Vyhláška o některých požadavcích na systém vnitřních zásad, postupů a kontrolních opatření proti legalizaci výnosů z trestné činnosti a financování terorismu

§ 1

Předmět úpravy

Tato vyhláška upravuje požadavky na zavedení a uplatňování

• a) postupů pro provádění kontroly klienta a stanovování rozsahu kontroly klienta odpovídající riziku legalizace výnosů z trestné činnosti a financování terorismu (dále jen „riziko“) v závislosti na typu klienta, obchodního vztahu, produktu nebo obchodu a

• b) přiměřených a vhodných metod a postupů pro posuzování rizik, řízení rizik, vnitřní kontrolu a zajišťování kontroly nad dodržováním povinností stanovených zákonem č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, (dále jen „zákon“)

institucemi v rámci systému vnitřních zásad podle § 21 odst. 2 zákona.

§ 2

Osobní působnost

(1) Vyhláška se vztahuje na instituci, která podléhá dohledu České národní banky^1) a podléhá povinnosti vypracovat systém vnitřních zásad.

(2) Instituce, která ve vztahu k některému klientovi uplatňuje výjimku z povinnosti identifikace a kontroly klienta v souladu s § 13a zákona, není povinna ve vztahu k tomuto klientovi, v rozsahu uplatňované výjimky, naplňovat požadavky podle § 6 až 10.

(3) Instituce, která ve vztahu ke klientovi provádí zjednodušenou identifikaci a kontrolu klienta podle § 13 zákona, naplňuje ve vztahu k tomuto klientovi požadavky podle § 6 až 10 přiměřeně rozsahu prováděné zjednodušené identifikace a kontroly klienta.

§ 3

Vymezení pojmů

(1) Pro účely této vyhlášky se rozumí

• a) institucí povinná osoba podle § 2 odst. 1 písm. a) a písm. b) bodů 1 až 10, 15 a písm. h) bodu 5 a odst. 2 písm. a) zákona, která podléhá dohledu České národní banky,

• b) neprůhlednou vlastnickou strukturou stav, kdy nelze zjistit skutečného majitele nebo vlastnickou a řídicí strukturu klienta z

• 1. veřejného rejstříku, evidence svěřenských fondů nebo evidence skutečných majitelů vedených orgánem veřejné moci České republiky,

• 1. obdobného rejstříku nebo evidence jiného státu, ani

• 1. jiného zdroje nebo kombinace zdrojů, které instituce důvodně považuje za důvěryhodné a o kterých se důvodně domnívá, že ve svém celku poskytují úplné a aktuální informace o skutečném majiteli a vlastnické a řídicí struktuře klienta, zejména pokud budou vydány orgánem veřejné moci, nebo budou úředně ověřené; čestné prohlášení samo o sobě nelze pro potřeby zjišťování skutečného majitele a vlastnické a řídicí struktury považovat za důvěryhodný zdroj.

(2) Pro účely ustanovení § 7, § 9 odst. 3 a odst. 4 a § 11 se právnickou osobou rozumí také svěřenský fond, na který se tato ustanovení použijí přiměřeně.

§ 4

Obecná ustanovení

(1) Instituce zavede a uplatňuje postupy pro vypracování, přijímání, změnu, zavádění a uplatňování hodnocení rizik a systému vnitřních zásad (dále jen „vnitřní předpisy“).

(2) Instituce ve svých vnitřních předpisech zohlední obecné pokyny a doporučení Evropského orgánu pro bankovnictví^2), Evropského orgánu pro cenné papíry^3), Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění^4), Společného výboru evropských orgánů dohledu^5) a Orgánu pro boj proti praní peněz a financování terorismu^9) v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu v rozsahu, ve kterém se na instituci vztahují, uveřejněné v českém jazyce Českou národní bankou na jejích internetových stránkách.

