1. zondacrypto
  2. /legal/estonian-legal-acts-2 - Legal

Kwestie prawne

Estonian Legal Acts 2

Wymagania techniczne i procedury identyfikacji i weryfikacji danych z wykorzystaniem narzędzi informatycznych

Przyjęte w dniu 23.05.2018 r. nr 25

RT I, 25.05.2018, 17

wejście w życie 28.05.2018 r.

Regulacja została ustanowiona na podstawie § 14 ust. 8 oraz § 31 ust. 6 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

 

Rozdział 1

Przepisy ogólne.

 

§ 1 Zakres regulacji.

 

Regulacja określa wymagania techniczne i tryb postępowania w zakresie identyfikacji tożsamości i sprawdzania danych przy użyciu narzędzi informatycznych, w tym określa wymagania dotyczące ujawniania informacji przez instytucje kredytowe i instytucje finansowe (zwane dalej usługodawcą), zasady proceduralne stosowane przy nawiązywaniu stosunków gospodarczych przy użyciu narzędzi informatycznych oraz przeprowadzaniu transakcji okazjonalnej, wymagania dotyczące czynności związanych z oświadczeniami woli stron transakcji, badaniem ankietowym oraz wywiadem w czasie rzeczywistym przeprowadzanym jako obowiązkowa procedura nawiązywania stosunków gospodarczych, warunki przetwarzania zdjęcia osoby, a także jakość przepływu informacji odzwierciedlających procedury z synchronizacją dźwięku i obrazu oraz wymagania dotyczące zapisu i odtwarzania nagrania.

 

§ 2. Warunki wstępne identyfikacji i weryfikacji danych

 

(1) Usługodawca musi przy identyfikacji i weryfikacji tożsamości za pomocą środków technologii informacyjnej stosować środki techniczne o wysokim stopniu niezawodności, które zapewniają niezawodną identyfikację tożsamości osoby i umożliwiają zapobieganie zmianom lub nadużyciom przekazywanych danych.

 

(2) Przy identyfikacji i weryfikacji tożsamości z wykorzystaniem środków technologii informacyjnej osoba fizyczna lub przedstawiciel prawny osoby prawnej, która chce nawiązać relację biznesową i przeprowadzić transakcję okazjonalną, o której mowa w podpunktach 1 i 2 § 31 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, musi korzystać z dokumentu przeznaczonego do cyfrowej weryfikacji tożsamości wydanego na podstawie ustawy o dokumentach tożsamości lub innych systemów e-identyfikacji o wysokim poziomie wiarygodności, które zostały ujęte w Regulacji (UE) nr. 910/2014 Parlamentu Europejskiego i Rady w sprawie usług zaufania niezbędnych do e-identyfikacji i e-transakcji na rynku wewnętrznym i które uchylają dyrektywę 1999/93/WE (Dz. Urz. UE L 257 , 28.08.2014, str. 73-114) na podstawie art. 9 wykazu opublikowanego w Dzienniku Urzędowym Unii Europejskiej, oraz urządzenia informatycznego ze sprawną kamerą, mikrofonem oraz sprzętem i oprogramowaniem niezbędnym do identyfikacji cyfrowej, a także połączenia internetowego o odpowiedniej jakości.

 

(3) Podczas identyfikacji i weryfikacji tożsamości usługodawca może korzystać z narzędzia informatycznego, które umożliwia porównywanie danych biometrycznych.

 

(4) Osoba fizyczna lub przedstawiciel prawny osoby prawnej identyfikuje się, wchodząc do systemu informatycznego wyznaczonego przez usługodawcę, a przy nawiązywaniu stosunków handlowych i dokonywaniu transakcji okazjonalnej potwierdza, że zapoznał się z informacjami na temat korzystania z narzędzi technologii informacyjnej na stronie internetowej usługodawcy lub w wyznaczonym systemie informatycznym i zgadza się na warunki identyfikacji i weryfikacji tożsamości przy użyciu narzędzi technologii informacyjnej.

 

(5) Osoba fizyczna lub przedstawiciel ustawowy osoby prawnej potwierdza przy nawiązywaniu stosunków gospodarczych i dokonywaniu transakcji okazjonalnej, że:

1) realizuje procedury określone w regulacji osobiście, z wyjątkiem przypadków przewidzianych w ust. 3 § 10 i ust. 3 § 11;

2) dane podane przez niego w ankiecie, o której mowa w § 10, oraz w trakcie wywiadu, o którym mowa w § 11, są prawidłowe i kompletne oraz jest świadomy konsekwencji podania nieprawdziwych, wprowadzających w błąd lub niepełnych informacji przy nawiązywaniu stosunków gospodarczych

3) spełnia warunki niezbędne do nawiązania relacji biznesowej nawiązanej przez usługodawcę i przeprowadzenia transakcji w sposób okazjonalny.

