33/2017. (X. 26.) NGM rendelet
a nemesfémmel vagy az ezekből készült tárgyakkal kereskedő és az árukereskedő szolgáltatók részére a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény végrehajtásának, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól
A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 77. § (2) bekezdésében, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény 17. § (2) bekezdésében kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköreiről szóló 152/2014. (VI. 6.) Korm. rendelet 90. § 1. és 14. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. A belső kockázatértékelés elkészítésének szabályrendszere
1. § (1)[1] A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 1. § (1) bekezdés j), k), p) és q) pontja szerinti tevékenységet végző szolgáltató (a továbbiakban együtt: szolgáltató) a Pmt. 27. §-ában meghatározottaknak megfelelő saját kockázatértékelésében rögzíti, hogy a kockázatértékelést mely ismérvek alapján és milyen dokumentumokra alapozva készítette el.
(2) A szolgáltató a kockázati tényezők beazonosítása során a Pmt.-ben meghatározottakon kívül a következőket veszi figyelembe:
a) az Európai Bizottság nemzetek feletti kockázatértékelése és
b) a kereskedelmi hatóság által folytatott eljárások során keletkezett és a honlapon nyilvánosságra hozott dokumentumok.
(3) A szolgáltató a kockázati tényezők beazonosítása során különösen
a) egy értékelés alá vont állam pénzmosás és a terrorizmus finanszírozása elleni rendszere megfelelőségével és hatékonyságával, korrupcióellenes és adózási rendszerrel kapcsolatos nyilvánosan közzétett értékeléséből,
b) nyilvános forrásból és
c) tudományos intézményektől
származó információkat vehet figyelembe.
(4)[2] A nemesfémmel vagy az ezekből készült tárgyakkal kereskedő (a továbbiakban: nemesfémmel kereskedő) esetében a kockázatértékelés elkészítése a Pmt. 27. § (4) bekezdése alapján mellőzhető, ha a nemesfémmel kereskedő
a) a kereskedelmi hatóság általi nyilvántartásba vétel során vagy a hatóságnak tett bejelentésében nyilatkozik arról, hogy nemesfém tárgyakra vonatkozó kereskedelme során nem fogad el háromszázezer forintot elérő vagy meghaladó értékben készpénzt egy ügyleti megbízás során,
b) nemesfém értékesítésből és felvásárlásból származó előző lezárt éves vagy - a tevékenységét a tárgyévben megkezdő, a kereskedelmi hatóság által nyilvántartásba vett nemesfémmel kereskedő - várható éves árbevétele nem haladja meg az évi tízmillió forintot, és
c) a kereskedelmi hatóság általi nyilvántartásba vétel során vagy a hatóságnak tett bejelentésében nyilatkozik arról, hogy a nemesfém forgalmazás során az előző lezárt évben - vagy a tevékenységét a tárgyévben megkezdő, a kereskedelmi hatóság által nyilvántartásba vett nemesfémmel kereskedő a várható éves forgalmazás során - nem vásárol fel háromszázezer forintot elérő vagy meghaladó értékben nemesfémet vagy ezekből készült tárgyat egy ügyleti megbízás során.
(4a)[3] A (4) bekezdés szerinti mentesség alátámasztására a nyilvántartásban szereplő nemesfémmel kereskedő köteles a felügyeletet ellátó szerv, a kereskedelmi hatóság részére minden év május 31. napjáig az előző lezárt év forgalmáról jelentést tenni.
(4b)[4] A nemesfémmel kereskedő a tevékenysége folytatása során a (4) bekezdés szerinti feltételek bármelyikének megváltozásakor köteles a szabályzatát átdolgozni az új feltételek szerint. A Pmt. 65. §-a szerinti belső szabályzatának (a továbbiakban: belső szabályzat) átdolgozását a szolgáltató köteles haladéktalanul bejelenteni a kereskedelmi hatóságnak.
(5)[5] A belső kockázatértékelés elkészítésére kötelezett szolgáltató minden év január 31. napjáig aktualizálja kockázatértékelését a belső szabályzatában meghatározott vezetője jóváhagyásával, vagy ha nem történt változás a belső kockázatértékelés alapjául szolgáló információkban, ennek tényét jegyzőkönyvben rögzíti. A szolgáltató a (7) bekezdésben felsorolt tényezőkben bekövetkezett változást követően az e rendeletben meghatározott esetekben belső kockázatértékelését soron kívül módosítja.
(6) A kockázatértékelés eredményének felhasználásával készített belső kockázatértékelés során a szolgáltató ügyfeleit dokumentáltan alacsony, átlagos és magas kockázati kategóriába sorolja be a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény alapján elkészítendő belső szabályzat kötelező tartalmi elemeiről szóló 21/2017. (VIII. 3.) NGM rendelet 1. és 2. mellékletének figyelembevételével.
