Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu

Čl. I

Vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu, se mění takto:

• 1. § 1 včetně nadpisu a poznámky pod čarou č. 1 zní:

㤠1

Předmět úpravy

Tato vyhláška zapracovává příslušné předpisy Evropské unie^1) a upravuje

• a) způsob plnění některých požadavků na řídicí a kontrolní systém platební instituce, instituce elektronických peněz a správce informací o platebním účtu,

• b) způsob plnění požadavků na systém řízení bezpečnostních a provozních rizik a systém vyřizování stížností a reklamací u poskytovatele platebních služeb malého rozsahu a vydavatele elektronických peněz malého rozsahu,

• c) pravidla pro výpočet výše kapitálu a kapitálové přiměřenosti platební instituce a instituce elektronických peněz včetně jednotlivých přístupů, které se mohou při výpočtu kapitálové přiměřenosti uplatňovat,

• d) minimální limit pojistného plnění z pojištění a minimální výši srovnatelného zajištění pro platební instituci, instituci elektronických peněz a správce informací o platebním účtu.

^1) Čl. 4 bod 46, čl. 8 odst. 2, čl. 9, čl. 9 odst. 1 /část/ a čl. 9 odst. 2 směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES. Čl. 5 odst. 2, čl. 5 odst. 3, čl. 5 odst. 4 a čl. 5 odst. 6 směrnice Evropského parlamentu a Rady 2009/110/ES ze dne 16. září 2009 o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetnostním dohledu nad touto činností, o změně směrnic 2005/60/ES a 2006/48/ES a o zrušení směrnice 2000/46/ES.“.

• 1. Část druhá včetně nadpisu zní:

„ČÁST DRUHÁ

ZPŮSOB PLNĚNÍ NĚKTERÝCH POŽADAVKŮ

HLAVA I

ZPŮSOB PLNĚNÍ NĚKTERÝCH POŽADAVKŮ NA ŘÍDICÍ A KONTROLNÍ SYSTÉM PLATEBNÍ INSTITUCE

(K § 20 odst. 4 zákona)

§ 2

Vnitřní předpisy

(1) Platební instituce zapracuje požadavky stanovené na řídicí a kontrolní systém a postupy k jejich naplňování do svých vnitřních předpisů, kterými se rozumí strategie, organizační řád, plány a další vnitřně stanovené zásady a postupy platební instituce.

(2) Platební instituce stanoví a uplatňuje postup pro přijímání a změny vnitřních předpisů a zajistí, aby vnitřní předpisy byly pravidelně vyhodnocovány a případně upravovány.

(3) Platební instituce zajistí, aby vnitřní předpisy byly v souladu s údaji uvedenými v žádosti o udělení povolení k činnosti platební instituce nebo jejích přílohách, na jejichž základě bylo povolení k činnosti uděleno, případně změněnými podle § 11 zákona.

(4) Platební instituce zohlední ve vnitřních předpisech obecné pokyny a doporučení vydané Evropským orgánem pro bankovnictví, Evropským orgánem pro cenné papíry a trhy, Evropským orgánem pro pojišťovnictví a zaměstnanecké penzijní pojištění nebo Společným výborem evropských orgánů dohledu a určené poskytovatelům platebních služeb.

(5) Platební instituce zajistí, aby všichni pracovníci byli s příslušnými vnitřními předpisy a jejich případnými změnami v potřebném rozsahu seznámeni a postupovali v souladu s nimi.

§ 3

Schvalovací a rozhodovací procesy

Platební instituce zajistí, aby byla srozumitelně stanovena oprávnění ke schvalování a podepisování dokumentů v rámci činnosti platební instituce a aby veškeré relevantní schvalovací a rozhodovací procesy a kontrolní činnosti včetně souvisejících působností a pravomocí v rámci činnosti platební instituce a jejích vnitřních předpisů bylo možné zaznamenávat, uchovávat a zpětně vysledovat a rekonstruovat. Za tímto účelem vhodně upraví také své informační a komunikační systémy.

