A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 77. § (3) bekezdésében és
a 10. alcím tekintetében az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény 17. § (3) bekezdésében
kapott felhatalmazás alapján, a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 4. § (9) bekezdésében meghatározott feladatkörömben eljárva a következőket rendelem el:
1. § E rendelet hatálya a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 1. § (1) bekezdése szerinti hitelintézetre, pénzügyi szolgáltatóra, foglalkoztatói nyugdíjszolgáltató intézményre, önkéntes kölcsönös biztosítópénztárra, nemzetközi postautalvány-felvételt és -kézbesítést végzőre és bizalmi vagyonkezelőre (a továbbiakban együtt: szolgáltató) terjed ki.
2. § E rendelet alkalmazásában
1. auditált elektronikus hírközlő eszköz: az ügyfél távoli, elektronikus adatátviteli csatornán történő átvilágítására, az ügyfél nyilatkozatainak megtételére, az ügyfél által tett nyilatkozat értelmezésére, biztonságos tárolására, a tárolt adatok visszakeresésére és ellenőrzésére alkalmas auditált elektronikus rendszer,
2. az Európai Unió területén kívüli térséghez kapcsolódó átutalás: a kedvezményezett fizetési számlájának egy fizetési művelet vagy sorozatos fizetési művelet útján történő jóváírására irányuló pénzforgalmi szolgáltatás, amelyet a fizető fél által adott megbízás alapján a fizető fél pénzforgalmi szolgáltatónál vezetett fizetési számlájáról indítanak, függetlenül attól, hogy a kedvezményezett és a fizető fél azonos személy-e, valamint függetlenül attól is, hogy a fizető fél pénzforgalmi szolgáltatója és a kedvezményezett pénzforgalmi szolgáltatója azonos-e, ha
a) a kedvezményezett vagy a fizető fél lakóhelye vagy székhelye vagy
b) bármelyik pénzforgalmi szolgáltató székhelye
az Európai Unió területén kívül található,
3. elektronikus ügyfélazonosító és nyilatkozattételi rendszer: olyan személyre szabott elektronikus eljárást biztosító rendszer, amely a nyilatkozattevő személyének és a nyilatkozat megtétele időpontjának egyértelmű azonosítására és a jognyilatkozat tartalmának változatlan visszaidézésére alkalmas formában teszi lehetővé a jognyilatkozat megtételét,
4. erős ügyfél-hitelesítés: hitelesítés legalább két olyan
a) ismeret, azaz csak az ügyfél által ismert információ,
b) birtoklás, azaz csak az ügyfél által birtokolt dolog, és
c) biológiai tulajdonság, azaz az ügyfél jellemzője
kategóriába sorolható elem felhasználásával, amely kategóriák egymástól függetlenek annyiban, hogy az egyik feltörése nem befolyásolja a többi megbízhatóságát, és az eljárás kialakítása révén biztosított az azonosítási adatok bizalmassága,
5. kockázati profil: a beazonosított pénzmosási és terrorizmusfinanszírozási kockázatok csökkentését követően megmaradó kockázat általános jellege, beleértve a kockázat típusát és szintjét is,
6. megerősített eljárás: az ügyfélben, a termékben, a szolgáltatásban, az ügyletben, az alkalmazott eszközben vagy a földrajzi kitettségben rejlő kockázat kezelésére szolgáló kockázatalapú intézkedések együttesét magába foglaló fokozott monitoring,
7. monitoring: az üzleti kapcsolat és az ügyleti megbízásokat rendszeresen adó ügyfél folyamatos figyelemmel kísérése,
8. pénzmosási és terrorizmusfinanszírozási kockázat: a pénzmosás vagy a terrorizmus finanszírozása felmerülésének valószínűsége és hatása,
9. szokatlan ügylet: olyan ügylet,
a) amely nincs összhangban a termékkel vagy a szolgáltatással kapcsolatban általánosan követett eljárásokkal,
b) amelynek nincs világosan érthető gazdasági célja vagy jogi alapja,
c) amely esetében az ügyfél korábbi tevékenységéhez képest indokolatlanul megváltozik az ügyletek gyakorisága, illetve nagysága.
3. § E fejezet ügyfélre vonatkozó rendelkezéseit az ügyfél szolgáltatónál eljáró meghatalmazottjára, rendelkezésre jogosultjára és képviselőjére is alkalmazni kell.
4. § Az elektronikus hírközlő eszköz akkor auditálható és működtethető, ha legalább az alábbi informatikai biztonsági követelményeknek megfelel:
a) elemei azonosíthatók és dokumentáltak,
b) üzemeltetési folyamatai szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek,
c) változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhassanak meg,
d) adatmentési és -visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás az üzemeltetési szabályzat szerinti gyakorisággal és dokumentáltan tesztelt,
e) a felhasználói hozzáférés mind alkalmazási, mind infrastruktúraszinten szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
f) a felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, biztosítják az azonosítási folyamat megvalósulását, továbbá felhasználóinak tevékenysége naplózott, a rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
g) a hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek, a kiemelt jogosultságokkal elvégzett tevékenység naplózott, a naplófájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
h) a távoli hozzáférés szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
i) a vírusok és más rosszindulatú kódok és cselekmények elleni védelem biztosított,
j) adatkommunikációja és rendszerkapcsolatai dokumentáltak és ellenőrzöttek, az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosított,
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt, feltéve, hogy az ügyfél-átvilágításra a szolgáltató más módon nem képes vagy az alkalmazott rendszer a szolgáltató vonatkozásában üzleti kritikus rendszerként került besorolásra,
l) karbantartása szabályozott,
m) adathordozóinak védelme szabályozott, biztosított, hogy az adathordozókhoz csak az arra jogosult személyek és csak az adatkezelési cél teljesülése érdekében férnek hozzá, ennek felülvizsgálata és ellenőrzése rendszeresen megtörténik,
n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről, és
o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.