 

(6) Poza tym, co zostało wymienione w ust. 5, osoba fizyczna lub przedstawiciel prawny osoby prawnej korzystający z cyfrowego dowodu tożsamości e-rezydenta lub innego systemu e-identyfikacji o wysokim poziomie wiarygodności określonego w ust. 2 jest zobowiązany do:

1) wyrażenia zgody na stosowanie estońskich norm prawnych;

2) okazania usługodawcy przed kamerą strony z danymi osobowymi ważnego dokumentu podróży wydanego przez państwo obce.

 

§ 3. Nieudana identyfikacja i weryfikacja danych

 

(1) Identyfikację i weryfikację tożsamości przy nawiązywaniu stosunków gospodarczych z wykorzystaniem środków informatycznych uważa się za bezskuteczną, jeżeli:

1) osoba fizyczna lub przedstawiciel ustawowy osoby prawnej celowo podał dane, które nie odpowiadają danym identyfikacyjnym wprowadzonym do bazy dokumentów tożsamości lub nie pokrywają się z informacjami lub danymi uzyskanymi w wyniku zastosowania innych procedur;

2) w trakcie identyfikacji, ankiety lub wywiadu sesja wygasa lub zostaje przerwana, albo strumień informacji przekazujący zsynchronizowany dźwięk i obraz nie spełnia wymagań określonych w § 5;

3) osoba fizyczna lub przedstawiciel ustawowy osoby prawnej nie potwierdził postanowień ust. 4-6 § 2;

4) osoba fizyczna lub przedstawiciel prawny osoby prawnej odmawia wykonania poleceń usługodawcy określonych w ust. 2 i 3 § 7;

5) osoba fizyczna lub przedstawiciel prawny osoby prawnej korzysta z pomocy innej osoby bez zgody usługodawcy;

6) okoliczności wskazują na podejrzenie prania pieniędzy lub finansowania terroryzmu;

 

(2) Sesja określona w ust. 1 pkt 2 wygasa, jeżeli osoba fizyczna lub przedstawiciel prawny osoby prawnej w ciągu 15 minut nie wykona żadnej czynności w systemie informatycznym usługodawcy.

 

(3) W okolicznościach określonych w § 1 usługodawca nie spełni prośby osoby fizycznej lub przedstawiciela prawnego osoby prawnej o otwarcie rachunku lub dokonanie transakcji.

 

(4) W przypadku zaistnienia okoliczności określonych w ust. 1 i 6 § 1, usługodawca przekazuje zawiadomienie do Jednostki Analityki Finansowej.

[RT I, 04.12.2020, 6 - egz. 01.01.2021]

 

§ 4. Publikowanie informacji o wykorzystaniu narzędzi informatycznych

 

Usługodawca musi opublikować na swojej stronie internetowej lub w wyznaczonym systemie informatycznym informacje o technicznych możliwościach identyfikacji i weryfikacji tożsamości przy użyciu środków technologii informacyjnej. Publikowane informacje muszą zawierać co najmniej następujące fakty:

1) odniesienie do obowiązujących przepisów prawa;

2) informację, że identyfikacja i weryfikacja tożsamości przy użyciu środków informatycznych odbywa się w trybie przewidzianym w § 31 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;

3) ostrzeżenie, że identyfikacja i weryfikacja tożsamości nie zobowiązuje usługodawcy do nawiązania relacji biznesowych lub zapewnienia dostępności usług;

4) warunki, w których identyfikacja i weryfikacja tożsamości przy użyciu środków informatycznych jest uznawana za bezskuteczną.

 

Rozdział 2

Wymagania techniczne dla systemu informatycznego usługodawcy

 

§ 5. Minimalne wymagania dotyczące jakości strumienia informacji odzwierciedlającego zsynchronizowany dźwięk i obraz

 

(1) System informatyczny usługodawcy musi umożliwiać identyfikację cyfrową i podpis cyfrowy.

 

(2) Usługodawca musi sprawdzać jakość strumienia informacyjnego usługodawcy i w miarę możliwości klienta oraz zapewnić wyraźny, zapisywalny i odtwarzalny przekaz zsynchronizowanego dźwięku i obrazu w sposób umożliwiający jednoznaczne i wiarygodne zrozumienie tego, co jest przekazywane.