(7)[6] A szolgáltató ügyfeleit a következő tényezők esetén köteles magasabb kockázati kategóriába sorolni:
a) ügyfélkockázati tényezők:
aa) az üzleti kapcsolat vagy ügyleti megbízás szokatlan körülmények között zajlik;
ab) az ügyfél közvetítőt vagy segítőt vesz igénybe az ügylet lebonyolítása során;
ac) a jogi személy tulajdonosi szerkezete összetett és nehezen átlátható;
ad) a kereskedelmi hatóság honlapján közzétett, a joghátrányok kiszabására vonatkozó információk;
ae) a nem természetes személy ügyfél képviseletében eljáró személy hamis, félrevezető információt ad, vagy nincs kellőképpen tisztában az általa képviselt szervezet működési körülményeivel;
b) termékhez, szolgáltatáshoz, ügylethez vagy szolgáltatási csatornához kapcsolódó kockázati tényezők:
ba) az ügylet tárgya az általános forgalmi adóról szóló törvényben meghatározott befektetési arany forgalmazása;
bb) egy ügyfél tekintetében évi százmillió forintot elérő vagy meghaladó készpénzes ügylet bonyolódik;
bc) az ügylet tárgyának készpénzben fizetett része a húszmillió forintot eléri vagy meghaladja;
bd) az ügylet tárgya tízmillió forintot elérő vagy meghaladó értékű felvásárlás;
be) a tevékenysége folytatása során hárommillió forintot elérő vagy meghaladó összegű készpénzfizetést elfogadó árukereskedő (a továbbiakban: árukereskedő) esetében a drágakő, a tízmillió forintot elérő vagy meghaladó értékű légi, vízi és szárazföldi gépjármű, valamint haszongépjármű forgalmazása;
bf) az ügylet tárgya tízmillió forintot elérő vagy meghaladó értékű kulturális javak (műalkotások, régiségek);
bg) olyan ügyletsorozat, melynek tárgya húszmillió forintot elérő vagy meghaladó értékű kulturális javak (műalkotások, régiségek);
c) földrajzi kockázati tényezők:
ca) az ügyfél vezetője, tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország állampolgára, vagy ott lakóhellyel rendelkezik;
cb) az ügyfél valamely stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban bejegyzett gazdasági társaság leányvállalata vagy szervezet magyarországi képviselete.
(8)[7] A szolgáltató ügyfeleit az üzleti kapcsolat létesítésekor a (7) bekezdésben meghatározott tényezők alapján sorolja kockázati szintbe. Amennyiben a Pmt. 3. § 45. pont a) alpontja értelmében üzleti kapcsolat jön létre, a szolgáltató az üzleti kapcsolat fennállása során végzett monitoring tevékenységének eredményeképpen felülvizsgálja, és szükség esetén módosítja a megállapított kockázati szintet.
(9)[8]
2. § (1) A szolgáltató az üzleti kapcsolat létesítésekor végzett kockázatértékelés során dönt az ügyfél-átvilágítás módjáról, illetve az üzleti kapcsolat esetleges megtagadásáról.
(2)[9] Az üzleti kapcsolat létesítésekor alacsony kockázati szint állapítható meg az ügyfél vonatkozásában, ha az egyszerűsített ügyfél-átvilágítás feltételei fennállnak, vagy ha nem merül fel egyetlen, az 1. § (7) bekezdésében felsorolt magasabb kockázatra vonatkozó tényező sem. A szolgáltató magas kockázati szintbe sorolja az ügyfelet, ha a magasabb kockázati szintbe sorolás szempontjai közül a kockázati tényező súlyozása alapján relatív nagyobb kockázati tényező merült fel. A szolgáltató a kockázati tényezők súlyozását a belső szabályzatában határozza meg.
(3) A szolgáltató a magas kockázatra vonatkozó tényező felmerülése esetén az üzleti kapcsolatot a Pmt. 11. § (2) bekezdésében meghatározott megerősített eljárásban kíséri figyelemmel.
(4)[10] A szolgáltató a belső kockázatértékelése alapján a meghatározott kockázatok csökkentésére és kezelésére vonatkozó eljárásrendet a belső szabályzatában határozza meg. A szolgáltató belső szabályzatában rögzíti, hogy mely esetben kér be az ügyféltől a pénzügyi eszköz forrására vonatkozó információt, mikor alkalmaz megerősített eljárást, és milyen időszakonként vizsgálja felül az általa beszerzett ügyfél-átvilágítási adatot.
(5) A szolgáltató a beazonosított kockázat értékelése alapján meghatározza a kockázat kezelése érdekében szükséges intézkedést. A meghatározott intézkedést határidőhöz köti és kijelöli a végrehajtásért felelős személyt.
(6) A szolgáltató a belső kockázatértékelését az 1. § (5) bekezdésében foglaltak szerint soron kívül felülvizsgálja, amennyiben
a) az általa korábban már azonosított kockázat természete megváltozik,
b) új típusú pénzmosási és terrorizmusfinanszírozási kockázat merül fel,
c) minden egyéb esetben, amikor a szolgáltató alapos okkal feltételezi, hogy a kockázatértékelés alapjául szolgáló információ már nem alkalmazható.