§ 4

Systém řízení bezpečnostních a provozních rizik

(1) Platební instituce zavede k řízení bezpečnostních a provozních rizik souvisejících s platebními službami, které poskytuje, opatření pro zmírnění těchto rizik a kontrolní mechanismy. Platební instituce stanoví a udržuje účinné postupy řízení bezpečnostních a provozních incidentů, a to i pro odhalování a klasifikaci závažných bezpečnostních a provozních incidentů.

(2) Platební instituce v rámci systému řízení bezpečnostních a provozních rizik řídí vždy také rizika v oblasti informačních a komunikačních technologií a bezpečnosti, která zahrnují alespoň

• a) rizika ztráty v důsledku narušení důvěrnosti dat, integrity systémů a dat nebo dostupnosti systémů a dat nebo v důsledku neschopnosti změnit informační a komunikační systémy v přiměřeném čase a s přiměřenými náklady, pokud se mění prostředí nebo činnosti,

• b) bezpečnostní rizika vyplývající z nedostatečnosti nebo selhání vnitřních procesů nebo z vnějších událostí včetně kybernetických útoků nebo z nedostatečného fyzického zabezpečení.

(3) Podrobnosti k řízení rizik v oblasti informačních a komunikačních technologií a bezpečnosti, kterým platební instituce je nebo by mohla být vystavena v souvislosti s jí poskytovanými platebními službami, jsou uvedeny v příloze k této vyhlášce.

(4) Platební instituce vypracuje politiku bezpečnosti informací, která vymezuje zásady a pravidla na ochranu důvěrnosti, integrity a dostupnosti dat a informací platební instituce a uživatelů platebních služeb. Platební instituce upraví ve svých vnitřních předpisech bezpečnostní opatření v souladu s podrobnostmi k řízení rizik podle přílohy k této vyhlášce.

§ 5

Systém vyřizování stížností a reklamací

(1) Platební instituce zavede a uplatňuje postupy pro nakládání se stížnostmi a reklamacemi uživatelů platebních služeb, které

• a) jsou schváleny osobou, která skutečně řídí činnost platební instituce v oblasti poskytování platebních služeb, přičemž tato osoba také průběžně kontroluje jejich dodržování,

• b) jsou stanoveny ve vnitřním předpisu,

• c) umožňují jejich řádné prošetřování a zajišťují identifikaci a zmírňování možných střetů zájmů při nakládání s nimi.

(2) Platební instituce interně eviduje v souladu se stanovenými lhůtami stížnosti a reklamace a nakládání s nimi, a to způsobem splňujícím požadavky na bezpečnost informací.

(3) Platební instituce nastaví systém pro vyřizování stížností a reklamací tak, že jí umožňuje poskytovat bez zbytečného odkladu České národní bance na vyžádání informace o stížnostech a reklamacích a o nakládání s nimi včetně konkrétních postupů jejich vyřizování.

(4) Platební instituce průběžně analyzuje údaje o stížnostech a reklamacích a výsledcích jejich vyřízení s cílem zabezpečit identifikaci a řešení případných systémových nedostatků a možných rizik, alespoň

• a) analyzuje důvody jednotlivých stížností a reklamací a identifikuje hlavní příčiny jednotlivých druhů stížností a reklamací,

• b) posuzuje, zda identifikované hlavní příčiny mohou ovlivnit i jiné procesy, služby nebo produkty, včetně těch, kterých se stížnost nebo reklamace přímo netýká,

• c) v případě systémových nedostatků vždy provádí odstranění identifikovaných příčin stížností a reklamací.

(5) Platební instituce

• a) poskytne uživateli platebních služeb na požádání a vždy v souvislosti s potvrzením přijetí stížnosti nebo reklamace písemnou informaci o svém postupu vyřizování stížnosti nebo reklamace, a to v českém jazyce nebo v jiném jazyce, pokud se na něm s uživatelem platebních služeb dohodla,

• b) zpřístupní uživatelům platebních služeb a veřejnosti informace podle písmene c) prostřednictvím adres elektronické pošty uživatelů platebních služeb nebo jiným způsobem dohodnutým s uživateli platebních služeb ve svých obchodních prostorách, a má-li zřízeny internetové stránky, také na nich, a to alespoň v českém jazyce,

• c) poskytuje srozumitelné, přesné a aktuální informace o postupu vyřizování stížností a reklamací, které zahrnují

