Na temelju članka 52. stavka 6. Zakona o sprječavanju pranja novca i financiranja terorizma („Narodne novine“, br. 108/17., 39/19. i 151/22.) ministar financija donosi
PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU
Predmet Pravilnika
Članak 1.
Ovim Pravilnikom propisuju se:
uvjeti za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu
sadržaj politika, kontrola i postupaka koje je dužan donijeti obveznik
procjena rješenja za utvrđivanje i provjeru identiteta stranke na daljinu
utvrđivanje i provjera identiteta fizičke osobe
utvrđivanje i provjera identiteta pravne osobe
uvjeti pod kojima obveznik može prepustiti postupak utvrđivanja i provjere identiteta stranke na daljinu trećoj osobi, vanjskom suradniku ili zastupniku obveznika.
Značenje pojedinih pojmova
Članak 2.
(1) Pojedini pojmovi u ovome Pravilniku imaju sljedeće značenje:
1) automatizirani postupak jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji se provodi bez prisutnosti ili interakcije sa zaposlenikom obveznika ili treće osobe
2) biometrijski podatci jesu osobni podatci koji se odnose na fizičke, fiziološke i bihevioralne karakteristike stranke koje se pribavljaju i obrađuju tehničkim sredstvima, a koji omogućavaju ili potvrđuju jedinstvenu identifikaciju stranke
3) država članica jest država članica Europske unije ili država potpisnica Sporazuma o osnivanju Europskoga gospodarskog prostora
4) osobni identifikacijski podatak jest skup podataka koji omogućavaju utvrđivanje identiteta stranke
5) obveznik jest obveznik iz članka 9. Zakona o sprječavanju pranja novca i financiranja terorizma (dalje u tekstu: Zakon)
6) poslovni odnos na daljinu jest poslovni odnos iz članka 4. točke 31. Zakona uspostavljen primjenom postupka utvrđivanja i provjere identiteta stranke na daljinu
7) reprodukcija službenog osobnog dokumenta jest prikaz fotografije ili videozapisa izvornog službenog osobnog dokumenta prikazana na strani obveznika na temelju koje se utvrđuje autentičnost službenog osobnog dokumenta
8) Smjernica EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima jest Smjernica Europskog nadzornog tijela za bankarstvo o upravljanju rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima, EBA/GL/2019/04 od 28. studenoga 2019.
9) video konferencija jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji provodi zaposlenik obveznika ili treća osoba u stvarnom vremenu.
(2) Ostali pojmovi korišteni u ovome Pravilniku imaju isto značenje kao u Zakonu.
Politike, kontrole i postupci
Članak 3.
(1) Obveznik je dužan donijeti politike, kontrole i postupke za postupak utvrđivanja i provjere identiteta stranke na daljinu.
(2) Politike, kontrole i postupci moraju minimalno sadržavati:
opis rješenja kojim se utvrđuje i provjerava identitet stranke na daljinu koji sadržava opis značajki i funkcionalnosti rješenja
uvjete pod kojima obveznik u skladu s odredbama članka 39. Zakona može prepustiti postupak utvrđivanja i provjere identiteta stranke na daljinu trećoj osobi, vanjskom suradniku ili zastupniku obveznika
analizu rizika od pranja novca i financiranja terorizma u skladu s odredbama članka 12. Zakona koja sadržava opis kategorije stranaka, države ili geografskog područja, proizvoda, usluga ili transakcija i kanala dostave, a koji su prihvatljivi za uvođenje postupka utvrđivanja i provjere identiteta stranke na daljinu
opis koraka postupka koji su automatizirani te opis koraka koji uključuje interakciju sa zaposlenikom obveznika ili treće osobe (video konferencija)
opis kontrola kojima se osigurava da se prva transakcija provede nakon utvrđivanja i provjere identiteta stranke na daljinu
opis edukacija koje se provode s ciljem podizanja razine svijesti i znanja zaposlenika obveznika o provođenju postupka utvrđivanja i provjere identiteta stranke na daljinu povezanih s rizicima te politikama, postupcima i kontrolama usmjerenima na umanjenje rizika
način čuvanja podataka koji uključuje, ali nije ograničen na slike, videozapise i dokumente prikupljene u postupku utvrđivanja i provjere identiteta stranke na daljinu
upravljanje rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima.
(3) Obveznik je dužan politike, kontrole i postupke iz stavka 1. ovoga članka redovito pratiti i preispitivati njihovu djelotvornost, prema potrebi ih mijenjati i dopunjavati, te nadzirati njihovu pravilnu provedbu.
Procjena rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu
Članak 4.