2. A belső ellenőrző és információs rendszer működtetése
3. § (1)[11] Az ügyfél-azonosítási kötelezettség végrehajtása érdekében a Pmt. 14. § (4) bekezdése értelmében a háromszázezer forintot elérő vagy meghaladó összegű, valamint a négymillió-ötszázezer forintot elérő vagy meghaladó összegű ügyleti megbízás teljesítésekor rögzített adatok kezelése során úgy kell eljárni, hogy azok a további azonosítás során a nemesfémmel kereskedő ügyfél-átvilágításban közreműködő vezető tisztségviselője, foglalkoztatottja vagy segítő családtagja (a továbbiakban együtt: foglalkoztatott) részére elérhetőek legyenek.
(2)[12] Az ügyfél-azonosítási kötelezettség végrehajtása érdekében a Pmt. 14. § (4) bekezdése értelmében háromszázezer forintot elérő vagy meghaladó összegű, valamint a hárommillió forintot elérő vagy meghaladó összegű készpénzes ügyleti megbízás teljesítésekor rögzített adatok kezelése során úgy kell eljárni, hogy azok a további azonosítás során az árukereskedő ügyfél-átvilágításban közreműködő foglalkoztatottja részére elérhetőek legyenek.
4. § (1) A kockázatértékelés elkészítésére kötelezett szolgáltató az ügyfél és az ügylet tekintetében a pénzmosás és terrorizmus finanszírozása szempontjából a (2)-(3) bekezdés alapján történő, leválogatására alkalmas informatikai rendszert működtet, amely lehet automatikus és manuális. Az évi tízezer tranzakciónál többet lebonyolító szolgáltató az ügyfelekre vonatkozó automatikus szűrőrendszert működtet. A szolgáltató az évi tízezer alatti tranzakció szám esetén manuális szűréssel biztosítja a pénzmosás és a terrorizmus finanszírozása szempontjából az ügyfél és a szokatlan ügylet leválogatását.
(2) A szolgáltató a következő ügyfél-, illetve ügylettípusokra végez szűrést:
a) húszmillió forintot elérő vagy meghaladó összegű készpénzbefizetés az ügyfél részéről,
b) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból kezdeményezett tízmillió forintot elérő vagy meghaladó összegű ügylet, valamint
c) a belső szabályzatban meghatározott ügyfél-, illetve ügylettípusok.
(3) A szolgáltató további szűrési feltételeket határozhat meg a nemzeti kockázatértékelés és a belső kockázatértékelése alapján.
(4) A szolgáltató a szűrés feltételeit folyamatosan felülvizsgálja.
(5) A szűrési feltételek alapján azonosított ügyfél, illetve ügylet pénzmosás és terrorizmus finanszírozása szempontjából történő elemzését és értékelését a szolgáltató a szűrést követő tíz napon belül végzi el.
(6) A szűrési feltételek alapján azonosított ügyfél, illetve ügylet elemzésének és értékelésének folyamatát, annak eredményét, és az ez alapján hozott döntést a szolgáltató dokumentálja.
5. § (1) A belső szabályzatban a szolgáltató kidolgozza a Pmt. 63. § (3) bekezdésében meghatározott rendszer (a továbbiakban: bejelentési rendszer) működtetésének feltételeit.
(2) A bejelentést a szolgáltató 8 napon belül kivizsgálja. A határidőbe a bejelentés megtételének napja nem számít bele.
(3) A bejelentés kivizsgálásában nem vehet részt a bejelentéssel érintett személy és a Polgári Törvénykönyvről szóló 2013. évi V. törvény szerinti közeli hozzátartozója.
(4) Ha a szolgáltató azt állapítja meg, hogy pénzmosásra vagy terrorizmusfinanszírozásra utaló adat, tény, illetve körülmény merül fel, úgy a kijelölt személy haladéktalanul bejelentést tesz a pénzügyi információs egységnek.
(5) Ha a szolgáltató azt állapítja meg, hogy bűncselekmény gyanúja áll fenn, úgy haladéktalanul feljelentést tesz a nyomozó hatóságnál.
6. § A belső szabályzatban a szolgáltató meghatározza, hogy a kijelölt vezető a Pmt.-ben meghatározott kötelezettségek teljesítése vonatkozásában az ellenőrzéseket milyen rendszerességgel hajtja végre, azokat hogyan dokumentálja, mulasztás vagy szabályszegés esetén milyen intézkedéseket alkalmaz.
7. § A szolgáltató köteles a pénzügyi információs egységtől, a kereskedelmi hatóságtól vagy a bűnüldözési szervtől érkezett megkeresést öt napon belül teljesíteni.
8. § (1) A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen az üzleti kapcsolat
a) személyes adat,
b) ügyfél-azonosító szám,
c) ügylettípus vagy
d) összeghatár
szerinti keresésére.
(2) A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen a benne rögzített adatoknak a Pmt.-ben meghatározott időtartam alatt visszakereshetőséget lehetővé tevő nyilvántartására.
