljinu utvrditi i provjeriti identitet nove stranke bez davanja njezine izričite privode. Privola osobe koja pristupa postupku za provođenje tog postupka i/ili obradu osobnih podataka, povlačenje privole te postupanje zaposlenika koji sudjeluje u postupku u slučaju kada utvrdi postojanje mogućeg utjecaja drugih osoba na danu privolu, obveznik je dužan urediti internim aktom. |
| 75 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (7) toč. 2. Nije dovoljno detaljno propisan način primjene takvog koda, predstavlja li on isto što i jednokratni identifikacijski broj u trenutno važećem pravilniku? Važećim Pravilnikom o min. tehničkim uvjetima za provođenje video identifikacije, čl. 9, predviđeno je isključivo slanje jedinstvenog identifikacijskog broja. Zaključujemo da se ovdje pružaju i dodatne mogućnosti za potvrđivanje identiteta stranke te molimo potvrdu za navedeno. Npr. ako ne uspijemo poslati kod stranci onako kako je to opisano u t.2 (npr. nešto ne radi u aplikaciji) možemo li koristiti druge mjere (slanje maila ili telefonski kontakt) radi provjere i potvrde identiteta? Dodatno, ako se koriste biometrijski podaci kako je navedeno u t. 3, znači li to da nije potrebno generirati kod iz t.2? | Primljeno na znanje | Slanje nasumično generiranog koda predstavlja dodatni mehanizam provjere u slučaju kada obveznik ocijeni da je to potrebno. Obveznik može uspostaviti dodatnu komunikaciju s klijentom na neki od propisanih načina, primjerice telefonsko kontaktiranje ili slanje poštom. Provedba jedne ili više kontrolnih mjera ovisi o provedenoj procjeni rizika. |
| 76 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st (6) toč 5) „Ako je moguće, kreditne i financijske institucije trebale bi koristiti rješenja uvođenja stranaka na daljinu koja u svrhu provjere uključuju nasumičnost u redoslijedu radnji koje bi stranka trebala izvršiti radi zaštite od rizika poput upotrebe sintetičkih identiteta ili prisile.“ Nacrtom Pravilnika nije predviđen dio teksta „ako je moguće“ –budući da postoje tehnička rješenja različitih mogućnosti, predlažemo u tekst dodati „ako je moguće“. Je li nasumičnost potrebno provoditi u svakoj sesiji ili samo u onima za koje se utvrdi povišeni rizik? | Prihvaćen | Svrha propisane mjere je da se smanji mogućnost predvidljivosti slijeda sesije te na taj način oteža provođenje mogućeg napada. Obveznik treba provesti procjenu rizika te na osnovu nje utvrditi razinu potrebne nepredvidivosti samog postupka. Odredba novoga članka 12. stavka 6. točka 5. Nacrta Pravilnika je dorađena na način da glasi: "5. sukladno procjeni rizika, osigurati nasumičnost u redoslijedu radnji koje stranka mora obaviti kako bi se otežala priprema za provođenje napada koji uključuje lažno predstavljanje". |
| 77 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st (6) toč 4) Koji su to i gdje su navedeni psihološki čimbenici ili druge značajke koje mogu karakterizirati sumnjivo ponašanje stranke? | Primljeno na znanje | U skladu s člankom 60. Zakona o sprječavanju pranja novca i financiranja terorizma, obveznici su dužni sastaviti listu indikatora za prepoznavanje sumnjivih transakcija, sredstava i osoba u vezi s kojima postoje razlozi za sumnju na pranje novca i financiranje terorizma. Navedena lista je sastavni dio politika, kontrola i postupaka iz članka 13. Zakona. |
