Kwestie prawne
Estonian Legal Acts 2
Wymagania techniczne i procedury identyfikacji i weryfikacji danych z wykorzystaniem narzędzi informatycznych
Przyjęte w dniu 23.05.2018 r. nr 25
RT I, 25.05.2018, 17
wejście w życie 28.05.2018 r.
Regulacja została ustanowiona na podstawie § 14 ust. 8 oraz § 31 ust. 6 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Rozdział 1
Przepisy ogólne.
§ 1 Zakres regulacji.
Regulacja określa wymagania techniczne i tryb postępowania w zakresie identyfikacji tożsamości i sprawdzania danych przy użyciu narzędzi informatycznych, w tym określa wymagania dotyczące ujawniania informacji przez instytucje kredytowe i instytucje finansowe (zwane dalej usługodawcą), zasady proceduralne stosowane przy nawiązywaniu stosunków gospodarczych przy użyciu narzędzi informatycznych oraz przeprowadzaniu transakcji okazjonalnej, wymagania dotyczące czynności związanych z oświadczeniami woli stron transakcji, badaniem ankietowym oraz wywiadem w czasie rzeczywistym przeprowadzanym jako obowiązkowa procedura nawiązywania stosunków gospodarczych, warunki przetwarzania zdjęcia osoby, a także jakość przepływu informacji odzwierciedlających procedury z synchronizacją dźwięku i obrazu oraz wymagania dotyczące zapisu i odtwarzania nagrania.
§ 2. Warunki wstępne identyfikacji i weryfikacji danych
(1) Usługodawca musi przy identyfikacji i weryfikacji tożsamości za pomocą środków technologii informacyjnej stosować środki techniczne o wysokim stopniu niezawodności, które zapewniają niezawodną identyfikację tożsamości osoby i umożliwiają zapobieganie zmianom lub nadużyciom przekazywanych danych.
(2) Przy identyfikacji i weryfikacji tożsamości z wykorzystaniem środków technologii informacyjnej osoba fizyczna lub przedstawiciel prawny osoby prawnej, która chce nawiązać relację biznesową i przeprowadzić transakcję okazjonalną, o której mowa w podpunktach 1 i 2 § 31 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, musi korzystać z dokumentu przeznaczonego do cyfrowej weryfikacji tożsamości wydanego na podstawie ustawy o dokumentach tożsamości lub innych systemów e-identyfikacji o wysokim poziomie wiarygodności, które zostały ujęte w Regulacji (UE) nr. 910/2014 Parlamentu Europejskiego i Rady w sprawie usług zaufania niezbędnych do e-identyfikacji i e-transakcji na rynku wewnętrznym i które uchylają dyrektywę 1999/93/WE (Dz. Urz. UE L 257 , 28.08.2014, str. 73-114) na podstawie art. 9 wykazu opublikowanego w Dzienniku Urzędowym Unii Europejskiej, oraz urządzenia informatycznego ze sprawną kamerą, mikrofonem oraz sprzętem i oprogramowaniem niezbędnym do identyfikacji cyfrowej, a także połączenia internetowego o odpowiedniej jakości.
(3) Podczas identyfikacji i weryfikacji tożsamości usługodawca może korzystać z narzędzia informatycznego, które umożliwia porównywanie danych biometrycznych.
(4) Osoba fizyczna lub przedstawiciel prawny osoby prawnej identyfikuje się, wchodząc do systemu informatycznego wyznaczonego przez usługodawcę, a przy nawiązywaniu stosunków handlowych i dokonywaniu transakcji okazjonalnej potwierdza, że zapoznał się z informacjami na temat korzystania z narzędzi technologii informacyjnej na stronie internetowej usługodawcy lub w wyznaczonym systemie informatycznym i zgadza się na warunki identyfikacji i weryfikacji tożsamości przy użyciu narzędzi technologii informacyjnej.
(5) Osoba fizyczna lub przedstawiciel ustawowy osoby prawnej potwierdza przy nawiązywaniu stosunków gospodarczych i dokonywaniu transakcji okazjonalnej, że:
1) realizuje procedury określone w regulacji osobiście, z wyjątkiem przypadków przewidzianych w ust. 3 § 10 i ust. 3 § 11;
2) dane podane przez niego w ankiecie, o której mowa w § 10, oraz w trakcie wywiadu, o którym mowa w § 11, są prawidłowe i kompletne oraz jest świadomy konsekwencji podania nieprawdziwych, wprowadzających w błąd lub niepełnych informacji przy nawiązywaniu stosunków gospodarczych
3) spełnia warunki niezbędne do nawiązania relacji biznesowej nawiązanej przez usługodawcę i przeprowadzenia transakcji w sposób okazjonalny.