3. Az egyszerűsített és a fokozott ügyfél-átvilágítás esetkörei és azok felügyeleti jóváhagyásának szabályai
9. § A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmazhat, amennyiben ügyfele
a) a Pmt. 1. § (1) bekezdés a)-e) pontjában meghatározott, az Európai Unió területén székhellyel rendelkező szolgáltató vagy olyan, harmadik országban székhellyel rendelkező - a Pmt. 1. § (1) bekezdés a)-e) pontjában meghatározott - szolgáltató, amelyre a Pmt.-ben meghatározottakkal egyenértékű követelmények vonatkoznak, és amely ezek betartása tekintetében felügyelet alatt áll,
b) olyan gazdasági társaság, amelynek értékpapírját egy vagy több tagállamban bevezették a szabályozott piacra, vagy olyan harmadik országbeli társaság, amelyre a közösségi joggal összhangban lévő közzétételi követelmények vonatkoznak,
c) a Pmt. 5. §-ában meghatározott felügyeletet ellátó szerv,
d) helyi önkormányzat, a helyi önkormányzat költségvetési szerve vagy a c) pontba nem tartozó központi államigazgatási szerv,
e) az Európai Parlament, az Európai Unió Tanácsa, az Európai Bizottság, az Európai Unió Bírósága, az Európai Számvevőszék, az Európai Gazdasági és Szociális Bizottság, a Régiók Bizottsága, az Európai Központi Bank, az Európai Beruházási Bank vagy az Európai Unió más intézménye vagy szerve.
10. § A szolgáltató a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmazhat, amennyiben ügyfele:
a) nem állami vagy önkormányzati tulajdonban lévő nonprofit gazdasági társaság,
b) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik lakóhellyel.
11. §[13] (1) A szolgáltató a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmaz húszmillió forintot elérő vagy meghaladó ügyleti megbízás teljesítésekor.
(2) Az (1) bekezdésben meghatározott esetben a szolgáltató nyilatkoztatja az ügyfelet a pénzeszköz eredetéről.
12. §[14] A kereskedelmi hatóság a szolgáltató által alkalmazott egyszerűsített és fokozott ügyfél-átvilágítás esetköreit a belső szabályzat részeként hagyja jóvá.
4. A megerősített eljárás esetkörei és feltételrendszere
13. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül akkor alkalmaz megerősített eljárást, ha az ügyfél:
a) az ügyfél-átvilágítási intézkedés során nem jelent meg személyesen,
b) nem állami vagy önkormányzati tulajdonban lévő nonprofit gazdasági társaság,
c) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban lakóhellyel vagy székhellyel rendelkezik, valamint
d) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban lakóhellyel rendelkező tényleges tulajdonos.
(2) A szolgáltató belső kockázatértékelése alapján a belső szabályzatában határozza meg, hogy a Pmt.-ben és az e rendeletben meghatározottakon kívül mely esetekben alkalmaz megerősített eljárást.
14. § (1) A szolgáltató a megerősített eljárás során a következő intézkedéseket hajtja végre:
a) további információ szerzése
aa) az ügyfélről,
ab) a tervezett ügylet természetéről,
ac) az ügyfél pénzügyi eszközéről és annak forrásáról,
ad) a tervezett vagy végrehajtott ügylet céljáról,
b) az ügyfélhez kötődő üzleti kapcsolatok számának és időzítésének kiemelt vizsgálata és
c) további vizsgálatok céljából ügylet kiválasztása.
(2)[15] A kockázatértékelésben magas kockázatúnak minősített esetekben a szolgáltató nyilatkoztatja az ügyfelet a pénzeszköz forrásáról, valamint ezen információk igazoló ellenőrzése érdekében kéri a pénzeszközök forrására vonatkozó dokumentumok bemutatását is.
(3) Ha pénzmosás vagy terrorizmus finanszírozásának gyanúja merül fel, a szolgáltató az ügyfél azonosítását szolgáló iratok hiteles másolatát bekéri az ügyféltől.
(4) A megerősített eljárásban az ügylet teljesítését minden esetben a szolgáltató vezető tisztségviselőjének jóváhagyásához kell kötni.
(5) Szokatlan egy tranzakció, ha nem áll összhangban az adott ügyfélről kialakított képpel vagy az adott termékkel, illetőleg szolgáltatással kapcsolatban általánosan követett eljárásokkal, továbbá ha nincs világosan érthető gazdasági célja. Szokatlannak minősülhet egy tranzakció, ha az ügyfél korábbi tevékenységéhez képest indokolatlanul megváltozik a tranzakciók gyakorisága, nagysága.
(6) Összetett egy tranzakció, ha az ügyfél korábbi tevékenységéhez képest eltér az alkalmazott tranzakcióformáktól, bonyolult, nehezen átlátható és áttekinthető folyamatokon, résztvevőkön keresztül valósul meg.
(7) A megerősített eljárás alkalmazása során a szolgáltató csak a Pmt., valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény (a továbbiakban: Kit.) által meghatározott további adatokat kérhet az ügyféltől.