(3) Instituce při vypracování a dodržování svých vnitřních předpisů, včetně postupů identifikace a kontroly klienta, zohledňuje uznávané a osvědčené principy a postupy v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „uznávané standardy“), jejichž přehled uveřejňuje Česká národní banka na svých internetových stránkách. Tím není dotčeno právo instituce zvolit a ve vnitřních předpisech zohlednit i jiné uznávané standardy, které jsou aktuální a přiměřené povaze, rozsahu a složitosti jí vykonávaných činností; jejich obsah nebo použití však nesmí být v rozporu s požadavky právních předpisů, ani obcházet jejich účel.

(4) Instituce zajistí, že jsou její vnitřní předpisy a jí zvolené uznávané standardy aktuální a přiměřené povaze, rozsahu a složitosti vykonávaných činností. Instituce ve vnitřních předpisech určí minimální intervaly, ve kterých posuzuje a případně aktualizuje své vnitřní předpisy. Tyto intervaly musí být přiměřené k tomu, aby vnitřní předpisy instituce byly i nadále aktuální a odpovídaly skutečnému stavu a vždy zohlednily produkty a služby nabízené institucí před jejich uvedením na trh a technologie předtím, než je instituce začne využívat.

(5) Instituce dále bez zbytečného odkladu posoudí aktuálnost vnitřních předpisů a zajistí jejich případnou aktualizaci vždy, pokud tato potřeba vyplyne

• a) ze závěru učiněného v hodnocení rizik,

• b) z informace, kterou instituce získá a která směřuje k závěru, že hodnocení rizik nebo k němu využité podklady již nejsou aktuální,

• c) ze změny v obchodní činnosti nebo strategii instituce,

• d) ze změny právních předpisů, nebo

• e) z informací o změně v národním hodnocení rizik podle § 30a zákona.

(6) Instituce vždy zaznamená výsledek posouzení podle odstavců 4 a 5 a jeho důvody.

(7) Je-li to důvodné, v návaznosti na aktualizaci podle odstavců 4 a 5 instituce aktualizuje rovněž rizikové profily klientů, a to ve lhůtě přiměřené jejich rizikovému profilu.

§ 5

Hodnocení rizik

(1) Při hodnocení rizik instituce vždy zohlední

• a) národní hodnocení rizik vypracované v souladu s § 30a zákona,

• b) evropské hodnocení rizik vypracované Evropskou komisí^6),

• c) metodické a výkladové materiály a rozhodnutí České národní banky a Finančního analytického úřadu,

• d) informace poskytované Finančním analytickým úřadem a orgány činnými v trestním řízení a

• e) informace získané při identifikaci a kontrole klientů.

(2) Instituce při hodnocení rizik zohlední alespoň takový rozsah a druhy zdrojů informací, které zajistí, že hodnocení rizik skutečně vypovídá o reálných rizicích spojených s činností instituce.

(3) Instituce v hodnocení rizik vždy zohlední

• a) povahu své obchodní činnosti,

• b) produkty a služby, které nabízí a poskytuje, a možnosti jejich zneužití k legalizaci výnosů z trestné činnosti a financování terorismu,

• c) rizika spojená s využitím nových technologií při své obchodní činnosti,

• d) rizika spojená s distribučními kanály, které využívá k nabízení a poskytování svých produktů a služeb, a

• e) opatření, která instituce přijala a aplikuje k řízení rizik.

(4) Instituce zohlední v hodnocení rizik i další opatření, zvláštní rizika a specifické faktory neuvedené v § 5 odst. 3, pokud vyplývají z konkrétní povahy její činnosti.

(5) Instituce zaznamená postupy, které využila k sestavení svého hodnocení rizik, a důvody, na jejichž základě učinila závěry obsažené v hodnocení rizik.

Stanovení rizikového profilu a další postupy při vzniku a v průběhu obchodního vztahu a při uskutečnění obchodu mimo obchodní vztah

§ 6

Instituce v rámci svého systému vnitřních zásad zavede a uplatňuje pravidla a postupy, podle kterých při vzniku obchodního vztahu a v jeho průběhu

• a) stanoví rizikový profil klienta a přitom zohlední

• 1. získané informace o klientovi,

• 1. instituci známé faktory zvyšující či snižující riziko spojené s klientem, obchodním vztahem či souvisejícím probíhajícím obchodem mimo obchodní vztah a

• 1. své vlastní hodnocení rizik a

• b) přijímá odpovídající opatření vůči klientovi v návaznosti na jeho rizikový profil.

