Legalize / Česká republika / Vyhláška o žádostech a oznámeních k výkonu činnosti podle zákona o platebním styku / Historie

Historie novel

Vyhláška o žádostech a oznámeních k výkonu činnosti podle zákona o platebním styku

3 verzí · 2022-01-06

2025-06-30

Vyhláška č. 1/2022 Sb.

Zobrazit změny Text k tomuto datu

2025-01-16

Vyhláška č. 1/2022 Sb.

Zobrazit změny Text k tomuto datu

Změny ze dne 2025-01-16

@@ -126,9 +126,11 @@

- 3. způsob sběru statistických dat,

- 4. účel sběru statistických dat a

- 5. četnost sběru statistických dat,

- 4. účel sběru statistických dat,

- 5. četnost sběru statistických dat a

- 6. proces vyhodnocení dat a reportování výsledků vyhodnocení v rámci struktury řízení společnosti,

- h) popisem bezpečnostních postupů popis postupů pro sledování bezpečnosti, řešení bezpečnostních a provozních incidentů v oblasti platebního styku a pro přijímání souvisejících opatření, obsahující

@@ -138,23 +140,11 @@

- 3. interní a externí způsoby oznamování podvodných jednání,

- 4. postupy pro oznamování bezpečnostních a provozních incidentů a pro vyhodnocení těchto incidentů z hlediska jejich závažnosti, včetně postupů pro oznamování závažných bezpečnostních a provozních incidentů podle § 221 zákona,

- 4. postupy pro oznamování bezpečnostních a provozních incidentů a pro vyhodnocení těchto incidentů z hlediska jejich závažnosti, včetně postupů podle čl. 13 a kapitoly III nařízení Evropského parlamentu a Rady (EU) 2022/2554,

- 5. nástroje pro sledování bezpečnosti a zavedená opatření k omezování bezpečnostních a provozních rizik, včetně postupů identifikace, zaznamenávání, analýzy, odhalování příčin a zavádění navazujících opatření k nápravě technických problémů a nástrojů, které tyto postupy podporují,

- i) popisem opatření k zajištění kontinuity popis opatření k zajištění plynulého výkonu činností a trvalého fungování žadatele obsahující

- 1. analýzu dopadů na podnikatelskou činnost posuzováním své expozice vůči závažným narušením činnosti a jejich možným dopadům, včetně obchodních procesů a cílů pro obnovu činnosti, jako jsou maximální doba, během níž musí být po výpadku obnoven systém nebo proces, maximální doba, během níž je ještě přijatelná ztráta dat v případě výpadku, a seznam významných aktiv,

- 2. identifikace záložního systému, přístupu k infrastruktuře informačních a komunikačních technologií, klíčového softwaru a údajů, které mají být po havárii nebo narušení činnosti obnoveny,

- 3. popis řešení závažné události ovlivňující kontinuitu a narušení činnosti, například selhání kritických systémů, ztrátu klíčových údajů, nepřístupnost provozoven a ztrátu klíčových osob,

- 4. informaci o četnosti, s jakou žadatel hodlá testovat plány zajištění plynulého výkonu činností a trvalého fungování žadatele a obnovy po havárii, včetně toho, jakým způsobem budou výsledky těchto testů zdokumentovány,

- 5. popis opatření k omezení dopadů, která žadatel přijme v případech ukončení poskytování platebních služeb nebo vydávání elektronických peněz, zajišťujících provedení dosud neprovedených platebních transakcí a ukončení stávajících závazků ze smluv s uživateli a držiteli a

- 6. pravidla pro zastupování vedoucích osob a osob s klíčovou funkcí,

- i) popisem opatření k zachování provozu popis opatření k zajištění plynulého výkonu činností a trvalého fungování žadatele, včetně identifikace kritických operací, politik a plánů zachování provozu informačních a komunikačních technologií, plánů reakce a obnovy v oblasti informačních a komunikačních technologií, popisu postupů pro pravidelné testování a přezkum těchto plánů podle nařízení Evropského parlamentu a Rady (EU) 2022/2554,

- j) popisem opatření proti legalizaci výnosů z trestné činnosti a financování terorismu popis vnitřních kontrolních mechanismů, které žadatel zavedl nebo zavede ke splnění povinností v této oblasti, a souvisejících analýz a opatření, obsahující