(1) Prije uvođenja i inicijalne upotrebe rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu i nakon značajnijih promjena, obveznik je dužan u skladu s procjenom rizika periodično provesti procjenu i testiranje rješenja, te dokumentirati rezultate testiranja.
(2) Pored sadržaja iz članka 3. stavka 2. ovoga Pravilnika, politike, kontrole i postupci moraju sadržavati zahtjeve u pogledu procjene rješenja koji se odnose na opseg, korake i čuvanje zapisa, a koji moraju obuhvaćati:
procjenu primjerenosti rješenja u pogledu potpunosti i točnosti podataka i dokumenata koji se prikupljaju kao i pouzdanosti i neovisnosti izvora informacija
procjenu utjecaja rješenja na rizike na razini cjelokupnog poslovanja, uključujući rizik pranja novca i financiranja terorizma te poslovne, reputacijske i pravne rizike
mjere ublažavanja i korektivne mjere za svaki rizik utvrđen u točki 2. ovoga stavka
postupak testiranja radi procjene rizika od prijevare, uključujući rizike od prijevare lažnim predstavljanjem, rizik informacijske i komunikacijske tehnologije, te sigurnosne rizike i
sveobuhvatno testiranje funkcioniranja rješenja usmjerenog na stranku, proizvod i uslugu.
(3) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti dokaze o procjeni koju je proveo prije provedbe rješenja, rezultat provedene procjene i dokaz da je rješenje prikladno u odnosu na rizik od pranja novca i financiranja terorizma koji je povezan sa strankom, državom ili geografskim područjem, proizvodom, uslugom ili transakcijom i kanalom dostave.
(4) Obveznik može početi koristiti rješenje kada se uvjeri da se rješenje može uključiti u sustav unutarnjih kontrola.
(5) U slučaju kada obveznik koristi rješenje elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev „značajne” ili „visoke” razine sigurnosti u skladu s člankom 8. navedene Uredbe, te kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlje III. odjeljka 3. i članka 24. stavka 1. podstavka 2. točke (b) Uredbe (EU) br. 910/2014, nije dužan primijeniti mjere iz stavka 2. točaka 1., 4. i 5. ovoga članka.
Stalno praćenje rješenja
Članak 5.
(1) Obveznik je dužan stalno pratiti rješenje kako bi se uvjerio da je funkcionalnost rješenja u skladu s njegovim očekivanjem.
(2) Politike, kontrole i postupke iz članka 3. ovoga Pravilnika obveznik je dužan mijenjati i/ili dopunjavati:
postupcima koje poduzima kako bi osigurao kvalitetu, cjelovitost, točnost i primjerenost podataka prikupljenih tijekom postupka utvrđivanja i provjere identiteta stranke na daljinu, a koji su proporcionalni riziku pranja novca i financiranja terorizma
odlukom o opsegu i učestalosti praćenja rješenja
okolnostima koje pokreću trenutnu kontrolu rješenja, a koje uključuju:
promjene u izloženosti rizika od pranja novca i financiranja terorizma
nedostatke u funkcionalnosti rješenja otkrivenih tijekom stalnoga praćenja, revizije ili nadzora
porast pokušaja prijevara ili
promjene zakonodavnog ili regulatornog okvira.
(3) Obveznik je dužan u politikama, kontrolama i postupcima propisati mjere otklanjanja utvrđenih rizika i pogrešaka koje utječu na učinkovitost i djelotvornost rješenja.
(4) Mjere iz stavka 3. ovoga članka moraju uključiti analizu poslovnih odnosa te u skladu s utvrđenom kategorijom rizika dati prednost poslovnom odnosu koji nosi potencijalno viši rizik od pranja novca i financiranja terorizma.
(5) Uzimajući u obzir rezultate analize poslovnih odnosa iz stavka 4. ovoga članka, obveznik je dužan:
provesti dodatne mjere dubinske analize propisane člankom 44. Zakona i podzakonskim aktom nadležnog nadzornog tijela
odbiti obavljanje transakcije u skladu s člankom 19. Zakona
raskinuti poslovni odnosu u skladu s člankom 19. Zakona
obavijestiti Ured za sprječavanje pranja novca o sumnjivim transakcijama, sredstvima i osobama u skladu s člankom 56. Zakona ili
kategorizirati poslovni odnos u skladu s utvrđenom razinom rizika od pranja novca i financiranja terorizma.
(6) Obveznik je dužan uspostaviti i primijeniti učinkoviti način praćenja primjerenosti i pouzdanosti rješenja koji uključuje:
ispitivanje osiguranja kvalitete rješenja
automatizirana upozorenja i obavijesti
redovita automatizirana izvješća o kvaliteti
ispitivanje uzorka ili
ručni pregled rješenja.