| 78 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st (6) toč. 3) i toč 4) Je li u skladu s nacrtom Pravilnika, intencija da obveznici donesu dva interna akta (uputu i smjernicu), ili je se radi o sadržaju vodiča koji treba donijeti, u skladu s odredbom točke 42.c) EBA GL? EBA GL u točki 42.c) predviđa, umjesto upute, razvijanje vodiča za intervju čiji će sastavni dio biti smjernice za promatranje i identificiranje psiholoških čimbenika ili drugih značajki... Nacrt Pravilnika rastavlja ove dvije komponente, čime se otvara mogućnost stvaranja dva različita interna akta kod obveznika, što otežava postupanje u praksi. | Primljeno na znanje | U skladu s člankom 11. stavkom 6. točkom 3. Nacrta Pravilnika, obveznik je dužan donijeti uputu koja je istovjetna "vodiču za intervju" koji je definiran točkom 42. EBA Smjernica. Pored navedenog, obveznik je dužan donijeti i smjernice za promatranje i utvrđivanje psiholoških čimbenika koji mogu biti sastavni dio upute za provođenje video konferencije, ali i ne moraju budući da se mogu primjenjivati i kod fizičke identifikacije. |
| 79 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (6) toč. 2) Koju minimalnu razinu osposobljavanja zaposlenik mora proći za svako navedeno područje, posebice za područje „namjerne uporabe tehnika obmane“? | Primljeno na znanje | Zaposlenik koji je uključen u postupak utvrđivanja i provjere identiteta osobe na daljinu treba proći unutarnju ili vanjsku edukaciju od strane osoba koje su upoznate s detaljima tehnika obmane koje se koriste za lažno predstavljanje. Ovo može uključivati voditelja sigurnosti koji priprema edukaciju za operatere, vanjske konzultante specijalizirane za navedeno područje ili zaposlenike društva koje je osiguralo rješenje za provođenje postupka, a koje ima unutar sebe ugrađene određene sigurnosne mjere. |
| 80 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (5) toč. 3) "provjera živosti stranke" - Razmisliti o drugoj riječi, ako se misli na utvrđivanje da li je stranka živa. | Nije prihvaćen | Kada govorimo o provjeri živosti stranke (eng. "liveness test"), bitno je pojasniti da se radi o utvrđivanju postojanja stvarne fizičke osobe koja sudjeluje u postupku utvrđivanja i provjere identiteta stranke na daljinu, a ne o virtualnoj osobi koja ne postoji u fizičkom svijetu. Kako bi se utvrdilo postojanje žive stvarne osobe provode se određene aktivne i pasivne provjere kod kojih se očekuje različita razina uključenosti same osobe. |
| 81 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (5) toč. 2) Misli li se na vremenski žig? | Primljeno na znanje | Kao što je navedeno u odgovoru na komentar pod rednim brojem 52 . i 53. pojam „vremenski žig“ zamijenjen je pojmom „vremenska oznaka“. Slijedom navedenog, fotografije i videozapisi iz točke 2. stavka 5. ovoga članka, snimljeni u trenutku kada se provodi postupak, moraju sadržavati vremensku oznaku. |
| 82 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (4) Smatramo da ovdje nisu jasno raspisani čimbenici pod kojima je potrebno prekinuti identifikaciju na daljinu, posebno u slučaju kada se radi o postupku videokonferencije. | Primljeno na znanje | Odredbom stavka 4. propisan je prekid postupka u slučaju kada postoji određena dvosmislenost ili neodređenost. Međutim, postupak se može primjerice prekinuti u sljedećim situacijama: kada fizička osoba odustane, uslijed nedovoljne kvalitete slike ili zvuka ili pojave uzastopnih prekida postupka koji onemogućavaju pouzdano utvrđivanje identiteta osobe, kod utvrđene nekonzistentnost podataka, postojanja nedovoljne razine uvjerenja u vjerodostojnost službenog osobnog dokumenta ili isteka njegove valjanosti, kada nije s dovoljnom razinom uvjerenosti utvrđen identitet osobe, kada je potvrđen određeni broj indikatora sumnjivog ponašanja osobe i dr. |