@@ -248,7 +238,7 @@

- i) informace o citlivých údajích o platbách,

- j) popis opatření k zajištění kontinuity,

- j) popis opatření k zachování provozu,

- k) informace o sběru statistických dat,

@@ -262,7 +252,13 @@

- p) popis mechanismů pro vnitřní správu a řízení a vnitřní kontrolu podle přílohy č. 5 k této vyhlášce,

- q) vnitřní předpis či vnitřní předpisy obsahující informace k posouzení splnění požadavků na hodnocení rizik, kontrolních a bezpečnostních opatření a o informačních a komunikačních systémech podle přílohy č. 6 k této vyhlášce,

- q) popis rizik a opatření k jejich řízení zahrnující

- 1. podrobné hodnocení rizik souvisejících s platebními službami, které žadatel poskytuje nebo hodlá poskytovat, a to s ohledem na plánované technické zabezpečení poskytování těchto platebních služeb, včetně hodnocení rizika podvodného jednání, a bezpečnostní a kontrolní opatření a postupy ke zmírnění identifikovaných rizik a k ochraně držitelů elektronických peněz nebo uživatelů platebních služeb před těmito riziky,

- 2. popis systému řízení rizik žadatele podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554, a to včetně případů, kdy žadatel hodlá svěřit výkon některé provozní činnosti jiné osobě, a

- 3. vnitřní předpis nebo předpisy, kterými bude žadatel zajišťovat provádění bezpečnostních a kontrolních opatření a postupů ke zmírnění rizik podle bodu 1 a ze kterých bude zřejmé naplnění požadavků podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554,

- r) identifikační údaje auditora, který provádí u žadatele povinný audit podle zákona o auditorech,

@@ -320,13 +316,19 @@

- g) informace o sběru statistických dat,

- h) popis opatření k zajištění kontinuity,

- h) popis opatření k zachování provozu,

- i) údaje o vedoucích osobách podle přílohy č. 4 k této vyhlášce,

- j) popis mechanismů pro vnitřní správu a řízení a vnitřní kontrolu podle přílohy č. 5 k této vyhlášce,

- k) vnitřní předpis či vnitřní předpisy obsahující informace k posouzení splnění požadavků na hodnocení rizik, kontrolních a bezpečnostních opatření a o informačních a komunikačních systémech podle přílohy č. 6 k této vyhlášce,

- k) popis rizik a opatření k jejich řízení zahrnující

- l) pojistná smlouva, návrh smlouvy nebo dokument prokazující vůli pojišťovny takovou smlouvu uzavřít, a to nejpozději k okamžiku zahájení činnosti správce informací o platebním účtu, nebo dokument obdobné povahy o poskytnutí záruky podle § 42 odst. 1 písm. c) a § 46 odst. 1 a 2 zákona a vstupní data a způsob výpočtu výše minimálního limitu pojistného plnění z pojištění odpovědnosti za škodu způsobenou při výkonu povolání nebo minimální výše srovnatelného zajištění, včetně hodnoty indikátoru rizikového profilu, indikátoru typu činnosti a indikátoru rozsahu činnosti, podle vyhlášky upravující některé podmínky výkonu činnosti osob povolovaných podle zákona, a

@@ -374,7 +376,7 @@

- i) informace o sběru statistických dat v oblasti bezpečnostních a provozních rizik,

- j) popis opatření k zajištění kontinuity,

- j) popis opatření k zachování provozu,

- k) informace k posouzení důvěryhodnosti žadatele,

@@ -386,7 +388,13 @@

- o) popis mechanismů pro vnitřní správu a řízení a vnitřní kontrolu podle přílohy č. 5 k této vyhlášce,

- p) vnitřní předpis či vnitřní předpisy obsahující informace k posouzení splnění požadavků na hodnocení rizik, kontrolních a bezpečnostních opatření a o informačních a komunikačních systémech podle přílohy č. 6 k této vyhlášce,

- p) popis rizik a opatření k jejich řízení zahrnující

- q) dokumenty o výši počátečního kapitálu a doklady prokazující původ finančních zdrojů žadatele, hodlá-li žadatel v rámci činností podle § 8 odst. 1 písm. b) zákona poskytovat spotřebitelský úvěr podle zákona o spotřebitelském úvěru, a