(7) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti dokaz o provedenim kontrolama i poduzetim mjerama radi otklanjanja nedostataka uočenih tijekom provedbe rješenja.
Prikupljanje podataka i informacija potrebnih za utvrđivanje i provjeru identiteta stranke
Članak 6.
(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta stranke, vrstu dokumenta te način provjere prikupljenih podataka i informacija.
(2) Obveznik je dužan osigurati da:
su podatci i informacije pribavljene korištenjem rješenja ažurni i točni
je fotografija, videozapisi, zvuk i podatci snimljeni u čitljivom formatu i visoke kvalitete te da je osoba čiji se identitet utvrđuje i provjerava nedvojbeno prepoznatljiv
se postupak utvrđivanja i provjere identiteta stranke na daljinu prekine u slučaju tehničkih nedostataka ili prekida veze.
(3) Podatci, informacije i dokumentacija prikupljena tijekom postupka utvrđivanja i provjere identiteta na daljinu čuvaju se u skladu s odredbama članka 79. Zakona.
(4) Podatci, informacije i dokumentacija iz stavka 3. ovoga članka moraju sadržavati vremenski žig, sliku, videozapis i zvuk u čitljivom formatu za potrebe nadzora nadležnog nadzornog tijela iz članka 81. Zakona.
Utvrđivanje i provjera identiteta fizičke osobe
Članak 7.
(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta na daljinu u skladu sa Zakonom i podzakonskim aktima prema vrsti podataka i informacija koje:
ručno unosi stranka
se automatski preuzimaju iz dostavljene dokumentacije i
koje se prikupljaju korištenjem drugih unutarnjih ili vanjskih izvora.
(2) Obveznik je dužan uspostaviti odgovarajuće kontrolne mehanizme kojima se osigurava pouzdanost podataka i informacija automatski preuzetih iz dostavljene dokumentacije, te osigurati mjere za ublažavanje rizika od lažnog predstavljanja koje može uključivati i prikrivanje podataka o stvarnoj lokaciji stranke.
Utvrđivanje i provjera identiteta pravne osobe
Članak 8.
(1) Obveznik je dužan u politikama, kontrolama i postupcima iz članka 3. ovoga Pravilnika propisati kategorije pravnih osoba, uzimajući u obzir rizik od pranja novca i financiranja terorizma povezan sa svakom od kategorija pravnih osoba.
(2) Rješenje za utvrđivanje i provjeru identiteta pravne osobe na daljinu mora omogućiti prikupljanje podataka, informacija i dokumentacije za:
identifikaciju i provjeru identiteta pravne osobe
identifikaciju i provjeru je li fizička osoba koja djeluje u ime pravne osobe zakonski zastupnik ili punomoćnik pravne osobe i
utvrđivanje i provjeru identiteta stvarnog vlasnika pravne osobe.
(3) Utvrđivanje i provjera identiteta fizičke osobe koja djeluje u ime pravne osobe kao zakonski zastupnik ili punomoćnik pravne osobe, utvrđuje se i provjerava na način propisan člankom 7. ovoga Pravilnika.
Prikupljanje podatka o namjeni i predviđenoj prirodi poslovnog odnosa
Članak 9.
Obveznik je dužan prije završetka postupka utvrđivanja i provjere identiteta stranke na daljinu prikupiti podatak o namjeni i predviđenoj prirodi poslovnog odnosa.
Autentičnost i cjelovitost dokumenta
Članak 10.
(1) Ako obveznik prilikom utvrđivanja i provjere identiteta stranke na daljinu prihvaća reprodukciju službenog osobnog dokumenta, dužan je u cilju utvrđivanja autentičnosti službenog osobnog dokumenta provjeriti:
sadržava li reprodukcija službenog osobnog dokumenta sigurnosne značajke ugrađene u službeni osobni dokument i jesu li specifikacije reprodukcije valjane i prihvatljive, posebice vrsta, veličina znakova i struktura službenog osobnog dokumenta, uspoređujući ih sa službenim bazama podataka, kao što je Javni internetski registar vjerodostojnih putnih i osobnih isprava Vijeća Europske unije (PRADO)
jesu li osobni podatci promijenjeni ili na drugi način neovlašteno mijenjani te je li fotografija stranke koja je ugrađena u službeni osobni dokument zamijenjena
je li reprodukcija službenog osobnog dokumenta primjerene kvalitete kako bi se uvjerio da su podatci sadržani u reprodukciji službenog osobnog dokumenta nedvosmisleni
je li dostavljena reprodukcija prikazana na zaslonu na temelju fotografije ili skeniranog službenog osobnog dokumenta.