| 83 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st (3) Koji algoritmi imaju definiciju snažnih i pouzdanih? | Primljeno na znanje | Snažni i pouzdani algoritmi su oni algoritmi koji omogućavaju uspostavu rješenja za utvrđivanje i provjeru identiteta osobe na daljinu, s vrlo niskom vjerojatnšću da se osoba koja pristupa postupku pogrešno identificira kao druga osoba, odnosno da se krivotvoreni službeni osobni dokument upotrebi kao pravi. |
| 84 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | st. (1) toč. 1) Primjenjuje li se ova odredba samo na automatizirani postupak ili i za videokonferenciju? Ako se odnosi i na videokonferenciju, koji su minimalni kriteriji provjere podudarnosti fizičke osobe sa slikom na dokumentu koju je obvezan provesti zaposlenik obveznika? | Primljeno na znanje | Navedena odredba primjenjuje se i na automatizirani postupak i na videokonferenciju. Zaposlenik koji vodi postupak identifikacije i provjere identiteta osobe na daljinu mora imati veliku razinu uvjerenost da osoba čija se slika nalazi na službenom osobnom dokumentu predstavlja osobu koja je pristupila postupku. U uputi za vođenje video konferencije potrebno je specificirati detalje o kojima je nužno voditi računa prilikom donošenja odluke, indikatore sumnjivog ponašanja, te eventualne tehničke poteškoće koje mogu utjecati na donošenje odluke, a u cilju smanjivanja subjektivnosti procjene zaposlenika obveznika. U slučaju bilo kakve sumnje potrebno je prekinuti postupak te osobu uputiti na fizički postupak. Ako se tijekom video konferencije paralelno koristi aplikacija koja vrši usporedbu fotografije fizičke osobe koja je pristupila postupku i slike fizičke osobe na službenom osobnom dokumentu, tada se znatno povećava točnost donošenja odluke te isto predstavlja preporučeni način rada. |
| 85 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | Grupacija UCITS fondova Udruženja investicijskih i mirovinskih fondova, u odnosu na stavak 5. točku 3. postavlja pitanje na koji način se provjerava živost fizičke osobe? Smatra kako je ovo pokriveno točkom 2. jer se fotografije osobe trebaju snimiti u trenutku provjere identiteta, te se točka 3. može brisati. Stavak 6. točku 6. predlaže se brisati jer manja društva nemaju puno zaposlenika, a za istu prijevarnu radnju ne postoji veći rizik nego kod fizičke identifikacije. | Nije prihvaćen | Snimanje fotografije u realnom vremenu ne povlači automatski i provjeru živosti stranke, stoga nije prihvaćen prijedlog da se briše točka 3. Nije prihvaćen prijedlog da se briše točka 6.. Međutim, radi proporcionalnosti pojam „kada je primjenjivo“ zamijenjen je pojmom „kada je u mogućnosti“. |
| 86 | IDENTITY CONSORTIUM d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | U čl.11. st.(5) dodali bismo “stranke” zbog veće jasnoće. Uz to, analogno našem objašnjenju uz čl.10, dakle uzevši u obzir da je provjera autentičnosti optičkog sigurnosnog elementa (holograma) ključan korak u provjeri autentičnosti id.dokumenta, nakon točke 2. dodali bismo novu točku 3.: “provjeru autentičnosti službenog osobnog dokumenta stranke kako bi se nedvojbeno utvrdilo da se radi o izvornom dokumentu, a u skladu sa čl. 10. ovog Pravilnika”. Pri tome skrećemo pažnju na važnost riječi “nedvojbeno” s obzirom na kritičnost tog koraka za ukupnu provjeru autentičnosti dokumenta. U čl.11.st.