@@ -454,7 +462,7 @@

- j) informace o citlivých údajích o platbách,

- k) popis opatření k zajištění kontinuity,

- k) popis opatření k zachování provozu,

- l) informace o sběru statistických dat,

@@ -466,7 +474,13 @@

- p) popis mechanismů pro vnitřní správu a řízení a vnitřní kontrolu podle přílohy č. 5 k této vyhlášce,

- q) popis rizik a opatření k jejich řízení zahrnující

- r) identifikační údaje auditora, který provádí nebo bude provádět povinný audit podle zákona o auditorech u žadatele,

@@ -524,7 +538,7 @@

- i) informace o sběru statistických dat v oblasti bezpečnostních a provozních rizik,

- j) popis opatření k zajištění kontinuity,

- j) popis opatření k zachování provozu,

- k) informace k posouzení důvěryhodnosti žadatele,

@@ -536,7 +550,13 @@

- o) popis mechanismů pro vnitřní správu a řízení a vnitřní kontrolu podle přílohy č. 5 k této vyhlášce,

- p) popis rizik a opatření k jejich řízení zahrnující

- q) dokumenty o výši počátečního kapitálu a doklady prokazující původ finančních zdrojů žadatele, hodlá-li žadatel v rámci činností podle § 67 odst. 1 písm. d) zákona poskytovat spotřebitelský úvěr podle zákona o spotřebitelském úvěru, a

@@ -840,7 +860,7 @@

- 2. vysvětlení hlavních příjmů a výdajů, závazků a dlouhodobých aktiv a

- 3. schéma toku peněžních prostředků prováděné platební transakce,

- 3. schéma a podrobný rozpis odhadovaných peněžních toků (cash flow),

- d) v případě platební instituce, instituce elektronických peněz nebo poskytovatele platebních služeb malého rozsahu nebo vydavatele elektronických peněz malého rozsahu podle § 59 odst. 3 a § 100 odst. 3 zákona výši a složení počátečního kapitálu, výši a složení kapitálu podle vyhlášky upravující některé podmínky výkonu činnosti osob povolovaných podle zákona,

@@ -870,7 +890,7 @@

- 2. údaje o výši podílu na základním kapitálu nebo hlasovacích právech vyjádřené v procentech a absolutní hodnotou (dále jen „údaj o výši podílu“) nebo popis jiné formy uplatňování významného vlivu na žadateli, včetně uvedení, zda je podíl nabýván přímo nebo nepřímo; v případě nepřímého podílu uvedení osoby, jejímž prostřednictvím je podíl nabýván,

- 3. strategický záměr zapojení podle § 19 odst. 1 písm. e), nejedná-li se o kvalifikovanou účast na poskytovateli platebních služeb malého rozsahu, vydavateli elektronických peněz malého rozsahu nebo na poskytovateli služby dynamické směny měn,

- 3. strategický záměr zapojení podle § 17 odst. 1 písm. e), nejedná-li se o kvalifikovanou účast na poskytovateli platebních služeb malého rozsahu, vydavateli elektronických peněz malého rozsahu nebo na poskytovateli služby dynamické směny měn,

- 4. informace k posouzení důvěryhodnosti,

@@ -878,7 +898,7 @@

- 6. výpis z obchodního rejstříku nebo jiné obdobné evidence podnikatelů, který nesmí být starší 3 měsíců, jde-li o právnickou osobu nebo podnikající fyzickou osobu,

- 7. prohlášení související s kvalifikovanou účastí podle § 19 odst. 1 písm. i),

- 7. prohlášení související s kvalifikovanou účastí podle § 17 odst. 1 písm. i),

- 8. informace o finančním a personálním propojení osoby s kvalifikovanou účastí s jinou právnickou osobou, které obsahují přehled právnických osob, které osoba s kvalifikovanou účastí řídí nebo nad nimiž vykonává kontrolu nebo které osobu s kvalifikovanou účastí ovládají, a za každou tuto právnickou osobu identifikační údaje, předmět činnosti, status, popis úpadkových nebo podobných řízení a údaje o výši podílu, nebo popis jiné formy uplatňování významného vlivu na řízení této právnické osoby,

@@ -918,7 +938,7 @@

- 2. pokud podléhá dohledu v oblasti obezřetného podnikání a ochrany zákazníků, stanovisko příslušného orgánu, který nad ní vykonává dohled, k záměru této osoby účastnit se v České republice majetkově na činnosti instituce a k možné výměně informací nezbytných pro výkon dohledu nad žadatelem.