(2) Obveznik koji koristi automatsko čitanje podataka i informacija iz službenog osobnog dokumenta kao što su algoritmi za optičko prepoznavanje znakova ili strojno čitljivog dijela, dužan je poduzeti potrebne mjere kojima osigurava prikupljanje podataka i informacija na točan način.
(3) U slučaju kada stranka čiji se identitet utvrđuje i provjerava koristi elektronički nosač podataka službenog osobnog dokumenta za utvrđivanje identiteta, obveznik može koristiti dobivene podatke i informacije radi provjere njihove autentičnosti.
Provjera podudaranja identiteta stranke
Članak 11.
(1) Rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu mora omogućiti provjeru:
podudarnosti fizičke osobe s fotografijom osobe na službenom osobnom dokumentu
podudarnosti između podataka pravne osobe i podataka u sudskom ili drugom javnom registru
je li fizička osoba koja djeluje ili tvrdi da djeluje u ime pravne osobe za to i ovlaštena.
(2) Ako rješenje uključuje upotrebu biometrijskih podataka za provjeru identiteta, obveznik je dužan osigurati da biometrijski podatci budu dovoljno jedinstveni kako bi se nedvosmisleno povezali s fizičkom osobom čiji se identitet utvrđuje.
(3) Rješenje iz stavka 1. ovoga članka mora koristiti snažne i pouzdane algoritme za provjeru podudarnosti između biometrijskih podataka sadržanih u osobnom službenom dokumentu i stranke čiji se identitet utvrđuje i provjerava.
(4) Kada dostavljena dokumentacija ili okolnosti dovode do dvosmislenosti ili neodređenosti, obveznik je dužan prekinuti postupak utvrđivanja i provjere identiteta na daljinu te isti postupak ponovno pokrenuti ili se preusmjeriti na fizičku provjeru.
(5) Kada obveznik koristi automatizirani postupak, dužan je osigurati:
da su fotografije ili videozapisi snimljeni u odgovarajućim uvjetima osvjetljenja i s potrebnom jasnoćom kako bi se omogućila pravilna provjera identiteta stranke
da su fotografije ili videozapisi snimljeni u trenutku kada se provodi postupak utvrđivanja i provjere identiteta
provjeru živosti stranke kako bi se utvrdilo da se radi o stvarnoj fizičkoj osobi koja trenutno sudjeluje u automatiziranom postupku
pouzdane algoritme za provjeru podudara li se fotografija ili videozapis s fotografijom preuzetom iz službenog osobnog dokumenata.
(6) Obveznik koji koristi video konferenciju za utvrđivanje i provjeru identiteta stranke na daljinu, dužan je:
osigurati kvalitetu slike i zvuka koja je dovoljna da omogući pravilnu provjeru identiteta stranke korištenjem pouzdanih tehnoloških sustava
osigurati da zaposlenik koji sudjeluje u postupku posjeduje znanja u području sprječavanja pranja novca i financiranja terorizma, da je osposobljen za procjenu i sprječavanje namjerne uporabe tehnika obmane, te za otkrivanje i reagiranje u slučaju njihovih pojava
donijeti uputu za intervju kojom se određuju koraci postupka utvrđivanja i provjere identiteta provjere na daljinu, kao i radnje koje se zahtijevaju od zaposlenika obveznika
donijeti smjernice za promatranje i utvrđivanje psiholoških čimbenika ili drugih značajki koje mogu karakterizirati sumnjivo ponašanje stranke tijekom postupka video konferencije
osigurati nasumičnost u redoslijedu radnji koje stranka mora obaviti kako bi se otežala priprema za provođenje napada koji uključuje lažno predstavljanje
ako je primjenjivo osigurati nasumičnu dodjelu zaposlenika odgovornog za postupak provjere na daljinu kako bi se izbjeglo tajno dogovaranje između stranke i zaposlenika.
(7) U skladu s utvrđenim rizikom od pranja novca i financiranja terorizma s poslovnim odnosom, obveznik je dužan provesti jednu ili više sljedećih mjera:
prvo plaćanje provodi se na računu koji glasi na ime stranke kod obveznika u državi članici ili trećoj državi koja provodi mjere, radnje i postupke sa svrhom sprječavanja pranja novca i financiranja terorizma, jednake ili jednakovrijedne onima propisanim u Direktivi (EU) 2015/849 i čija se usklađenost nadzire od strane nadležnog nadzornog tijela na način jednak ili jednakovrijedan onima propisanim u Direktivi (EU) 2015/849
slanje nasumično generiranog koda stranci radi potvrde prisutnosti tijekom postupka koja je jednokratna i vremenski ograničena
uzimanje biometrijskih podataka radi usporedbe s podatcima prikupljenima iz drugih neovisnih i pouzdanih izvora
telefonsko kontaktiranje stranke ili
slanje pošte (elektronička i zemaljska pošta) stranci.