(5) toč 4 (stara) dodali bismo riječ “nedvojbeno”, a s obzirom na važnost liveness koraka u ukupnim koracima provjere (autentičnost identiteta = autentičnost osobe + autentičnost ID dokumenta + podudaranje lica). Dakle, smatramo da bi toč.4. trebala glasiti “provjeru živosti stranke kako bi se nedvojbeno utvrdilo da se radi o stvarnoj fizičkoj osobi koja trenutno sudjeluje u automatiziranom postupku”. Sumarno, smatramo da bi čl.11. st (5) trebao glasiti: “Kada obveznik koristi automatizirani postupak, dužan je osigurati: 1. da su fotografije ili videozapisi snimljeni u odgovarajućim uvjetima osvjetljenja i s potrebnom jasnoćom kako bi se omogućila pravilna provjera identiteta stranke 2. da su fotografije ili videozapisi stranke snimljeni u trenutku kada se provodi postupak utvrđivanja i provjere njenog identiteta 3. provjeru autentičnosti službenog osobnog dokumenta stranke kako bi se nedvojbeno utvrdilo da se radi o izvornom dokumentu, a u skladu sa čl. 10. ovog Pravilnika, 4. provjeru živosti stranke kako bi se nedvojbeno utvrdilo da se radi o stvarnoj fizičkoj osobi koja trenutno sudjeluje u automatiziranom postupku 5. pouzdane algoritme za provjeru podudara li se fotografija ili videozapis stranke s fotografijom preuzetom iz službenog osobnog dokumenata.” U čl. 11. st. (6), uvodni pasus, ispušteno je navesti da kada se provodi “klasična” video konferencija, obveznik također mora zadovoljiti sve uvjete za automatizirani postupak (s obzirom da su oni u prethodnom čl.11. st (5) definirani dovoljno univerzalno), jer se i postupak temeljen na video konferenciji treba temeljiti na principu autentičnost identiteta = autentičnost osobe + autentičnost ID dokumenta + podudaranje lica. Stoga, smatramo da bi u čl.11. st. (6) uvodni pasus trebao glasiti: “(6) Obveznik koji koristi video konferenciju, dužan je, uz uvjete iz st. 5. ovog članka, i:” U čl.11. st. (7) toč.1., sigurnosno gledano, dobivanje imena i prezimena iz ulazne platne transakcije potpuno je jednako dobivanju imena i prezimena putem PSD2 AIS API, s obzirom da i kod jedne i druge metode krajnji korisnik mora uspješno proći bančin SCA (Secure Customer Authentication),u praksi najčešće mToken. Stoga, predlažemo da čl. 11. st. (7) toč.1. glasi: “prvo plaćanje ili provjera korištenjem usluge informiranja o računu sukladno odredbama Zakona o platnom prometu provodi se sa računa koji glasi na ime stranke kod obveznika u državi članici ili trećoj državi koja provodi mjere, radnje i postupke sa svrhom sprječavanja pranja novca i financiranja terorizma, jednake ili jednakovrijedne onima propisanim u Direktivi (EU) 2015/849 i čija se usklađenost nadzire od strane nadležnog nadzornog tijela na način jednak ili jednakovrijedan onima propisanim u Direktivi (EU) 2015/849” U čl.11. st.(8) toč.1. predlažemo, kao i u čl. 4 st (5), da se radi jasnoće doda “prijavljeno Europskoj Komisiji i objavljeno u Službenom listu Europske unije”, odnosno da čl.11.st (8) toč.1. glasi: “sustav elektroničke identifikacije prijavljen Europskoj Komisiji i objavljen u Službenom listu Europske unije, u skladu s člankom 9. Uredbe (EU) br. 910/2014 koji ispunjava zahtjeve ‘značajne’ ili ‘visoke’ razine sigurnosti u skladu s člankom 8. Uredbe (EU) br. 910/2014 ili” U čl.11.st.(8) toč.2., kao i u čl.4. st. (5), i ovdje je kontradiktorno pozivanje isključivo na (b) iz čl.24.st.1 podst. 2 (s obzirom da je tamo između (a)...(d) veznik “ili”, što posebice nema smisla u kombinaciji sa rječju “posebno”; naime, gledano ukupno u kombinaciji sa čl.24.st.1.podst.2. ova točka govori “...obveznik..nije dužan primjenjivati mjere …kada koristi bilo (a) bilo (b) bilo (c) bilo (d), a posebno (b).”. Stoga smatramo da bi ova točka trebala glasiti: “kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, posebno poglavlja III. odjeljka 3.” | Prihvaćen | Poštovani, prihvaćeni su Vaši komentari. |