(6) Poza tym, co zostało wymienione w ust. 5, osoba fizyczna lub przedstawiciel prawny osoby prawnej korzystający z cyfrowego dowodu tożsamości e-rezydenta lub innego systemu e-identyfikacji o wysokim poziomie wiarygodności określonego w ust. 2 jest zobowiązany do:
1) wyrażenia zgody na stosowanie estońskich norm prawnych;
2) okazania usługodawcy przed kamerą strony z danymi osobowymi ważnego dokumentu podróży wydanego przez państwo obce.
§ 3. Nieudana identyfikacja i weryfikacja danych
(1) Identyfikację i weryfikację tożsamości przy nawiązywaniu stosunków gospodarczych z wykorzystaniem środków informatycznych uważa się za bezskuteczną, jeżeli:
1) osoba fizyczna lub przedstawiciel ustawowy osoby prawnej celowo podał dane, które nie odpowiadają danym identyfikacyjnym wprowadzonym do bazy dokumentów tożsamości lub nie pokrywają się z informacjami lub danymi uzyskanymi w wyniku zastosowania innych procedur;
2) w trakcie identyfikacji, ankiety lub wywiadu sesja wygasa lub zostaje przerwana, albo strumień informacji przekazujący zsynchronizowany dźwięk i obraz nie spełnia wymagań określonych w § 5;
3) osoba fizyczna lub przedstawiciel ustawowy osoby prawnej nie potwierdził postanowień ust. 4-6 § 2;
4) osoba fizyczna lub przedstawiciel prawny osoby prawnej odmawia wykonania poleceń usługodawcy określonych w ust. 2 i 3 § 7;
5) osoba fizyczna lub przedstawiciel prawny osoby prawnej korzysta z pomocy innej osoby bez zgody usługodawcy;
6) okoliczności wskazują na podejrzenie prania pieniędzy lub finansowania terroryzmu;
(2) Sesja określona w ust. 1 pkt 2 wygasa, jeżeli osoba fizyczna lub przedstawiciel prawny osoby prawnej w ciągu 15 minut nie wykona żadnej czynności w systemie informatycznym usługodawcy.
(3) W okolicznościach określonych w § 1 usługodawca nie spełni prośby osoby fizycznej lub przedstawiciela prawnego osoby prawnej o otwarcie rachunku lub dokonanie transakcji.
(4) W przypadku zaistnienia okoliczności określonych w ust. 1 i 6 § 1, usługodawca przekazuje zawiadomienie do Jednostki Analityki Finansowej.
[RT I, 04.12.2020, 6 - egz. 01.01.2021]
§ 4. Publikowanie informacji o wykorzystaniu narzędzi informatycznych
Usługodawca musi opublikować na swojej stronie internetowej lub w wyznaczonym systemie informatycznym informacje o technicznych możliwościach identyfikacji i weryfikacji tożsamości przy użyciu środków technologii informacyjnej. Publikowane informacje muszą zawierać co najmniej następujące fakty:
1) odniesienie do obowiązujących przepisów prawa;
2) informację, że identyfikacja i weryfikacja tożsamości przy użyciu środków informatycznych odbywa się w trybie przewidzianym w § 31 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;
3) ostrzeżenie, że identyfikacja i weryfikacja tożsamości nie zobowiązuje usługodawcy do nawiązania relacji biznesowych lub zapewnienia dostępności usług;
4) warunki, w których identyfikacja i weryfikacja tożsamości przy użyciu środków informatycznych jest uznawana za bezskuteczną.
Rozdział 2
Wymagania techniczne dla systemu informatycznego usługodawcy
§ 5. Minimalne wymagania dotyczące jakości strumienia informacji odzwierciedlającego zsynchronizowany dźwięk i obraz
(1) System informatyczny usługodawcy musi umożliwiać identyfikację cyfrową i podpis cyfrowy.
(2) Usługodawca musi sprawdzać jakość strumienia informacyjnego usługodawcy i w miarę możliwości klienta oraz zapewnić wyraźny, zapisywalny i odtwarzalny przekaz zsynchronizowanego dźwięku i obrazu w sposób umożliwiający jednoznaczne i wiarygodne zrozumienie tego, co jest przekazywane.
§ 6. Wymagania dotyczące zapisu i odtwarzalności zapisu
(1) Strumień informacji zawierający obraz i dźwięk jest zapisywany w sposób umożliwiający jego odtworzenie z taką samą jakością jak transmisja zsynchronizowanego dźwięku i obrazu, która miała miejsce pierwotnie.