§ 7

(1) Jako součást pravidel a postupů pro stanovení rizikového profilu klienta instituce určí faktory, které při stanovení rizikového profilu klienta zohledňuje, váhu jednotlivých faktorů a jejich vzájemné vztahy. Tato pravidla a postupy instituce zavede a uplatňuje způsobem, který zajistí účinné řízení rizik. Tímto není dotčena povinnost podle § 9 odst. 2.

(2) Mezi faktory, které instituce zohlední podle odstavce 1, pokud je to důvodné, patří zejména:

• a) země původu klienta, skutečného majitele a osoby, která je oprávněna jednat jménem klienta,

• b) země původu osoby, která má přímou nebo nepřímou účast v klientovi, který je právnickou osobou, a země původu osoby, na níž má takový klient přímou nebo nepřímou účast,

• c) země původu osoby, která je členem statutárního orgánu klienta, zástupcem právnické osoby v tomto orgánu anebo je v postavení obdobném postavení člena statutárního orgánu, a osoby, která je osobou v řídicí struktuře klienta podle § 11 odst. 4 věty druhé či má jinak možnost vykonávat vliv v klientovi, který je právnickou osobou,

• d) země, ve které má pobočku anebo provozovnu klient, který je právnickou osobou, která podléhá povinnostem podle § 24a zákona či rovnocenným povinnostem podle práva jiného státu,

• e) země, ze které nebo do které byl či má být v souvislosti s obchodem převeden nebo poskytnut předmět obchodu,

• f) vlastnická a řídicí struktura klienta, který je právnickou osobou,

• g) právní forma klienta,

• h) předměty činnosti nebo povolání klienta a jeho skutečného majitele,

• i) bydliště nebo sídlo klienta,

• j) chování klienta nebo osoby, která jej zastupuje, v rámci obchodu nebo obchodního vztahu,

• k) vlastnosti využívaných produktů a služeb, povaha obchodu nebo obchodního vztahu,

• l) vlastnosti využívaného distribučního kanálu a účast osob odlišných od klienta na obchodu nebo obchodním vztahu,

• m) původ peněžních prostředků klienta,

• n) původ jmění klienta a jeho skutečného majitele,

• o) informace o osobě, která je právnickou osobou a na které má klient přímou nebo nepřímou účast, či má jinak možnost v ní vykonávat vliv,

• p) způsob provedení první identifikace klienta,

• q) způsob zjištění a ověření vlastnické a řídicí struktury klienta, který je právnickou osobou,

• r) negativní informace o klientovi nebo jeho skutečném majiteli získané z médií nebo jiných relevantních zdrojů informací,

• s) převod virtuálních aktiv na nehostovanou adresu nebo z nehostované adresy.

(3) Instituce v případě obchodního vztahu pravidelně kontroluje platnost a úplnost údajů o klientovi a případně aktualizuje rizikový profil klienta. Instituce ve svém systému vnitřních zásad zavede a uplatňuje postupy pro provádění aktualizace rizikového profilu klienta a určí skutečnosti, na jejichž základě bude aktualizace vždy provedena. Instituce zároveň stanoví maximální pravidelné intervaly pro provádění aktualizace rizikového profilu klienta v závislosti na jeho rizikovém profilu. Instituce zaznamená informace o posouzení rizikového profilu klienta a provedení jeho aktualizace spolu s odůvodněním učiněných závěrů, a to i v případě, že došla k závěru, že není namístě učinit změny.

(4) Pokud instituce využívá automatizovaného systému k hodnocení rizikovosti klienta, musí mít možnost v odůvodněných případech změnit automatizovaně vygenerované hodnocení.

(5) V případě poskytování služeb spojených s životním pojištěním instituce při hodnocení rizik daného obchodního vztahu vždy zohlední i informace, které má k dispozici o osobě, která má právo na plnění ze životního pojištění.