| 87 | Hrdalo & Krnic odvjetničko društvo d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | Članak 11. - Predlaže se jasno razgraničiti obveze koje mora ispunjavati Obveznik koji koristi vanjska "rješenja" od Obveznika koji koristi interna "rješenja" za utvrđivanje identiteta stranke na daljinu i na koji način ih moraju ispunjavati, bilo implementacijom u vlastite interne procese (za interna rješenja) bilo preuzimanjem ugovornih obveza (za vanjska rješenja). | Nije prihvaćen | Molimo pogledati odgovor na komentare pod rednim brojem 47, 48. i 70. Dakle, Nacrt Pravilnika ne propisuje obveze „pružatelju usluga softvera“ niti je „pružatelj usluga softvera“ vanjski suradnik/zastupnik obveznika ili treća osoba iz Zakona o sprječavanju pranja novca i financiranja terorizma (članak 38. i 39. stavak 8.). Bez obzira na to čije rješenje koristi, svoje „interno rješenje“ ili „rješenje pružatelja usluga softvera“, obveznik je dužan primjenjivati sve mjere propisane Nacrtom Pravilnika. |
| 88 | PORSCHE LEASING D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | U odnosu na stavak 6.tč2. dodatno propisati obvezu osiguranja zaposlenika koji sudjeluje u postupku da isti posjeduje, osim znanja iz područja SPNFT te znanja o namjerno uporabi tehnika obmane i otkrivanje njihovih pojava, također i znanja: za detekciju čudnog ponašanja, detekciju sumnjivih transakcija, za psihološko profiliranje, za prepoznavanje razlika između sličnih osoba (npr. blizanci), da dobro poznaje propise koji uređuju zaštitu osobnih podataka, da razumije tehničke zahtjeve i rad uređaja kojima se obavlja videoelektronička identifikacija stranke, da dobro poznaje obilježja službenih osobnih dokumenata, da razumije praktičnu provedbu videoelektroničke identifikacije stranke, uključujući provjeru zaštitnih obilježja službenog osobnog dokumenta ili korištenje relevantne programske podrške za njihovu provjeru, provjere vjerodostojnosti prikupljenih podataka te uočavanje nelogičnih ili nedosljednih odgovora stranaka u postupku videoelektroničke identifikacije stranke. | Primljeno na znanje | Zahvaljujemo na dostavljenom komentaru. |
| 89 | PORSCHE LEASING D.O.O. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | U odnosu na stavak 4. dodatno propisati obvezu prekida postupka utvrđivanja i provjere identiteta na daljinu i u slučaju nastupa okolonosti koje ukazuju na sumnjivo ponašaanje fizičke osobe. | Primljeno na znanje | Kao što je navedeno u odgovoru na komentar pod rednim brojem 82. odredbom stavka 4. propisan je prekid postupka u slučaju kada postoji određena dvosmislenost ili neodređenost. Međutim, postupak se može primjerice prekinuti u sljedećim situacijama: kada fizička osoba odustane, uslijed nedovoljne kvalitete slike ili zvuka ili pojave uzastopnih prekida postupka koji onemogućavaju pouzdano utvrđivanje identiteta osobe, kod utvrđene nekonzistentnost podataka, postojanja nedovoljne razine uvjerenja u vjerodostojnost službenog osobnog dokumenta ili isteka njegove valjanosti, kada nije s dovoljnom razinom uvjerenosti utvrđen identitet osobe, kada je potvrđen određeni broj indikatora sumnjivog ponašanja osobe i dr. |