5. Az auditált elektronikus hírközlő eszköz és működtetésének minimum követelményei, auditálásának módja, valamint az ilyen eszköz útján végzett ügyfél-átvilágítás végrehajtása
15. § (1)[16] A kockázatértékelésre kötelezett szolgáltató akkor alkalmazhat működése során ügyfél-átvilágítást távollévő ügyfeleknél, ha előzetesen auditált elektronikus hírközlő eszközt (valós idejű kép- és hangátviteli rendszer) működtet. Az elektronikus hírközlő eszköz akkor auditálható és működtethető, ha legalább az alábbi informatikai biztonsági követelményeknek megfelel:
a) elemei azonosíthatók és dokumentáltak,
b) üzemeltetési folyamatai szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek,
c) változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhassanak meg,
d) adatmentési és -visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás az üzemeltetési szabályzat szerinti gyakorisággal és dokumentáltan tesztelt,
e) a felhasználói hozzáférés mind alkalmazási, mind infrastruktúra szinten szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
f) a felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, biztosítják az azonosítási folyamat megvalósulását, továbbá felhasználóinak tevékenysége naplózott, a rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
g) a hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek, a kiemelt jogosultságokkal elvégzett tevékenység naplózott, a naplófájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
h) a távoli hozzáférés szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
i) a vírusok és más rosszindulatú kódok és cselekmények elleni védelem biztosított,
j) adatkommunikációja és rendszerkapcsolatai dokumentáltak és ellenőrzöttek, az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosított,
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt, feltéve hogy az ügyfél-átvilágításra a szolgáltató más módon nem képes, vagy az alkalmazott rendszer a szolgáltató vonatkozásában üzleti kritikus rendszerként került besorolásra,
l) karbantartása szabályozott,
m) adathordozóinak védelme szabályozott, biztosított, hogy az adathordozókhoz csak az arra jogosult személyek és csak az adatkezelési cél teljesülése érdekében férnek hozzá, ennek felülvizsgálata és ellenőrzése rendszeresen megtörténik,
n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről,
o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.
(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy
a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,
b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatását, beleértve a szolgáltatás biztonságára vonatkozó ügyféloldali felelősséget is,
c)[17] a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki a valós idejű ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,
d) az elektronikus hírközlő eszközre, és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen az (1) bekezdésben foglalt követelményeknek,
e) a jogi szabályozás, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente, a vizsgálati jelentést megújítsa,
f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább
fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),
fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),
fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy
fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)
képesítéssel és minősítéssel,
g)[18] a Pmt. szerinti ügyfél-átvilágítással összefüggésben, valamint az érintett hozzájárulása alapján kezelt, továbbá az elektronikus azonosítás során a szolgáltató birtokába jutott, személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az ügyfél részére hozzáférhetővé tegye, átadja.
(2a)[19] A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítást (a továbbiakban: valós idejű ügyfél-átvilágítás) olyan eszköz útján végzi, amely az ügyfélről az ügyfél-átvilágítás során készített fényképet és az átvilágításhoz felhasznált okiratban szereplő képmást képes összehasonlítani olyan módon, hogy az alapján kétséget kizáróan megállapítható, hogy az okmányban szereplő személy azonos a fényképfelvételen szereplő személlyel.
(3)[20] A szolgáltató foglalkoztatottja a valós idejű ügyfél-átvilágítást egy erre a célra elkülönített és felszerelt helyiségben végzi.
(4) A szolgáltató visszakereshető módon rögzíti
a) a helyiségbe belépő személyt,
b) a helyiségből kilépő személyt, valamint
c) a be- és kilépés időpontját.
(5) A valós idejű ügyfél-átvilágítást csak a szolgáltató olyan foglalkoztatottja végezheti, akinek a szolgáltató előzőleg e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.
(6) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában biztosítja az ügyfél átvilágítására vonatkozó biztonságos feltételeket, amennyiben
a) az ügyfél a valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult,
b) a valós idejű ügyfél-átvilágítás legalább kétfaktoros - amelyek közül egyik kép- és hangátvitelt lehetővé tevő elektronikus hírközlő eszköz -, és a faktorai legalább két eltérő technológián alapulnak,
c) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása, és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által bemutatott fényképes azonosító okmánnyal való összevetésre, az okmányban foglalt adatok és a bemutatott okmány biztonsági elemeinek azonosítására,
d) az ügyfél-átvilágítási folyamat szabályozott és folyamatosan ellenőrzött, valamint
e) az átvilágítás megfelelőségét további, második szintű ellenőrzés követi a szolgáltatón belül.
16. § (1) A szolgáltató a valós idejű ügyfél-átvilágítás során a szolgáltató és az ügyfél között létrejött teljes kommunikációt, az ügyfél valós idejű ügyfél-átvilágítással kapcsolatos részletes tájékoztatását és az ügyfél ehhez történő kifejezett hozzájárulását visszakereshető módon kép- és hangfelvételen rögzíti.