(6) Instituce při stanovení rizikového profilu klienta v rámci obchodního vztahu zároveň zohlední i riziko spojené s probíhajícími, provedenými a zvažovanými obchody v rámci obchodního vztahu.

Kontrola klienta

§ 8

(1) Instituce v rámci systému vnitřních zásad zavede a uplatňuje vůči klientovi v návaznosti na jeho rizikový profil opatření, která zajistí účinné řízení rizik, zejména aby instituce vždy měla dostatek informací k posouzení rizika spojeného s klientem, obchodem a obchodním vztahem, a aby byla schopna identifikovat případný podezřelý obchod.

(2) V rámci opatření uplatňovaných vůči klientovi podle odstavce 1 instituce zavede a uplatňuje zejména postupy

• a) k rozhodování o uskutečnění či odmítnutí obchodu, nebo o navázání obchodního vztahu s klientem či ukončení již existujícího obchodního vztahu,

• b) pro provádění kontroly klienta, zejména rozsah a četnost prováděných opatření.

§ 9

(1) V případě rizikového profilu s vyšším rizikem vykonává instituce zesílenou identifikaci a kontrolu klienta v rozsahu a způsobem, který zajistí účinné řízení identifikovaného rizika.

(2) Zesílená identifikace a kontrola klienta spočívá zejména v některém z následujících opatření nebo v jejich kombinaci:

• a) zesílené monitorování obchodního vztahu a obchodů v rámci obchodního vztahu,

• b) širší rozsah požadovaných informací o klientovi, zejména informace o jeho skutečném majiteli, vlastnické a řídicí struktuře klienta, který je právnickou osobou, povaze obchodního vztahu, realizovaném obchodu nebo zdroji peněžních prostředků,

• c) předchozí schválení navázání obchodního vztahu nebo provedení obchodu v rámci obchodního vztahu i mimo něj alespoň jedním zaměstnancem instituce, jehož funkční zařazení je o úroveň vyšší, než je funkční zařazení zaměstnance nebo zaměstnanců instituce podílejících se na předmětném obchodu s klientem, případně statutárním orgánem instituce nebo jím pověřené osoby k řízení instituce v oblasti opatření proti legalizaci výnosů z trestné činnosti a financování terorismu,

• d) omezení přístupu k některým produktům a službám, které jsou podle posouzení instituce spojené s vyšším rizikem,

• e) požadavek, aby první platba byla provedena z účtu vedeného na jméno klienta u úvěrové instituce nebo u zahraniční úvěrové instituce, která podléhá povinnostem identifikace a kontroly klienta, které jsou alespoň rovnocenné požadavkům práva Evropské unie,

• f) ověřování získaných informací z více důvěryhodných zdrojů nebo

• g) jiná odpovídající opatření v návaznosti na vlastnosti instituce a její činnosti.

(3) Instituce vždy stanoví u klienta rizikový profil s vyšším rizikem v případě identifikace některého z následujících faktorů zvýšeného rizika:

• a) některá ze zemí původu klienta, osoby oprávněné s institucí jednat jménem klienta, nebo některá ze zemí původu skutečného majitele klienta, je třetí zemí, která má strategické nedostatky v boji proti legalizaci výnosů z trestné činnosti a financování terorismu podle přímo použitelného předpisu Evropské unie^7) nebo je takto označena jako vysoce riziková jurisdikce podléhající výzvě k akci Finančním akčním výborem (FATF) ve veřejném prohlášení zveřejněném na jeho internetových stránkách nebo je třeba ji považovat za vysoce rizikovou z jiného důvodu,

• b) klient, osoba oprávněná s institucí jednat za klienta, skutečný majitel klienta, osoby ve vlastnické a řídicí struktuře klienta, který je právnickou osobou, nebo, pokud jsou tyto osoby či majitel instituci známi, osoba, se kterou klient uskutečňuje obchod, osoba, kterou klient ovládá, fyzická osoba, za kterou se obchod provádí, nebo skutečný majitel osoby, se kterou klient uskutečňuje obchod, jsou zapsáni na seznamu osob subjektů, orgánů nebo organizovaných skupin, vůči nimž jsou uplatňována omezující nebo jiná opatření v souladu s jinými právními předpisy sloužícími k provádění mezinárodních sankcí^8),