- i) má-li být kvalifikovaná účast nabyta do majetku ve svěřenském fondu nebo v jiné jednotce bez právní subjektivity, totožnost osob spravujících majetek a osob, které jsou zakladateli takového příjemci plnění z majetku, a dokument o založení a řízení subjektu, včetně jeho investiční politiky, a

- i) má-li být kvalifikovaná účast nabyta do majetku ve svěřenském fondu nebo v jiné jednotce bez právní osobnosti, totožnost osob spravujících majetek a osob, které jsou zakladateli takového příjemci plnění z majetku, a dokument o založení a řízení subjektu, včetně jeho investiční politiky, a

- j) je-li touto osobou regulovaná instituce, žadatel místo údajů a dokladů podle písmene d) bodu 4 a písm. e) bodu 3 může předložit potvrzení orgánu dohledu vykonávajícího dohled nad touto regulovanou institucí, že se jedná o osobu podléhající jeho dohledu, jejíž důvěryhodnost tento orgán prověřil, a nemá žádné aktuální poznatky svědčící o její nedůvěryhodnosti.

@@ -930,7 +950,7 @@

- a) identifikační údaje,

- b) doklady k posouzení důvěryhodnosti,

- b) informace k posouzení důvěryhodnosti,

- c) přehled vykonávaných funkcí ve volených orgánech a dalších funkcí v jiných právnických osobách, do kterých byla vedoucí osoba jmenována nebo jinak povolána, za období posledních 10 let, a za každou z těchto právnických osob identifikační údaje, předmět činnosti, označení vykonávané funkce, období výkonu této funkce a dále uvedení, zda hodlá vedoucí osoba vykonávat v této právnické osobě uvedenou funkci souběžně s výkonem funkce vedoucí osoby žadatele a zda se jedná o funkci výkonného nebo nevýkonného člena,

@@ -958,51 +978,17 @@

- e) popis postupů k řízení střetů zájmů a identifikace vzájemně neslučitelných funkcí,

- f) hodlá-li žadatel svěřit výkon některé významné provozní činnosti vztahující se k poskytování platebních služeb nebo vydávání, distribuci a zpětné výměně elektronických peněz jiné osobě, též popis způsobu, jakým je zajištěna účinnost opatření ke zmírnění rizik vymezených v seznamu podle písmene a), včetně zajištění kontinuity poskytovaných služeb, a popis způsobu sledování a kontroly této činnosti z důvodu zachování úrovně kvality systému vnitřní kontroly, včetně popisu pravidel pro výběr této osoby,

- f) hodlá-li žadatel svěřit výkon některé významné provozní činnosti vztahující se k poskytování platebních služeb nebo vydávání, distribuci a zpětné výměně elektronických peněz jiné osobě, též popis způsobu, jakým je zajištěna účinnost opatření ke zmírnění rizik vymezených v seznamu podle písmene a), včetně zachování provozu poskytovaných služeb, a popis způsobu sledování a kontroly této činnosti z důvodu zachování úrovně kvality systému vnitřní kontroly, včetně popisu pravidel pro výběr této osoby,

- g) popis způsobu sledování a kontroly pověřených zástupců a poboček v rámci systému vnitřní kontroly, včetně přehledu kontrol na dálku a kontrol na místě, které žadatel hodlá alespoň jednou ročně v pobočkách a u pověřených zástupců provádět, a informace četnosti jejich provádění a způsobu zajištění,

- h) popis vnitřní správy a řízení a vnitřní kontroly skupiny, je-li žadatel osobou ovládanou regulovanou institucí, a

- i) v případě platební instituce, správce informací o platebním účtu nebo instituce elektronických peněz popis postupu pro řešení stížností a reklamací držitelů elektronických peněz nebo uživatelů platebních služeb souvisejících s bezpečností a pro přijímání souvisejících opatření, včetně uvedení kontaktního místa, adresy elektronické pošty a identifikačních údajů osob a údaje o útvarech, které mají v působnosti poskytování pomoci držitelům elektronických peněz nebo uživatelům platebním služeb v případě výskytu stížností a reklamací.