(8) Obveznik nije dužan primijeniti mjere propisane u stavcima 1., 2., 3., 4., 5., i 6. ovoga članka kada koristi:
sustav elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014 koji ispunjava zahtjeve „značajne” ili „visoke” razine sigurnosti u skladu s člankom 8. Uredbe (EU) br. 910/2014 ili
kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, posebno poglavlja III. odjeljka 3. i članka 24. stavka 1. podstavka 2. točke (b) Uredbe (EU) br. 910/2014.
Oslanjanje na treću osobu i vanjske suradnike
Članak 12.
(1) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti trećoj osobi pod uvjetima propisanima u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.
(2) Obveznik je dužan:
poduzeti potrebne korake kako bi se uvjerio da su postupci koje provodi treća osoba prilikom obavljanja mjera dubinske analize u skladu s ovim Pravilnikom i
osigurati nastavak poslovnog odnosa sa strankom u svrhu zaštite od događaja koji bi mogao otkriti nedostatke u postupku utvrđivanja i provjere identiteta stranke na daljinu kojeg je provela treća osoba.
(3) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti vanjskom suradniku i zastupniku obveznika (eksternalizacija ili zastupnički odnos) pod uvjetima propisanim u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.
(4) Obveznik je dužan prije i tijekom poslovnog odnosa:
osigurati da vanjski suradnik i zastupnik obveznika učinkovito provodi i pridržava se politika, kontrola i postupaka obveznika u skladu s ugovornim odnosom
provesti procjenu educiranosti zaposlenika, tehnološku sposobnost i upravljanje podatcima kod vanjskog pružatelja usluga, zastupnika obveznika kako bi osigurao da su tehnički opremljeni i sposobni provesti postupak uvođenja i provjere identiteta stranke na daljinu i
osigurati da vanjski suradnik i zastupnik obveznika izvještava obveznika o svim predloženim promjenama u postupku utvrđivanja i provjere identiteta stranke na daljinu ili svim promjenama rješenja.
(5) Obveznik je dužan provjeriti čuva li vanjski suradnik i zastupnik obveznika samo potrebne podatke, informacije i dokumentaciju o stranci u skladu sa Zakonom, te je li pristup podatcima, informacijama i dokumentaciji ograničen uz provođenje sigurnosnih mjera zaštite i čuvanja podataka.
Upravljanje rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima
Članak 13.
(1) Obveznik je dužan utvrditi rizike i upravljati rizicima informacijske i komunikacijske tehnologije te sigurnosnim rizicima koji su povezani s provođenjem postupka utvrđivanja i provjere identiteta stranke na daljinu.
(2) Obveznik je dužan koristiti sigurne komunikacijske kanale za interakciju sa strankom tijekom postupka utvrđivanja i provjere identiteta na daljinu korištenjem sigurnih protokola i kriptografskih algoritama u skladu s najboljim praksama i industrijom u svrhu zaštite povjerljivosti, autentičnosti i cjelovitosti razmijenjenih podataka i informacija.
(3) Obveznik je dužan osigurati sigurnu pristupnu točku za pokretanje postupka utvrđivanja i provjere identiteta stranaka na daljinu na temelju kvalificiranog certifikata za elektroničke pečate propisano u članku 3. stavku 30. Uredbe (EU) br. 910/2014 ili za autentifikaciju mrežnih mjesta kako je propisano u članku 3. stavku 39. Uredbe (EU) br. 910/2014 te obavijestiti stranku o primjenjivim sigurnosnim mjerama koje se poduzimaju za osiguranje sigurnog korištenja sustava.
(4) Kada postupak utvrđivanja i provjere identiteta stranke na daljinu uključuje korištenje višenamjenskog uređaja stranke, tada obveznik treba poduzeti dodatne mjere, ako je to moguće, a kako bi se osiguralo provođenje postupka unutar sigurne i pouzdane okoline te osigurala sigurnost rješenja i prikupljenih podataka u skladu s procjenom sigurnosnog rizika propisanog Smjernicama EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima.
Prestanak važenja propisa
Članak 14.
Stupanjem na snagu ovoga Pravilnika prestaje važiti Pravilnik o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije („Narodne novine“ broj 1/19).