 

§ 6. Wymagania dotyczące zapisu i odtwarzalności zapisu

 

(1) Strumień informacji zawierający obraz i dźwięk jest zapisywany w sposób umożliwiający jego odtworzenie z taką samą jakością jak transmisja zsynchronizowanego dźwięku i obrazu, która miała miejsce pierwotnie.

 

(2) Strumień informacji zawierający obraz i dźwięk musi być zapisany wraz ze znacznikiem czasu, adresem IP klienta, osobą możliwą do zidentyfikowania, kodem osobowym osoby możliwej do zidentyfikowania, w przypadku braku kodu osobowego, datą i miejscem urodzenia oraz krajem zamieszkania, przy czym znacznik czasu musi być powiązany z danymi go dotyczącymi w taki sposób, że przy każdej kolejnej zmianie danych, osoba, czas, sposób i powód tej zmiany są możliwe do zidentyfikowania.

 

(3) Usługodawca zobowiązany jest do utrwalenia w sposób określony w ust. 2 danych gromadzonych za pomocą kwestionariusza oraz następujących procedur:

1) identyfikacji;

2) nieudanej identyfikacji i weryfikacji danych przewidzianych w § 3

3) przeprowadzenie obowiązkowego wywiadu w czasie rzeczywistym.

 

(4) Zapis rozpoczyna się od identyfikacji, a kończy po zgromadzeniu danych określonych w ust. 3 i przeprowadzeniu procedur.

 

(5) Nagrania zawierające dane i procedury określone w ust. 3 muszą być możliwe do odtworzenia w ciągu pięciu lat po zakończeniu stosunków handlowych.

 

(6) Usługodawca ma prawo zapisać badanie ankietowe określone w § 10 jako strumień informacyjny zawierający obraz i dźwięk.

 

§ 7. Wymagania dotyczące kadrowania twarzy i dokumentu osoby

 

(1) Podczas identyfikacji i sprawdzania tożsamości za pomocą środków informatycznych głowa i ramiona osoby muszą być widoczne i skadrowane. Twarz musi być bez cieni i odsłonięta oraz wyraźnie odróżniająca się i rozpoznawalna od tła i innych obiektów.

 

(2) Usługodawca może wydawać polecenia zmiany pozycji ciała osoby oraz umieszczenia osoby i dokumentu w kadrze, tak aby możliwa była identyfikacja osoby i weryfikacja identyfikacji, w tym podgląd danych lub obrazów wpisanych na dokumencie.

 

(3) Usługodawca ma prawo żądać zdjęcia nakrycia głowy lub twarzy oraz okularów lub wykonania poleceń związanych z zapewnieniem identyfikacji i weryfikacji tożsamości przez niego złożonych.

 

Rozdział 3

Zasady proceduralne stosowane przy nawiązywaniu stosunków gospodarczych i przeprowadzaniu transakcji okazjonalnej 

 

§ 8. Zasady proceduralne stosowane przy nawiązywaniu stosunków gospodarczych i dokonywaniu transakcji okazjonalnej 

 

(1) W oparciu o ryzyko usługi oraz kierując się zasadami proceduralnymi ustalonymi na podstawie § 14 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, usługodawca przygotowuje i wdraża instrukcje operacyjne dotyczące stosowania środków należytej staranności przy nawiązywaniu stosunków gospodarczych i przeprowadzaniu transakcji okazjonalnej.

 

(2) Pracownik usługodawcy, partner kooperacyjny usługodawcy lub system automatyczny przeprowadzi spełnienie przesłanek identyfikacji i weryfikacji tożsamości określonych w § 2 i 10 oraz badanie ankietowe.

 

(3) Usługodawca jest zobowiązany do wprowadzenia środków zapobiegających ryzyku manipulacji systemu automatycznego.

 

§ 9. Określenie klienta i profilu ryzyka

 

(1) Usługodawca przygotowuje profil klienta i jako jedną z jego części profil ryzyka na podstawie instrukcji obsługi i zasad proceduralnych określonych w ust. 1 § 8 oraz na podstawie ankiet, wywiadów i innych dostępnych informacji, a także systematycznego gromadzenia, analizy i procedur przeprowadzanych w celu weryfikacji danych.

 

(2) Usługodawca przygotowuje profil klienta i profil ryzyka w formie umożliwiającej pisemne odtworzenie.

 

§ 10. Ankieta

 

(1) W ankiecie należy podać adres zamieszkania osoby fizycznej, profil działalności, dziedzinę działalności, cel i charakter nawiązania stosunków gospodarczych, związek interesów gospodarczych lub rodzinnych tej osoby z Estonią, szacunkowe ilości usług, z których korzysta ta osoba, beneficjenta, a także czy jest to osoba zajmująca eksponowane stanowisko polityczne oraz inne ważne informacje.