(2) A valós idejű ügyfél-átvilágítást végző szolgáltató foglalkoztatottja felszólítja az ügyfelet arra, hogy
a) úgy nézzen bele a kamerába, hogy arcképe felismerhető és rögzíthető legyen,
b)[21] érthető módon közölje a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél okmány azonosítóját, és
c)[22] úgy mozgassa a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolványt, kártyaformátumú vezetői engedélyt vagy útlevelet, hogy az azon található biztonsági elemek és adatsorok felismerhetők és rögzíthetők legyenek.
(3) A valós idejű ügyfél-átvilágítást végző szolgáltató foglalkoztatottja megbizonyosodik arról, hogy a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél alkalmas-e a valós idejű ügyfél-átvilágítás elvégzésére, így[23]
a)[24] kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél egyes elemei és azok elhelyezkedése megfelel az okmányt kiállító hatóság előírásainak,
b) az egyes biztonsági elemek - különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek - felismerhetők és sérülésmentesek,
c)[25] a kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél rendelkezik gépi adatolvasást lehetővé tevő mezővel,
d)[26] a kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél okmányazonosítója megegyezik az ügyfél által közölt okmányazonosítóval, továbbá az felismerhető és sérülésmentes.
(4) A valós idejű ügyfél-átvilágítást végző alkalmazott megbizonyosodik arról, hogy
a)[27] az ügyfél arcképe felismerhető és azonosítható az általa bemutatott kártyaformátumú személyazonosító igazolványon, kártyaformátumú vezetői engedélyen vagy útlevélen látható arckép alapján, és
b)[28] a kártyaformátumú személyazonosító igazolványon, kártyaformátumú vezetői engedélyen vagy útlevélen megtalálható adatok logikailag megfeleltethetők az ügyfélről a szolgáltatónál rendelkezésre álló adatokkal.
(5)[29] A szolgáltató a valós idejű ügyfél-átvilágítás során az ügyfél által bemutatott kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél adatait összeveti nyilvánosan hozzáférhető nyilvántartás vagy olyan nyilvántartás adataival, amelynek kezelőjétől törvény alapján adatigénylésre jogosult.
(6) A szolgáltató egy alfanumerikus kódból álló, központilag, véletlenszerűen generált azonosítási kódot küld az ügyfélnek az ügyfél választása szerint az ügyfél azonosítására alkalmas e-mail-címre vagy SMS-ben mobiltelefonszámra, amely kódot az ügyfél a valós idejű ügyfél-átvilágítás befejezéséig a szolgáltató által választott kommunikációs formában küld vissza a szolgáltatónak.
(7) A szolgáltató a valós idejű ügyfél-átvilágítás során az ügyfélre irányadó, Pmt. szerinti nyilatkozatok megtételére és okiratok bemutatására hívja fel az ügyfelet.
(8) A szolgáltató a (7) bekezdés alapján bemutatott okiratok adatait összeveti nyilvánosan hozzáférhető nyilvántartás vagy olyan nyilvántartás adataival, amelynek kezelőjétől törvény alapján adatigénylésre jogosult.
(9) A szolgáltató megszakítja a valós idejű ügyfél-átvilágítást, amennyiben
a) az ügyfél a valós idejű ügyfél-átvilágítás során visszavonja az adatrögzítéshez adott hozzájárulását,
b) az ügyfél által bemutatott okmányok, illetve okiratok fizikai és adattartalmi követelményei nem adottak,
c) az ügyfél, az általa bemutatott okmányok, illetve okiratok vizuális azonosításának feltételei nem adottak,
d) a szolgáltató nem tudja elkészíteni a hang- és képfelvételt,
e) az ügyfél nem, nem teljes egészében vagy hibásan küldi vissza az azonosítási kódot,
f) az ügyfél nem, vagy a szolgáltató foglalkoztatottja számára észlelhetően befolyás alatt tesz nyilatkozatot, vagy
g) az eljárás során azzal kapcsolatban bármilyen ellentmondás vagy bizonytalanság lép fel.
(10) Pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény felmerülése esetében, a szolgáltató a (9) bekezdésben írt feltételek fennállása ellenére is elvégzi a valós idejű ügyfél-átvilágítást, amelyet követően haladéktalanul bejelentést tesz a pénzügyi információs egységnél.
17. § A valós idejű ügyfél-átvilágítást a szolgáltató belső szabályzatban meghatározott foglalkoztatottjának a valós idejű ügyfél-átvilágítás egészére kiterjedő ellenőrzése zárja le.
18. § A szolgáltató a valós idejű ügyfél-átvilágítás rendszerét úgy alakítja ki, hogy azt a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról szóló törvény szerinti fogyatékos személy is igénybe tudja venni.
6. A kockázatérzékenységi megközelítés alapján az üzleti kapcsolat létesítéséhez vagy ügyleti megbízás teljesítéséhez vezetői döntést igénylő esetek
19. § (1) Az ügyleti megbízás teljesítéséhez a belső szabályzatban meghatározott vezető jóváhagyása szükséges, ha
a) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország által kiállított okiratot mutat fel az ügyfél,
b)[30] az ügyleti megbízás ellenértéke vagy annak készpénzes része a húszmillió forintot eléri vagy meghaladja, valamint
c) ha gyanú merül fel arra, hogy az ügylet lebonyolításakor megjelent személy nem azonos a valódi ügyféllel vagy a tényleges tulajdonossal, a megjelent ügyfél vagy képviselője nem tudja igazolni eljárásának jogcímét.