Stupanje na snagu Pravilnika
Članak 15.
Ovaj Pravilnik stupa na snagu prvoga dana od dana objave u „Narodnim novinama“.
Na temelju članka 52. stavka 6. Zakona o sprječavanju pranja novca i financiranja terorizma („Narodne novine“, br. 108/17., 39/19. i 151/22.) ministar financija donosi
PRAVILNIK O POSTUPKU UTVRĐIVANJA I PROVJERE IDENTITETA STRANKE NA DALJINU
Predmet Pravilnika
Komentirate u ime: Ministarstvo financija
Članak 1.
Ovim Pravilnikom propisuju se:
Značenje pojedinih pojmova
Komentirate u ime: Ministarstvo financija
Članak 2.
(1) Pojedini pojmovi u ovome Pravilniku imaju sljedeće značenje:
1) automatizirani postupak jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji se provodi bez prisutnosti ili interakcije sa zaposlenikom obveznika ili treće osobe
2) biometrijski podatci jesu osobni podatci koji se odnose na fizičke, fiziološke i bihevioralne karakteristike stranke koje se pribavljaju i obrađuju tehničkim sredstvima, a koji omogućavaju ili potvrđuju jedinstvenu identifikaciju stranke
3) država članica jest država članica Europske unije ili država potpisnica Sporazuma o osnivanju Europskoga gospodarskog prostora
4) osobni identifikacijski podatak jest skup podataka koji omogućavaju utvrđivanje identiteta stranke
5) obveznik jest obveznik iz članka 9. Zakona o sprječavanju pranja novca i financiranja terorizma (dalje u tekstu: Zakon)
6) poslovni odnos na daljinu jest poslovni odnos iz članka 4. točke 31. Zakona uspostavljen primjenom postupka utvrđivanja i provjere identiteta stranke na daljinu
7) reprodukcija službenog osobnog dokumenta jest prikaz fotografije ili videozapisa izvornog službenog osobnog dokumenta prikazana na strani obveznika na temelju koje se utvrđuje autentičnost službenog osobnog dokumenta
8) Smjernica EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima jest Smjernica Europskog nadzornog tijela za bankarstvo o upravljanju rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima, EBA/GL/2019/04 od 28. studenoga 2019.
9) video konferencija jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji provodi zaposlenik obveznika ili treća osoba u stvarnom vremenu.
(2) Ostali pojmovi korišteni u ovome Pravilniku imaju isto značenje kao u Zakonu.
Politike, kontrole i postupci
Komentirate u ime: Ministarstvo financija
Članak 3.
(1) Obveznik je dužan donijeti politike, kontrole i postupke za postupak utvrđivanja i provjere identiteta stranke na daljinu.
(2) Politike, kontrole i postupci moraju minimalno sadržavati:
(3) Obveznik je dužan politike, kontrole i postupke iz stavka 1. ovoga članka redovito pratiti i preispitivati njihovu djelotvornost, prema potrebi ih mijenjati i dopunjavati, te nadzirati njihovu pravilnu provedbu.
Procjena rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu
Komentirate u ime: Ministarstvo financija
Članak 4.
(1) Prije uvođenja i inicijalne upotrebe rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu i nakon značajnijih promjena, obveznik je dužan u skladu s procjenom rizika periodično provesti procjenu i testiranje rješenja, te dokumentirati rezultate testiranja.
(2) Pored sadržaja iz članka 3. stavka 2. ovoga Pravilnika, politike, kontrole i postupci moraju sadržavati zahtjeve u pogledu procjene rješenja koji se odnose na opseg, korake i čuvanje zapisa, a koji moraju obuhvaćati:
(3) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti dokaze o procjeni koju je proveo prije provedbe rješenja, rezultat provedene procjene i dokaz da je rješenje prikladno u odnosu na rizik od pranja novca i financiranja terorizma koji je povezan sa strankom, državom ili geografskim područjem, proizvodom, uslugom ili transakcijom i kanalom dostave.
(4) Obveznik može početi koristiti rješenje kada se uvjeri da se rješenje može uključiti u sustav unutarnjih kontrola.
(5) U slučaju kada obveznik koristi rješenje elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev „značajne” ili „visoke” razine sigurnosti u skladu s člankom 8. navedene Uredbe, te kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlje III. odjeljka 3. i članka 24. stavka 1. podstavka 2. točke (b) Uredbe (EU) br. 910/2014, nije dužan primijeniti mjere iz stavka 2. točaka 1., 4. i 5. ovoga članka.
Stalno praćenje rješenja
Komentirate u ime: Ministarstvo financija
Članak 5.