• c) klient nebo jeho skutečný majitel jsou politicky exponované osoby, nebo je instituci známo, že jednají ve prospěch politicky exponované osoby,

• d) klient má neprůhlednou vlastnickou strukturu; o neprůhlednou vlastnickou strukturu se nejedná, pokud je klient právnickou osobou, jejíž cenné papíry jsou přijaty k obchodování na evropském regulovaném trhu nebo zahraničním trhu obdobnému evropskému regulovanému trhu, pokud podléhá požadavkům na zveřejnění informací rovnocenným požadavkům práva Evropské unie,

• e) klient není fyzickou osobou, za kterou se obchod provádí,

• f) klient, který je právnickou osobou, nevykonává, pokud je instituci známo, žádnou ekonomickou činnost,

• g) podezření, že skutečný majitel klienta, který je právnickou osobou, je zastřený v důsledku smlouvy mezi skutečným majitelem a osobou vystupující jako společník, člen statutárního orgánu nebo osoba v postavení obdobném postavení člena statutárního orgánu.

(4) Instituce uplatní vždy zesílenou identifikaci a kontrolu klienta v případě identifikace některého z následujících faktorů zvýšeného rizika:

• a) podle informací, které má instituce k dispozici, předmět obchodu byl či má být v souvislosti s obchodem převeden nebo poskytnut ze třetí země, která má strategické nedostatky v boji proti legalizaci výnosů z trestné činnosti a financování terorismu podle přímo použitelného předpisu Evropské unie^7) nebo která je označena jako vysoce riziková jurisdikce podléhající výzvě k akci Finančním akčním výborem nebo kterou je třeba považovat za vysoce rizikovou z jiného důvodu, nebo předmět obchodu byl či má být v souvislosti s obchodem převeden nebo poskytnut do takové třetí země, nebo s takovou třetí zemí jinak souvisí,

• b) některý z předmětů činnosti klienta, který je právnickou osobou, je rizikový,

• c) jedná se o neobvykle složitý nebo objemný obchod, neobvyklý způsob obchodování, nebo obchod, u kterého není zřejmý jeho ekonomický a zákonný účel, nebo neobvyklé chování klienta, které neodpovídá dosavadnímu průběhu obchodního vztahu,

• d) informace, které má instituce k dispozici, nasvědčují tomu, že klient v posledních 5 letech jednal protiprávně, pokud tímto protiprávním jednáním mohly být legalizovány výnosy z trestné činnosti nebo financován terorismus anebo se s tímto protiprávním jednáním pojí obava z následné legalizace výnosů z trestné činnosti nebo financování terorismu; zejména pokud je takové protiprávní jednání spojované s obavou z legalizace výnosů z trestné činnosti nebo financování terorismu uvedeno v národním hodnocení rizik,

• e) první identifikace klienta proběhla podle § 11 odst. 7 zákona nebo obdobným způsobem podle zahraniční právní úpravy, ledaže klient využívá produkt s potenciálně nižším rizikem zneužití pro legalizaci výnosů z trestné činnosti nebo financování terorismu v souladu s hodnocením rizik podle § 21a zákona nebo využívá službu s potenciálně nižším rizikem zneužití pro legalizaci výnosů z trestné činnosti nebo financování terorismu v souladu s hodnocením rizik podle § 21a zákona.

(5) Instituce v rámci systému vnitřních zásad stanoví kritéria k určení, kdy se jedná o obchod nebo způsob obchodování nebo chování podle odstavce 4 písm. c). Instituce dále zavede a uplatňuje pravidla a postupy k identifikaci takových obchodů a způsobů obchodování a chování.

(6) V případě identifikace faktoru zvýšeného rizika uvedeného v odstavci 4 instituce uplatní alespoň opatření zesílené identifikace a kontroly klienta podle odstavce 2 písm. b), zejména vždy zkoumá pozadí a účel takových obchodů a způsobu obchodování.

§ 10