(2) Strumień informacji zawierający obraz i dźwięk musi być zapisany wraz ze znacznikiem czasu, adresem IP klienta, osobą możliwą do zidentyfikowania, kodem osobowym osoby możliwej do zidentyfikowania, w przypadku braku kodu osobowego, datą i miejscem urodzenia oraz krajem zamieszkania, przy czym znacznik czasu musi być powiązany z danymi go dotyczącymi w taki sposób, że przy każdej kolejnej zmianie danych, osoba, czas, sposób i powód tej zmiany są możliwe do zidentyfikowania.
(3) Usługodawca zobowiązany jest do utrwalenia w sposób określony w ust. 2 danych gromadzonych za pomocą kwestionariusza oraz następujących procedur:
1) identyfikacji;
2) nieudanej identyfikacji i weryfikacji danych przewidzianych w § 3
3) przeprowadzenie obowiązkowego wywiadu w czasie rzeczywistym.
(4) Zapis rozpoczyna się od identyfikacji, a kończy po zgromadzeniu danych określonych w ust. 3 i przeprowadzeniu procedur.
(5) Nagrania zawierające dane i procedury określone w ust. 3 muszą być możliwe do odtworzenia w ciągu pięciu lat po zakończeniu stosunków handlowych.
(6) Usługodawca ma prawo zapisać badanie ankietowe określone w § 10 jako strumień informacyjny zawierający obraz i dźwięk.
§ 7. Wymagania dotyczące kadrowania twarzy i dokumentu osoby
(1) Podczas identyfikacji i sprawdzania tożsamości za pomocą środków informatycznych głowa i ramiona osoby muszą być widoczne i skadrowane. Twarz musi być bez cieni i odsłonięta oraz wyraźnie odróżniająca się i rozpoznawalna od tła i innych obiektów.
(2) Usługodawca może wydawać polecenia zmiany pozycji ciała osoby oraz umieszczenia osoby i dokumentu w kadrze, tak aby możliwa była identyfikacja osoby i weryfikacja identyfikacji, w tym podgląd danych lub obrazów wpisanych na dokumencie.
(3) Usługodawca ma prawo żądać zdjęcia nakrycia głowy lub twarzy oraz okularów lub wykonania poleceń związanych z zapewnieniem identyfikacji i weryfikacji tożsamości przez niego złożonych.
Rozdział 3
Zasady proceduralne stosowane przy nawiązywaniu stosunków gospodarczych i przeprowadzaniu transakcji okazjonalnej
§ 8. Zasady proceduralne stosowane przy nawiązywaniu stosunków gospodarczych i dokonywaniu transakcji okazjonalnej
(1) W oparciu o ryzyko usługi oraz kierując się zasadami proceduralnymi ustalonymi na podstawie § 14 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, usługodawca przygotowuje i wdraża instrukcje operacyjne dotyczące stosowania środków należytej staranności przy nawiązywaniu stosunków gospodarczych i przeprowadzaniu transakcji okazjonalnej.
(2) Pracownik usługodawcy, partner kooperacyjny usługodawcy lub system automatyczny przeprowadzi spełnienie przesłanek identyfikacji i weryfikacji tożsamości określonych w § 2 i 10 oraz badanie ankietowe.
(3) Usługodawca jest zobowiązany do wprowadzenia środków zapobiegających ryzyku manipulacji systemu automatycznego.
§ 9. Określenie klienta i profilu ryzyka
(1) Usługodawca przygotowuje profil klienta i jako jedną z jego części profil ryzyka na podstawie instrukcji obsługi i zasad proceduralnych określonych w ust. 1 § 8 oraz na podstawie ankiet, wywiadów i innych dostępnych informacji, a także systematycznego gromadzenia, analizy i procedur przeprowadzanych w celu weryfikacji danych.
(2) Usługodawca przygotowuje profil klienta i profil ryzyka w formie umożliwiającej pisemne odtworzenie.
§ 10. Ankieta
(1) W ankiecie należy podać adres zamieszkania osoby fizycznej, profil działalności, dziedzinę działalności, cel i charakter nawiązania stosunków gospodarczych, związek interesów gospodarczych lub rodzinnych tej osoby z Estonią, szacunkowe ilości usług, z których korzysta ta osoba, beneficjenta, a także czy jest to osoba zajmująca eksponowane stanowisko polityczne oraz inne ważne informacje.
(2) Za pomocą kwestionariusza usługodawca ustali nazwę firmy, kod rejestru, lokalizację i miejsca prowadzenia działalności przez osobę prawną, w tym oddziały znajdujące się za granicą, formę prawną osoby, zdolność prawną, przedstawicieli ustawowych i umownych, beneficjenta (beneficjentów) oraz, w stosownych przypadkach, czy beneficjent jest osobą zajmującą eksponowane stanowisko polityczne, stosunki gospodarcze z Estonią, państwami należącymi do Europejskiego Obszaru Gospodarczego i krajami trzecimi, najważniejszych partnerów biznesowych, profil działalności osoby prawnej, działalność główną i dodatkową, cel i charakter stosunków gospodarczych oraz inne ważne informacje.