(2) Az ügylet teljesítéséhez a jóváhagyást a belső szabályzatban meghatározott vezető írásban köteles megadni.
7. Az ügylet felfüggesztése
20. § (1) A szolgáltató belső szabályzatában meghatározza az ügylet felfüggesztése során
a) az ügyfélnek adandó tájékoztatás részleteit, és
b) az ügyletet lebonyolító kötelezettségét és felelősségét.
(2) A szolgáltató biztosítja, hogy
a) a felfüggesztés tényéről a szolgáltató tudomással bíró foglalkoztatottja megismerje az ügyfélnek adott tájékoztatás szerinti eljárás menetét,
b) a felfüggesztés teljesítéséhez csak a szükséges alkalmazottat, szervezeti egységet vonja be,
c) a felfüggesztési kötelezettség teljesítésére utaló adat, tény, illetve körülmény felmerülésekor telefonon értesíti a pénzügyi információs egységként működő hatóságot, és a tőle kapott instrukciók szerint jár el, valamint
d) a felfüggesztés ideje alatt a telefonos kapcsolattartás a pénzügyi információs egységként működő hatósággal a kijelölt személy akadályoztatása esetén is folyamatos legyen.
(3) A szolgáltató az általa vezetett nyilvántartáson belül az ügylet felfüggesztését igazoló iratot vagy annak másolatát elkülönítetten kezeli.
8. A képzési program
21. § (1) A kockázatértékelés elkészítésére köteles szolgáltató az azonosítást végző alkalmazottainak a munkaviszony kezdetét követő 15 napon belül, jogszabályváltozást, belső szabályzat változását követő 15 napon belül, valamint ettől függetlenül legalább évente egy alkalommal képzést tart a (2) bekezdésben meghatározott témákra kiterjedően.
(2) A képzések programja legalább az alábbi témaköröket tartalmazza:
a) belső szabályzat foglalkoztatottakra vonatkozó elemei a belső eljárási rend figyelembevételével,
b) pénzmosásra vagy a terrorizmus finanszírozására utaló adatok, tények, körülmények megállapításakor figyelembe veendő szempontok,
c) az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedéseket érintő nemzetközi és hazai jogszabályi rendelkezések foglalkoztatottakat érintő elemei,
d) ügyfél-átvilágítás gyakorlata, a rögzítendő adatok köre, kiemelt közszereplők, valamint
e) a bejelentési kötelezettség esetei a kockázatértékelés során.
(3) A kockázatértékelés elkészítésére kötelezett szolgáltató vezetője vagy a szabályzat átdolgozásáért felelős személy köteles kétévente a kereskedelmi hatóság, a szakmai érdekképviselet vagy egyéb szervezet által szervezett képzésen részt venni.
(4) A kockázatértékelés elkészítésére nem kötelezett szolgáltató köteles a belső szabályzatról, az ügyfél-azonosítás menetéről valamennyi belépő alkalmazott részére a munkaviszony kezdetét követő 5 napon belül képzést tartani, valamint bármely, a Pmt.-t vagy az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedéseket érintő nemzetközi és hazai jogszabályi rendelkezéseket érintő változásról a kihirdetést követő 5 napon belül írásban értesíteni.
9. Az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtása érdekében működtetett szűrőrendszer kidolgozása és működtetésének minimumkövetelményei
22. § (1) A szolgáltató a Kit. 3. § (6) bekezdésében megfogalmazott kötelezettség teljesítése érdekében a szűrőrendszert a (2)-(5) bekezdésben meghatározottak szerint működteti.
(2) A szolgáltató a pénzügyi és vagyoni korlátozó intézkedéseket elrendelő uniós jogi aktusok és az Egyesült Nemzetek Szervezete Biztonsági Tanácsának (a továbbiakban: ENSZ BT) határozatai haladéktalan és teljes körű végrehajtása érdekében az általa rögzített teljes ügyfélállomány személyes adatait összeveti az uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival az üzleti kapcsolat létesítésekor, valamint az ügyleti megbízás elfogadásakor. A Kit. 3. § (5) bekezdése szerinti tájékoztató közzétételét követően a saját ügyfélállománya vonatkozásában a szűrést elvégzi.
(3)[31] A szűrést az évi több, mint tízezer tranzakciót lebonyolító szolgáltató a háromszázezer forintot elérő vagy meghaladó ügyletekre vonatkozóan kizárólag automatikusan működő szűrőrendszer alkalmazásával hajthatja végre, amely a szolgáltató által rögzített teljes ügyfélállomány személyes adatainak az uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival való rendszeres, manuális beavatkozást nem igénylő összehasonlítására alkalmas informatikai rendszer.