Příloha č. 6 k vyhlášce č. 1/2022 Sb.

Informace o hodnocení rizik, kontrolních a bezpečnostních opatřeních a o informačních a komunikačních systémech

Těmito informacemi jsou alespoň:

- a) podrobné hodnocení rizik souvisejících s platebními službami, které žadatel poskytuje nebo hodlá poskytovat, včetně hodnocení rizika podvodného jednání, zahrnující bezpečnostní a kontrolní opatření a postupy ke zmírnění identifikovaných rizik a k ochraně držitelů elektronických peněz nebo uživatelů platebních služeb před těmito riziky,

- b) popis informačních a komunikačních systémů (dále jen „IKT systémy“), který zahrnuje

- 1. popis architektury IKT systémů a jejich síťových prvků,

- 2. popis IKT systémů sloužících k podpoře podnikatelské činnosti,

- 3. popis podpůrných IKT systémů používaných pro organizaci a správu,

- 4. informaci, zda žadatel, nebo skupina, jejíž je součástí, tyto systémy již používá, případně předpokládaný termín jejich zavedení do používání,

- c) informace o druzích oprávněných připojení ze strany smluvních partnerů, osob ze skupiny, jejíž je žadatel součástí, pracovníků s dálkovým výkonem práce a dalších osob, včetně odůvodnění těchto připojení,

- d) u každého druhu připojení podle písmene c) popis zavedených logických bezpečnostních opatření a upřesnění kontrol prováděných v této oblasti žadatelem,

- e) popis opatření týkajících se logické bezpečnosti a mechanismů, jimiž se řídí vnitřní přístup do IKT systémů, a která zahrnují opatření technické a organizační povahy, četnost každého opatření, zda je vykonáváno v reálném čase a jak je řešena otázka oddělení prostředí držitelů elektronických peněz nebo uživatelů platebních služeb v případech sdílení IKT systémů,

- f) popis opatření týkajících se fyzické bezpečnosti a mechanismů obchodních prostor a datového centra žadatele, jako jsou kontroly přístupu a zabezpečení prostor,

- g) popis zabezpečení platebních procesů zahrnujících procedury ověřování držitelů elektronických peněz nebo uživatelů platebních služeb a všech souvisejících platebních nástrojů používaných pro náhled a transakční přístup,

- h) popis, jak je zajištěno bezpečné doručování informací oprávněnému držiteli elektronických peněz nebo uživateli platebních služeb a integrita ověřovacích faktorů v okamžiku prvního i dalších přihlášení,

- i) popis postupů, které žadatel uplatňuje za účelem analyzování transakcí a odhalování podezřelých nebo neobvyklých transakcí,

- j) podrobné hodnocení prokazující, že systém řízení rizik je ucelený, rizika byla řádně identifikována a vyhodnocena a bezpečnostní a kontrolní opatření a postupy ke zmírnění rizik, zahrnuté v hodnocení rizik podle písmene a), identifikovaná rizika náležitě řeší a

- k) seznam hlavních písemných postupů týkajících se IKT systémů žadatele.

^1) Čl. 5 odst. 1, 4 a 5, čl. 11 odst. 3, 4 a 6 až 8, čl. 32 odst. 2, čl. 33 a čl. 111 odst. 1 směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES.

- h) popis vnitřní správy a řízení a vnitřní kontroly skupiny, je-li žadatel osobou ovládanou regulovanou institucí,

- j) popis zásad pro využívání služeb informačních a komunikačních technologií podle kapitoly V, oddílu I nařízení Evropského parlamentu a Rady (EU) 2022/2554.

^2) § 13 odst. 2 a 3 zákona č. 269/1994 Sb., o Rejstříku trestů, ve znění pozdějších předpisů.

2022-06-30

Vyhláška č. 1/2022 Sb.

původní verze Text k tomuto datu