(1) Obveznik je dužan stalno pratiti rješenje kako bi se uvjerio da je funkcionalnost rješenja u skladu s njegovim očekivanjem.
(2) Politike, kontrole i postupke iz članka 3. ovoga Pravilnika obveznik je dužan mijenjati i/ili dopunjavati:
(3) Obveznik je dužan u politikama, kontrolama i postupcima propisati mjere otklanjanja utvrđenih rizika i pogrešaka koje utječu na učinkovitost i djelotvornost rješenja.
(4) Mjere iz stavka 3. ovoga članka moraju uključiti analizu poslovnih odnosa te u skladu s utvrđenom kategorijom rizika dati prednost poslovnom odnosu koji nosi potencijalno viši rizik od pranja novca i financiranja terorizma.
(5) Uzimajući u obzir rezultate analize poslovnih odnosa iz stavka 4. ovoga članka, obveznik je dužan:
(6) Obveznik je dužan uspostaviti i primijeniti učinkoviti način praćenja primjerenosti i pouzdanosti rješenja koji uključuje:
(7) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti dokaz o provedenim kontrolama i poduzetim mjerama radi otklanjanja nedostataka uočenih tijekom provedbe rješenja.
Prikupljanje podataka i informacija potrebnih za utvrđivanje i provjeru identiteta stranke
Komentirate u ime: Ministarstvo financija
Članak 6.
(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta stranke, vrstu dokumenta te način provjere prikupljenih podataka i informacija.
(2) Obveznik je dužan osigurati da:
(3) Podatci, informacije i dokumentacija prikupljena tijekom postupka utvrđivanja i provjere identiteta na daljinu čuvaju se u skladu s odredbama članka 79. Zakona.
(4) Podatci, informacije i dokumentacija iz stavka 3. ovoga članka moraju sadržavati vremenski žig, sliku, videozapis i zvuk u čitljivom formatu za potrebe nadzora nadležnog nadzornog tijela iz članka 81. Zakona.
Utvrđivanje i provjera identiteta fizičke osobe
Komentirate u ime: Ministarstvo financija
Članak 7.
(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta na daljinu u skladu sa Zakonom i podzakonskim aktima prema vrsti podataka i informacija koje:
(2) Obveznik je dužan uspostaviti odgovarajuće kontrolne mehanizme kojima se osigurava pouzdanost podataka i informacija automatski preuzetih iz dostavljene dokumentacije, te osigurati mjere za ublažavanje rizika od lažnog predstavljanja koje može uključivati i prikrivanje podataka o stvarnoj lokaciji stranke.
Utvrđivanje i provjera identiteta pravne osobe
Komentirate u ime: Ministarstvo financija
Članak 8.
(1) Obveznik je dužan u politikama, kontrolama i postupcima iz članka 3. ovoga Pravilnika propisati kategorije pravnih osoba, uzimajući u obzir rizik od pranja novca i financiranja terorizma povezan sa svakom od kategorija pravnih osoba.
(2) Rješenje za utvrđivanje i provjeru identiteta pravne osobe na daljinu mora omogućiti prikupljanje podataka, informacija i dokumentacije za:
(3) Utvrđivanje i provjera identiteta fizičke osobe koja djeluje u ime pravne osobe kao zakonski zastupnik ili punomoćnik pravne osobe, utvrđuje se i provjerava na način propisan člankom 7. ovoga Pravilnika.
Prikupljanje podatka o namjeni i predviđenoj prirodi poslovnog odnosa
Komentirate u ime: Ministarstvo financija
Članak 9.
Obveznik je dužan prije završetka postupka utvrđivanja i provjere identiteta stranke na daljinu prikupiti podatak o namjeni i predviđenoj prirodi poslovnog odnosa.
Autentičnost i cjelovitost dokumenta
Komentirate u ime: Ministarstvo financija
Članak 10.
(1) Ako obveznik prilikom utvrđivanja i provjere identiteta stranke na daljinu prihvaća reprodukciju službenog osobnog dokumenta, dužan je u cilju utvrđivanja autentičnosti službenog osobnog dokumenta provjeriti:
(2) Obveznik koji koristi automatsko čitanje podataka i informacija iz službenog osobnog dokumenta kao što su algoritmi za optičko prepoznavanje znakova ili strojno čitljivog dijela, dužan je poduzeti potrebne mjere kojima osigurava prikupljanje podataka i informacija na točan način.
(3) U slučaju kada stranka čiji se identitet utvrđuje i provjerava koristi elektronički nosač podataka službenog osobnog dokumenta za utvrđivanje identiteta, obveznik može koristiti dobivene podatke i informacije radi provjere njihove autentičnosti.