• 1. podrobné údaje o tom, jak stížnost nebo reklamaci podat, zejména druh informací, které musí uživatel platebních služeb uvést, a kontaktní údaje osoby nebo útvaru platební instituce, kterým má být stížnost nebo reklamace zaslána,

• 1. informace o lhůtě, ve které bude uživatel platebních služeb vyrozuměn o vyřízení stížnosti, a o orientační lhůtě zpracování stížnosti nebo reklamace,

• 1. podstatné průběžné informace o zpracovávání stížnosti nebo reklamace,

• 1. informace o kontaktních údajích České národní banky, Kanceláře finančního arbitra a Kanceláře veřejného ochránce práv.

(6) Platební instituce

• a) vyvine úsilí, které lze po ní rozumně požadovat, aby získala a prověřila všechny relevantní důkazy a informace týkající se dané stížnosti nebo reklamace,

• b) komunikuje s uživatelem platebních služeb jednoduchým a srozumitelným způsobem,

• c) poskytuje odpovědi bez zbytečného odkladu a nejpozději ve lhůtách podle § 258 zákona; nemůže-li tyto lhůty dodržet, informuje uživatele platebních služeb o důvodech prodlení a termínu, kdy bude vyřízení stížnosti nebo reklamace dokončeno,

• d) při zaujetí stanoviska, které plně nevyhovuje požadavkům uživatele platebních služeb, v něm podrobně vysvětlí řešení stížnosti nebo reklamace a uvede informaci o možnosti uživatele platebních služeb na stížnosti nebo reklamaci trvat a obrátit se na Kancelář finančního arbitra, Českou národní banku a ve věcech práva na rovné zacházení a ochrany před diskriminací na Kancelář veřejného ochránce práv, přičemž součástí jsou kontaktní údaje daného orgánu, nebo na soud.

HLAVA II

ZPŮSOB PLNĚNÍ NĚKTERÝCH POŽADAVKŮ NA ŘÍDICÍ A KONTROLNÍ SYSTÉM INSTITUCE ELEKTRONICKÝCH PENĚZ

(K § 78 odst. 4 zákona)

§ 6

Pro instituci elektronických peněz se použijí § 2 až 5 obdobně.

HLAVA III

ZPŮSOB PLNĚNÍ NĚKTERÝCH POŽADAVKŮ NA ŘÍDICÍ A KONTROLNÍ SYSTÉM SPRÁVCE INFORMACÍ O PLATEBNÍM ÚČTU

(K § 48 odst. 4 zákona)

§ 7

(1) Pro správce informací o platebním účtu se použijí § 2 a 3 obdobně.

(2) Pro naplňování požadavků na systém řízení bezpečnostních a provozních rizik postupuje správce informací o platebním účtu obdobně podle § 4.

(3) Pro naplňování požadavků na vyřizování stížností a reklamací postupuje správce informací o platebním účtu obdobně podle § 5.

HLAVA IV

ZPŮSOB PLNĚNÍ POŽADAVKŮ NA SYSTÉM ŘÍZENÍ BEZPEČNOSTNÍCH A PROVOZNÍCH RIZIK A SYSTÉM VYŘIZOVÁNÍ STÍŽNOSTÍ A REKLAMACÍ U POSKYTOVATELE PLATEBNÍCH SLUŽEB MALÉHO ROZSAHU

(K § 59 odst. 4 zákona)

§ 8

(1) Poskytovatel platebních služeb malého rozsahu promítne požadavky stanovené na systém řízení bezpečnostních a provozních rizik a systém vyřizování stížností a reklamací do svých vnitřních předpisů a pro naplňování požadavků na tyto vnitřní předpisy postupuje obdobně podle § 2 odst. 2 až 5.

(2) Pro naplňování požadavků na schvalovací a rozhodovací procesy týkající se systému řízení bezpečnostních a provozních rizik a systému vyřizování stížností a reklamací postupuje poskytovatel platebních služeb malého rozsahu obdobně podle § 3.

(3) Pro naplňování požadavků na systém řízení bezpečnostních a provozních rizik souvisejících s poskytováním platebních služeb postupuje poskytovatel platebních služeb malého rozsahu obdobně podle § 4.