 

(2) Za pomocą kwestionariusza usługodawca ustali nazwę firmy, kod rejestru, lokalizację i miejsca prowadzenia działalności przez osobę prawną, w tym oddziały znajdujące się za granicą, formę prawną osoby, zdolność prawną, przedstawicieli ustawowych i umownych, beneficjenta (beneficjentów) oraz, w stosownych przypadkach, czy beneficjent jest osobą zajmującą eksponowane stanowisko polityczne, stosunki gospodarcze z Estonią, państwami należącymi do Europejskiego Obszaru Gospodarczego i krajami trzecimi, najważniejszych partnerów biznesowych, profil działalności osoby prawnej, działalność główną i dodatkową, cel i charakter stosunków gospodarczych oraz inne ważne informacje.

 

(3) Za zgodą usługodawcy osoba fizyczna lub przedstawiciel prawny osoby prawnej może skorzystać z pomocy innej osoby w celu wyeliminowania problemów technicznych napotkanych podczas badania ankietowego.

 

(4) Pracownik usługodawcy jest zobowiązany do oceny odpowiedzi na ankietę i odzwierciedlenia zarówno oceny jak i okoliczności leżących u podstaw w profilu klienta i profilu ryzyka określonym w § 9.

 

(5) Usługodawca może zrezygnować z odrębnej ankiety, jeżeli podczas wywiadu gromadzone są informacje określone w ust. 1 i 2 oraz spełnione są wymagania określone w ust. 4. Usługodawca musi ustalić warunki rezygnacji z odrębnego badania ankietowego w regulaminie proceduralnym usługodawcy sporządzonym zgodnie z § 12.

 

§ 11. Wywiad

 

(1) W celu gromadzenia i sprawdzenia informacji i danych niezbędnych do określenia profilu klienta, pracownik usługodawcy przeprowadza wywiad, podczas którego zadaje częściowo ustrukturyzowane pytania w oparciu o wyniki badania ankietowego.

 

(2) Pracownik usługodawcy musi przeprowadzić obowiązkowy wywiad w czasie rzeczywistym przy nawiązywaniu stosunków handlowych.

 

(3) Za zgodą usługodawcy osoba fizyczna lub przedstawiciel ustawowy osoby prawnej może skorzystać z pomocy innej osoby w celu wyeliminowania problemów technicznych, które wystąpią podczas przeprowadzania wywiadu.

 

(4) Pracownik usługodawcy jest zobowiązany do oceny reakcji klienta podczas wywiadu, wiarygodności uzyskanych informacji i danych oraz spójności z informacjami lub danymi uzyskanymi w wyniku innych procedur, a także do odzwierciedlenia zarówno oceny, jak i okoliczności bazowych w profilu klienta i profilu ryzyka określonym w § 9.

 

§ 12. Zasady proceduralne dotyczące identyfikacji i weryfikacji danych z wykorzystaniem środków informatycznych

 

(1) Usługodawca jest obowiązany ustalić zasady proceduralne dotyczące identyfikacji i weryfikacji danych z wykorzystaniem narzędzi informatycznych, które obejmują co najmniej:

1) instrukcję operacyjną dotyczącą przeprowadzania procedury identyfikacji z wykorzystaniem narzędzi technologii informacyjnej, zawierającą wymagania dotyczące identyfikacji tożsamości i sprawdzania przekazanych danych;

2) instrukcję operacyjną przygotowania badania ankietowego;

3) instrukcję operacyjną dla usługodawcy w zakresie przygotowania i przeprowadzenia obowiązkowych pytań wywiadu w czasie rzeczywistym;

4) wymagania techniczne dotyczące jakości strumienia informacji odzwierciedlającego zsynchronizowany dźwięk i obraz oraz jego kontroli;

5) wymagania dotyczące gromadzenia i aktualizacji przekazanych danych oraz przechowywania danych i nagrań;

6) środki kontroli przestrzegania instrukcji obsługi określonych w pkt 1-5;

 

(2) Pracownik usługodawcy jest zobowiązany do dokonania oceny wyników procedur określonych w § 2, 10 i 11 oraz przedstawienia propozycji dotyczącej stosowanego wobec klienta systemu monitorowania stosunków gospodarczych. Ocena pracownika usługodawcy jest podstawą do podjęcia decyzji o nawiązaniu relacji biznesowej.

 

 

Read and download the full act here - (https://www.riigiteataja.ee/en/eli/509012019003/consolide)