| 90 | Raiffeisenbank Austria d.d. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 11. | Predlažemo navesti u stavku. 2 kako će se obrada podataka vršiti sukladno Pravilniku o obradi biometrijskih podataka | Nije prihvaćen | Nacrt Pravilnika ne uključuje obradu biometrijskih podataka stoga nije potrebno upućivanje na pravilnik koji uređuje način obrade navedenih podataka. |
| 91 | Aircash d.o.o. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 12. | Budući da postoji praktična ograničenost mogućnosti provedbe svih radnji propisanih u članku 12. stavku 4. ovog Pravilnika koji mogu obveznika dovesti u nepovoljni položaj zbog nametanja teško izvedivih radnji, predlaže se usklada članka 12. stavka 4. ovog Pravilnika s dijelom 4.5.2. točkom 48. EBA/GL/2022/15 na način da isti glasi: "(4) Obveznik je dužan prije i tijekom poslovnog odnosa: 1. osigurati da vanjski suradnik i zastupnik obveznika učinkovito provodi i pridržava se politika, kontrola i postupaka obveznika u skladu s ugovornim odnosom 2. provesti procjene kako bi se osiguralo da je vanjski pružatelj usluga dovoljno opremljen i sposoban izvesti postupak uvođenja stranaka na daljinu, a koje mogu uključivati, premda nisu ograničene na, procjenu obuke osoblja, tehnološku sposobnost i upravljanje podatcima kod vanjskog pružatelja usluga 3. osigurati da vanjski suradnik i zastupnik obveznika obavijesti obveznika o svim predloženim promjenama u postupku utvrđivanja i provjere identiteta stranke na daljinu ili svim promjenama rješenja. | Prihvaćen | Odredba stavka 4. točka 2. dorađena je na sljedeći način te glasi: "2. provesti procjene kako bi se osiguralo da je vanjski suradnik i zastupnik dovoljno opremljen i sposoban izvesti postupak utvrđivanja i provjere stranaka na daljinu, a koje mogu uključivati, premda nisu ograničene na, procjenu obuke osoblja, tehnološku sposobnost i upravljanje podatcima kod vanjskog pružatelja usluga“. |
| 92 | HGK | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 12. | Grupacija UCITS fondova Udruženja investicijskih i mirovinskih fondova u stavku 4. točki 1. i točki 3. predlaže umjesto riječi „vanjski suradnik i zastupnik“ navesti „treća osoba“ jer se na taj način koriste različite formulacije koje nisu jasno definirane u opisu pojmova. Točku 2. predlaže se drugačije formulirati ili brisati. Naime, članak 39. ZSPNFT navodi tko može biti treća osoba, odnosno koje kriterije treba zadovoljiti. U odnosu na stavak 5., isto je definirano člancima 30. i 41. ZSPNFT-a. | Nije prihvaćen | Zakon o sprječavanju pranja novca i financiranja terorizma radi jasnu distinkciju između prepuštanja mjera dubinske analize trećoj osobi i prepuštanja mjera dubinske analize vanjskom suradniku/zastupniku te njihovih obveza prema obvezniku. Radi boljeg razumijevanja predmetne materije bitno je pojasniti sljedeće: „vanjski pružatelj usluga“ iz EBA/GL/2022/15 Smjernica nije vanjski pružatelj usluga softvera niti treća osoba iz Zakona. Radi se o vanjskom suradniku i zastupniku“ iz Zakona koji u ime obveznika obavlja mjere dubinske analize. |
| 93 | Raiffeisenbank Austria d.d. | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 12. | U stavku 4. točka 2. potrebno je definirati učestalost kod kontinuiranih ugovora o eksternalizaciji (predlažemo jednokratno prilikom uspostave ugovornog odnosa). | Nije prihvaćen | Nije potrebno u Nacrtu Pravilnika propisati „učestalost“ kod kontinuiranih ugovora o eksternalizaciji budući se radi o konkretnom ugovornom odnosu između obveznika i vanjskog suradnika i zastupnika te će stranke takvog ugovornog odnosa samostalno definirati učestalost procjena iz stavka 2. točke 2. ovog članka. |