(4) A szűrést a (3) bekezdésben meghatározott forgalomnál kevesebb tranzakciót lebonyolító szolgáltató manuálisan működő szűrőrendszer alkalmazásával is végrehajthatja, amely egy, a szolgáltató által rögzített teljes ügyfélállomány személyes adatainak az uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival való összehasonlítására alkalmas, nem automatikus eljárás.
(5) A szűrések végrehajtását a szolgáltató dokumentálja, és a dokumentumokat visszakereshető módon a szűréstől számított 8 évig megőrzi, valamint azokat a felügyeleti ellenőrzés során bemutatja.
10. Záró rendelkezések
23. § Ez a rendelet a kihirdetését követő harmadik napon lép hatályba.
Varga Mihály s. k.,
nemzetgazdasági miniszter
Lábjegyzetek:
[1] Megállapította a 3/2021. (II. 2.) PM rendelet 7. § (1) bekezdése. Hatályos 2021.03.19.
[2] Megállapította a 3/2021. (II. 2.) PM rendelet 7. § (2) bekezdése. Hatályos 2021.03.19.
[3] Beiktatta a 3/2021. (II. 2.) PM rendelet 7. § (3) bekezdése. Hatályos 2021.03.19.
[4] Beiktatta a 3/2021. (II. 2.) PM rendelet 7. § (3) bekezdése. Hatályos 2021.03.19.
[5] Megállapította a 3/2021. (II. 2.) PM rendelet 7. § (4) bekezdése. Hatályos 2021.03.19.
[6] Megállapította a 3/2021. (II. 2.) PM rendelet 7. § (5) bekezdése. Hatályos 2021.03.19.
[7] Megállapította a 3/2021. (II. 2.) PM rendelet 7. § (5) bekezdése. Hatályos 2021.03.19.
[8] Hatályon kívül helyezte a 3/2021. (II. 2.) PM rendelet 16. § (2) bekezdése. Hatálytalan 2021.03.19.
[9] Megállapította a 3/2021. (II. 2.) PM rendelet 8. § (1) bekezdése. Hatályos 2021.03.19.
[10] Megállapította a 3/2021. (II. 2.) PM rendelet 8. § (2) bekezdése. Hatályos 2021.03.19.
[11] Megállapította a 3/2021. (II. 2.) PM rendelet 9. §-a. Hatályos 2021.03.19.
[12] Megállapította a 3/2021. (II. 2.) PM rendelet 9. §-a. Hatályos 2021.03.19.
[13] Megállapította a 3/2021. (II. 2.) PM rendelet 10. §-a. Hatályos 2021.03.19.
[14] Megállapította a 3/2021. (II. 2.) PM rendelet 10. §-a. Hatályos 2021.03.19.
[15] Megállapította a 3/2021. (II. 2.) PM rendelet 11. §-a. Hatályos 2021.03.19.
[16] Megállapította a 3/2021. (II. 2.) PM rendelet 12. § (1) bekezdése. Hatályos 2021.03.19.
[17] Megállapította a 3/2021. (II. 2.) PM rendelet 12. § (2) bekezdése. Hatályos 2021.03.19.
[18] Megállapította a 3/2021. (II. 2.) PM rendelet 12. § (3) bekezdése. Hatályos 2021.03.19.
[19] Beiktatta a 3/2021. (II. 2.) PM rendelet 12. § (4) bekezdése. Hatályos 2021.03.19.
[20] Megállapította a 3/2021. (II. 2.) PM rendelet 12. § (5) bekezdése. Hatályos 2021.03.19.
[21] Megállapította a 3/2021. (II. 2.) PM rendelet 13. §-a. Hatályos 2021.03.19.
[22] Módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19. (A módosító rendelkezés a "kártyaformátumú személyazonosító igazolvány vagy vezetői engedély" szövegrész helyébe rendelte a "kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél" szöveget léptetni. Az érintett szövegrész ragozott formában szerepelt, ennek megfelelően hajtottuk végre a módosítást, amelynek érvényessége kétséges.)
[23] A nyitó szövegrészt módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19.
[24] Módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19.
[25] Módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19.
[26] Módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19.
[27] Módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19. (A módosító rendelkezés a "kártyaformátumú személyazonosító igazolvány vagy vezetői engedély" szövegrész helyébe rendelte a "kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél" szöveget léptetni. Az érintett szövegrész ragozott formában szerepelt, ennek megfelelően hajtottuk végre a módosítást, amelynek érvényessége kétséges.)
[28] Módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19. (A módosító rendelkezés a "kártyaformátumú személyazonosító igazolvány vagy vezetői engedély" szövegrész helyébe rendelte a "kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél" szöveget léptetni. Az érintett szövegrész ragozott formában szerepelt, ennek megfelelően hajtottuk végre a módosítást, amelynek érvényessége kétséges.)
[29] Módosította a 3/2021. (II. 2.) PM rendelet 16. § (1) bekezdése. Hatályos 2021.03.19.
[30] Megállapította a 3/2021. (II. 2.) PM rendelet 14. §-a. Hatályos 2021.03.19.
[31] Megállapította a 3/2021. (II. 2.) PM rendelet 15. §-a. Hatályos 2021.03.19.