(4) Pro naplňování požadavků na systém vyřizování stížností a reklamací postupuje poskytovatel platebních služeb malého rozsahu obdobně podle § 5.

HLAVA V

ZPŮSOB PLNĚNÍ POŽADAVKŮ NA SYSTÉM ŘÍZENÍ BEZPEČNOSTNÍCH A PROVOZNÍCH RIZIK A SYSTÉM VYŘIZOVÁNÍ STÍŽNOSTÍ A REKLAMACÍ U VYDAVATELE ELEKTRONICKÝCH PENĚZ MALÉHO ROZSAHU

(K § 100 odst. 4 zákona)

§ 9

(1) Vydavatel elektronických peněz malého rozsahu promítne požadavky stanovené na systém řízení bezpečnostních a provozních rizik a systém vyřizování stížností a reklamací do svých vnitřních předpisů a pro naplňování požadavků na tyto vnitřní předpisy postupuje obdobně podle § 2 odst. 2 až 5.

(2) Pro naplňování požadavků na schvalovací a rozhodovací procesy týkající se systému řízení bezpečnostních a provozních rizik a systému vyřizování stížností a reklamací postupuje vydavatel elektronických peněz malého rozsahu obdobně podle § 3.

(3) Pro naplňování požadavků na systém řízení bezpečnostních a provozních rizik postupuje vydavatel elektronických peněz malého rozsahu obdobně podle § 4.

(4) Pro naplňování požadavků na systém vyřizování stížností a reklamací postupuje vydavatel elektronických peněz malého rozsahu obdobně podle § 5.“.

Poznámky pod čarou č. 2 až 4 se zrušují.

• 1. V § 27 odstavec 4 zní:

„(4) Platební instituce, která vykonává i jiné podnikatelské činnosti než činnost, k jejímuž výkonu je oprávněna na základě povolení uděleného podle zákona, (dále jen „hybridní platební instituce“) nesmí do kapitálu určeného podle odstavce 1 zahrnout ty položky nebo jejich části, které jsou použity pro výkon jiných činností, než jsou činnosti, k jejichž výkonu je oprávněna na základě povolení uděleného podle zákona.“.

• 1. V § 34 se vkládá nový odstavec 1, který zní:

„(1) Kapitál se vypočítá obdobně jako kapitál podle čl. 4 odst. 1 bodu 118 nařízení.“.

Dosavadní odstavce 1 až 5 se označují jako odstavce 2 až 6.

• 1. V § 34 odstavec 4 zní:

„(4) Instituce elektronických peněz, která vykonává i jiné podnikatelské činnosti než činnost, k jejímuž výkonu je oprávněna na základě povolení uděleného podle zákona, nesmí do kapitálu určeného podle odstavce 1 zahrnout ty položky nebo jejich části, které jsou použity pro výkon jiných činností, než jsou činnosti, k jejichž výkonu je oprávněna na základě povolení uděleného podle zákona.“.

• 1. Doplňuje se příloha, která zní:

„Příloha k vyhlášce č. 7/2018 Sb.

Podrobnosti k řízení rizik v oblasti informačních a komunikačních technologií a bezpečnosti

Přiměřenost

• 1. Platební instituce dodržuje požadavky na řízení rizik v oblasti informačních a komunikačních technologií a bezpečnosti (dále jen „rizika IKT a bezpečnosti“) způsobem, který je přiměřený velikosti platební instituce, jejímu organizačnímu uspořádání a povaze, rozsahu, složitosti a rizikovosti služeb a produktů, které platební instituce poskytuje nebo zamýšlí poskytovat.

Strategické a operativní řízení, organizační uspořádání

• 1. Osoba, která skutečně řídí činnost platební instituce v oblasti poskytování platebních služeb (dále jen „vedoucí pracovník“) zajistí, aby platební instituce měla zaveden adekvátní rámec vnitřní správy a řízení a vnitřní kontroly pro rizika IKT a bezpečnosti. Vedoucí pracovník srozumitelně vymezí role a povinnosti pro funkce v oblasti informačních a komunikačních technologií, řízení rizik IKT a bezpečnosti včetně bezpečnosti informací a plynulého výkonu činností a trvalého fungování platební instituce, a to i pro sebe.