| 94 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 13. | st. (4) Kakav je to višenamjenski uređaj? Što se smatra sigurnom i pouzdanom okolinom – misli li se na komunikaciju zaštićenu tokenom koja je osigurana kod korištenja digitalnih usluga? | Primljeno na znanje | Višenamjenski uređaj stranke je uređaj koji stranka može koristiti za pokretanje postupka utvrđivanja i provjere identiteta na daljinu, za pristup internetskom i mobilnom bankarstvu, provođenje autentifikacije i autorizacije transakcija, ali isto tako i za telefoniranje, pristup društvenim mrežama, pristup web stranicama na internetu, pristup elektroničkoj pošti, itd. Kada se govori o sigurnoj i pouzdanoj okolini na dijelu sustava stranke (primjerice mobilni uređaj) tada se misli na okolinu koja nije „jailbroken“ ili „rooted“ te kod koje je osigurana sigurna obrada osjetljivih podataka. S druge strane, na serverskoj strani sustava potrebno je koristiti odvojeni sustav koji ima zadovoljavajuću razinu kontrole pristupa koja osigurava pristup sustava samo onima kojima je to neophodno te je osigurana cjelovitost zapisivanja svih događaja na sustavu. |
| 95 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 13. | st. (3) Odnosi li se zahtjev za sigurnu pristupnu točku isključivo na rješenja koje podržavaju proces identifikacije na temelju kvalificiranog certifikata stranke? | Primljeno na znanje | U slučaju kada je kreirao pristupnu točku za provođenje postupka utvrđivanja i provjere identiteta na daljinu, obveznik je dužan osigurati odgovarajući kvalificirani certifikat kojim se potvrđuje adresa ove pristupne točke te na taj način daje sigurnost stranci da nije pristupila lažnoj stranici. |
| 96 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 13. | Naslov - ponavljanje komentara o ovlastima ministra financija u skladu sa čl. 52 st. 6 ZSPNFT - nisu li ovo rizici koji nadilaze tu ovlast? | Nije prihvaćen | Molimo pogledati odgovor na komentare pod rednim brojem 2. i 31. Dakle, nakon provedenog savjetovanja sa zainteresiranom javnošću stručni nositelj izrade propisa je doradio uvodni dio Nacrta Pravilnika, koji uključuje preambulu, naziv te obuhvat sadržaja predmetnog propisa. Pravna osnova za donošenje Nacrta Pravilnika sadržana je u odredbi članka 52. stavka 6. a u vezi s člankom 15. stavkom 1. točkom 1. Zakona o sprječavaju pranja novca i financiranja terorizma. Obzirom na specifičnost područja koje se ovim Nacrtom Pravilnika regulira, potrebno je detaljno propisati ne samo tehničke uvjete za provođenje postupka ili mjere koje obveznik mora provoditi, već i politike, kontrole i postupke koje je obveznik dužan donijeti za postupak utvrđivanja i provjere identiteta stranke na daljinu. |
| 97 | HRVATSKA UDRUGA BANAKA | PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU, Članak 14. | Navedenim je Pravilnikom regulirano: -čl.4 -odvojen prostor s kontrolom pristupa -čl. 5 -privola za provođenje postupka video identifikacije - čl. 7- snimanje razgovora i pohrana - čl. 8 -izrada i pohrana snimki sadržaja zaslona (lice osobe te prednja i stražnja strana osobnog dokumenta). Također, postupak provođenja video identifikacije reguliran je Pravilnikom o pružanju i korištenju usluga povjerenja te je navedeni Pravilnik također potrebno uskladiti s predloženim izmjenama. | Nije prihvaćen | Prijedlog nije prihvaćen iz razloga što je predloženi Nacrt Pravilnika tehnološki neutralan te nije potrebno propisivati primjerice uvjete u pogledu prostora u kojem se obavlja videoelektronička identifikacija, prethodnu privolu osobe koja pristupa postupku i sl. |