(3) Za zgodą usługodawcy osoba fizyczna lub przedstawiciel prawny osoby prawnej może skorzystać z pomocy innej osoby w celu wyeliminowania problemów technicznych napotkanych podczas badania ankietowego.
(4) Pracownik usługodawcy jest zobowiązany do oceny odpowiedzi na ankietę i odzwierciedlenia zarówno oceny jak i okoliczności leżących u podstaw w profilu klienta i profilu ryzyka określonym w § 9.
(5) Usługodawca może zrezygnować z odrębnej ankiety, jeżeli podczas wywiadu gromadzone są informacje określone w ust. 1 i 2 oraz spełnione są wymagania określone w ust. 4. Usługodawca musi ustalić warunki rezygnacji z odrębnego badania ankietowego w regulaminie proceduralnym usługodawcy sporządzonym zgodnie z § 12.
§ 11. Wywiad
(1) W celu gromadzenia i sprawdzenia informacji i danych niezbędnych do określenia profilu klienta, pracownik usługodawcy przeprowadza wywiad, podczas którego zadaje częściowo ustrukturyzowane pytania w oparciu o wyniki badania ankietowego.
(2) Pracownik usługodawcy musi przeprowadzić obowiązkowy wywiad w czasie rzeczywistym przy nawiązywaniu stosunków handlowych.
(3) Za zgodą usługodawcy osoba fizyczna lub przedstawiciel ustawowy osoby prawnej może skorzystać z pomocy innej osoby w celu wyeliminowania problemów technicznych, które wystąpią podczas przeprowadzania wywiadu.
(4) Pracownik usługodawcy jest zobowiązany do oceny reakcji klienta podczas wywiadu, wiarygodności uzyskanych informacji i danych oraz spójności z informacjami lub danymi uzyskanymi w wyniku innych procedur, a także do odzwierciedlenia zarówno oceny, jak i okoliczności bazowych w profilu klienta i profilu ryzyka określonym w § 9.
§ 12. Zasady proceduralne dotyczące identyfikacji i weryfikacji danych z wykorzystaniem środków informatycznych
(1) Usługodawca jest obowiązany ustalić zasady proceduralne dotyczące identyfikacji i weryfikacji danych z wykorzystaniem narzędzi informatycznych, które obejmują co najmniej:
1) instrukcję operacyjną dotyczącą przeprowadzania procedury identyfikacji z wykorzystaniem narzędzi technologii informacyjnej, zawierającą wymagania dotyczące identyfikacji tożsamości i sprawdzania przekazanych danych;
2) instrukcję operacyjną przygotowania badania ankietowego;
3) instrukcję operacyjną dla usługodawcy w zakresie przygotowania i przeprowadzenia obowiązkowych pytań wywiadu w czasie rzeczywistym;
4) wymagania techniczne dotyczące jakości strumienia informacji odzwierciedlającego zsynchronizowany dźwięk i obraz oraz jego kontroli;
5) wymagania dotyczące gromadzenia i aktualizacji przekazanych danych oraz przechowywania danych i nagrań;
6) środki kontroli przestrzegania instrukcji obsługi określonych w pkt 1-5;
(2) Pracownik usługodawcy jest zobowiązany do dokonania oceny wyników procedur określonych w § 2, 10 i 11 oraz przedstawienia propozycji dotyczącej stosowanego wobec klienta systemu monitorowania stosunków gospodarczych. Ocena pracownika usługodawcy jest podstawą do podjęcia decyzji o nawiązaniu relacji biznesowej.
Read and download the full act here - (https://www.riigiteataja.ee/en/eli/509012019003/consolide)
Zonda zmienia się w zondacrypto!
Cały czas pracujemy nad nowymi produktami i usługami dla naszych użytkowników. Rozwijamy się w kierunku szerszego ekosystemu kryptowalutowego. Naturalnym krokiem, który odzwierciedla tę ambicję, jest zmiana nazwy na nową, która uchwyci naszego ducha innowacji i chęć skupienia się na potrzebach klientów.
Niektóre grafiki czy materiały mogą wyglądać inaczej, ale wciąż jesteśmy tym samym zespołem, który pracuje, aby trading na naszej platformie był przyjemny. Nie zmieniają się również Twoje dane do logowania czy procedury związane z działaniem giełdy.
Dziękujemy za Twoje nieustanne wsparcie i lojalność. Razem wchodzimy w ten nowy, ekscytujący rozdział – i już nie możemy się doczekać tego, co będziemy mogli Wam zaproponować!