• 1. Vedoucí pracovník zajistí, aby počet pracovníků platební instituce a jejich odborná způsobilost a zkušenosti byly přiměřené pro průběžnou podporu provozu platební instituce v oblasti informačních a komunikačních technologií, řízení rizik IKT a bezpečnosti a pro zajištění realizace její strategie v oblasti informačních a komunikačních technologií a aby tomu odpovídal přidělený rozpočet. Platební instituce zajistí, aby všichni pracovníci alespoň jednou ročně absolvovali vhodné školení odborné přípravy se zaměřením na rizika IKT a bezpečnosti, včetně bezpečnosti informací (bod 49).

• 1. V působnosti vedoucího pracovníka je stanovení a schvalování strategie platební instituce v oblasti informačních a komunikačních technologií v rámci celkové strategie platební instituce, dohled nad implementací této strategie a vytvoření účinného rámce řízení rizik IKT a bezpečnosti.

• 1. Strategie v oblasti informačních a komunikačních technologií je v souladu s celkovou strategií platební instituce a vymezuje

• a) jak by se měly informační a komunikační technologie platební instituce rozvíjet, aby účinně podporovaly celkovou strategii platební instituce, včetně vymezení vývoje organizačního uspořádání, změn v systémech informačních a komunikačních technologií (dále jen „IKT systémy“) a klíčových vztahů závislosti na třetích stranách,

• b) plánovanou strategii a vývoj architektury informačních a komunikačních technologií, včetně vztahů závislosti na třetích stranách,

• c) srozumitelné cíle v oblasti bezpečnosti informací se zaměřením na IKT systémy a služby, pracovníky a procesy v oblasti informačních a komunikačních technologií.

• 1. Platební instituce stanoví soubory akčních plánů, které obsahují opatření nutná k naplnění strategie v oblasti informačních a komunikačních technologií. S těmito plány jsou seznámeni všichni příslušní pracovníci a další příslušné osoby včetně dodavatelů a externích poskytovatelů služeb nebo činností, kterými se rozumí poskytovatelé outsourcingu, poskytovatelé v rámci skupiny, jejímž je platební instituce členem, nebo jiní externí poskytovatelé (dále jen „externí poskytovatelé“), pokud jsou pro ně použitelné a významné. Platební instituce akční plány pravidelně přezkoumává a zajišťuje jejich soustavnou relevanci a vhodnost. Platební instituce zavede procesy ke sledování a vyhodnocování účinnosti provádění její strategie v oblasti informačních a komunikačních technologií.

• 1. Platební instituce zajistí, že opatření ke zmírnění rizik vymezená v rámci systému řízení rizik jsou účinná i v případě, že jakékoli provozní funkce poskytování platebních služeb nebo IKT systémy či služby v oblasti informačních a komunikačních technologií (dále jen „IKT služby“) jsou zajišťovány externě.

• 1. Pro plynulé využívání IKT systémů a IKT služeb platební instituce zajistí, že smlouvy a obdobná ujednání o úrovni služeb se všemi externími poskytovateli zahrnují

• a) cíle a opatření související s bezpečností informací včetně konkrétních požadavků a kritérií; v tom vždy minimální požadavky na kybernetickou bezpečnost, specifikace životního cyklu dat platební instituce, veškeré požadavky týkající se šifrování dat, procesů zabezpečení sítě a sledování bezpečnosti a umístění datových center,

• b) provozní postupy a postupy pro řešení jednorázových událostí nebo řady souvisejících událostí neplánovaných platební institucí, která má nebo pravděpodobně bude mít nepříznivý dopad na integritu, dostupnost, důvěrnost nebo autenticitu služeb (dále jen „bezpečnostní a provozní incident“), včetně předávání na vyšší úroveň řízení a podávání zpráv.

• 1. Platební instituce sleduje a ujišťuje se, že externí poskytovatelé zajišťují požadovanou úroveň bezpečnostních cílů, opatření a provozních úkolů platební instituce, které externě zajišťují.

Systém řízení rizik IKT a bezpečnosti