Provjera podudaranja identiteta stranke
Komentirate u ime: Ministarstvo financija
Članak 11.
(1) Rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu mora omogućiti provjeru:
(2) Ako rješenje uključuje upotrebu biometrijskih podataka za provjeru identiteta, obveznik je dužan osigurati da biometrijski podatci budu dovoljno jedinstveni kako bi se nedvosmisleno povezali s fizičkom osobom čiji se identitet utvrđuje.
(3) Rješenje iz stavka 1. ovoga članka mora koristiti snažne i pouzdane algoritme za provjeru podudarnosti između biometrijskih podataka sadržanih u osobnom službenom dokumentu i stranke čiji se identitet utvrđuje i provjerava.
(4) Kada dostavljena dokumentacija ili okolnosti dovode do dvosmislenosti ili neodređenosti, obveznik je dužan prekinuti postupak utvrđivanja i provjere identiteta na daljinu te isti postupak ponovno pokrenuti ili se preusmjeriti na fizičku provjeru.
(5) Kada obveznik koristi automatizirani postupak, dužan je osigurati:
(6) Obveznik koji koristi video konferenciju za utvrđivanje i provjeru identiteta stranke na daljinu, dužan je:
(7) U skladu s utvrđenim rizikom od pranja novca i financiranja terorizma s poslovnim odnosom, obveznik je dužan provesti jednu ili više sljedećih mjera:
(8) Obveznik nije dužan primijeniti mjere propisane u stavcima 1., 2., 3., 4., 5., i 6. ovoga članka kada koristi:
Oslanjanje na treću osobu i vanjske suradnike
Komentirate u ime: Ministarstvo financija
Članak 12.
(1) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti trećoj osobi pod uvjetima propisanima u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.
(2) Obveznik je dužan:
(3) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti vanjskom suradniku i zastupniku obveznika (eksternalizacija ili zastupnički odnos) pod uvjetima propisanim u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.
(4) Obveznik je dužan prije i tijekom poslovnog odnosa:
(5) Obveznik je dužan provjeriti čuva li vanjski suradnik i zastupnik obveznika samo potrebne podatke, informacije i dokumentaciju o stranci u skladu sa Zakonom, te je li pristup podatcima, informacijama i dokumentaciji ograničen uz provođenje sigurnosnih mjera zaštite i čuvanja podataka.
Upravljanje rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima
Komentirate u ime: Ministarstvo financija
Članak 13.
(1) Obveznik je dužan utvrditi rizike i upravljati rizicima informacijske i komunikacijske tehnologije te sigurnosnim rizicima koji su povezani s provođenjem postupka utvrđivanja i provjere identiteta stranke na daljinu.
(2) Obveznik je dužan koristiti sigurne komunikacijske kanale za interakciju sa strankom tijekom postupka utvrđivanja i provjere identiteta na daljinu korištenjem sigurnih protokola i kriptografskih algoritama u skladu s najboljim praksama i industrijom u svrhu zaštite povjerljivosti, autentičnosti i cjelovitosti razmijenjenih podataka i informacija.
(3) Obveznik je dužan osigurati sigurnu pristupnu točku za pokretanje postupka utvrđivanja i provjere identiteta stranaka na daljinu na temelju kvalificiranog certifikata za elektroničke pečate propisano u članku 3. stavku 30. Uredbe (EU) br. 910/2014 ili za autentifikaciju mrežnih mjesta kako je propisano u članku 3. stavku 39. Uredbe (EU) br. 910/2014 te obavijestiti stranku o primjenjivim sigurnosnim mjerama koje se poduzimaju za osiguranje sigurnog korištenja sustava.
(4) Kada postupak utvrđivanja i provjere identiteta stranke na daljinu uključuje korištenje višenamjenskog uređaja stranke, tada obveznik treba poduzeti dodatne mjere, ako je to moguće, a kako bi se osiguralo provođenje postupka unutar sigurne i pouzdane okoline te osigurala sigurnost rješenja i prikupljenih podataka u skladu s procjenom sigurnosnog rizika propisanog Smjernicama EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima.
Prestanak važenja propisa
Komentirate u ime: Ministarstvo financija
Članak 14.
Stupanjem na snagu ovoga Pravilnika prestaje važiti Pravilnik o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije („Narodne novine“ broj 1/19).
Stupanje na snagu Pravilnika
Komentirate u ime: Ministarstvo financija
Članak 15.
Ovaj Pravilnik stupa na snagu prvoga dana od dana objave u „Narodnim novinama“.
Komentirate u ime: Ministarstvo financija