5. § A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy
a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,
b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatást, beleértve a szolgáltatás biztonságára vonatkozó ügyfél oldali felelősségről szólót is,
c) a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki - a szolgáltató által alkalmazott megoldástól függően - a közvetett vagy közvetlen elektronikus ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,
d) az elektronikus hírközlő eszközre és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen a 4. §-ban foglalt követelményeknek,
e) a jogi szabályozásban, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente a vizsgálati jelentés megújításra kerüljön,
f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább
fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),
fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),
fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy
fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)
képesítéssel és minősítéssel,
g) a Pmt.-ben előírt ügyfél-átvilágítás és elektronikus azonosítás során a szolgáltató birtokába jutott személyes adatokat és személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az érintett részére hozzáférhetővé tegye, átadja, valamint
h) az ügyfél-átvilágítás folyamatáról elektronikusan eltárolt adatok oly módon kerüljenek rögzítésre, hogy azok a későbbiekben alkalmasak legyenek az ügyfél-átvilágításra vonatkozó rendelkezések betartásának és az ügyfél-átvilágítási intézkedések végrehajtásának utólagos megítélésére.
6. § (1) A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágítás során a Pmt. szerinti ügyfél-azonosítást és személyazonosság-igazoló ellenőrzést végez, valamint az ügyfélre irányadó, Pmt. szerinti nyilatkozatok megtételére és okiratok bemutatására is felhívja az ügyfelet.
(2) A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágítás rendszerét a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról szóló törvényben foglalt, a fogyatékos személyt megillető jogokra figyelemmel alakítja ki.
(3) A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágításra vonatkozó követelmények teljesülését a belső szabályzatban meghatározott foglalkoztatottja által, a belső szabályzatban meghatározott módon ellenőrzi. Az ellenőrzésnek és az arra vonatkozó szabályozásnak ki kell kiterjednie a munkamenet rögzítésére vonatkozó követelmények betartására is.
7. § (1) A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágítást közvetlen, illetve közvetett elektronikus módon végezheti.
(2) Auditált elektronikus hírközlő eszköz igénybevétele esetén, ha a szolgáltató a tényleges tulajdonosi és kiemelt közszereplői nyilatkozatokat, valamint okmánymásolatokat elektronikus ügyfélazonosító és nyilatkozattételi rendszerének használatával szerzi be, ezen nyilatkozatok és okmánymásolatok beszerzéséig, valamint az ügyfél egyedi kockázatbesorolása alapján elvégzendő valamennyi ügyfél-átvilágítási intézkedés megtételéig ügylet nem teljesíthető.
(3) A (2) bekezdés szerinti korlátozás nem alkalmazandó, ha az okmánymásolat megküldése okmánycsere vagy adatváltozás miatt korábban már teljeskörűen átvilágított ügyfél esetében szükséges.
8. § (1) A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett közvetett elektronikus ügyfél-átvilágítást (a továbbiakban: közvetett elektronikus ügyfél-átvilágítás) olyan eszköz útján végzi, amely képes
a) megállapítani, hogy az átvilágítás alanyaként a távoli helyszínen megjelenő ügyfél valós, élő személy, az auditált elektronikus hírközlő eszközt valós időben személyesen használja, és az élő kép nem manipulált, és
b) az ügyfélről az ügyfél-átvilágítás során készített fényképet és az átvilágításhoz felhasznált okiratban szereplő képmást összehasonlítani olyan módon, hogy az alapján kétséget kizáróan megállapítható, hogy a személyazonosság igazolására alkalmas hatósági igazolványban szereplő személy azonos a fényképfelvételen szereplő személlyel.
(2) A szolgáltató közvetett elektronikus ügyfél-átvilágítás alkalmazása esetében az auditált elektronikus hírközlő eszköz vonatkozásában biztosítja az ügyfél-átvilágításra vonatkozó feltételeket, ha
a) az ügyfél a közvetett elektronikus ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult,
b) erős ügyfél-hitelesítést alkalmaz,
c) a képátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által bemutatott fényképes azonosító okmánnyal való összevetésre, a bemutatott személyazonosság igazolására alkalmas hatósági igazolvány biztonsági elemeinek azonosítására, valamint
d) az ügyfél-átvilágítási folyamat szabályozott és folyamatosan ellenőrzött.
9. § (1) A szolgáltató a közvetett elektronikus ügyfél-átvilágítás során a szolgáltató és az ügyfél között létrejött teljes munkamenetet, az ügyfél közvetett elektronikus ügyfél-átvilágítással kapcsolatos részletes tájékoztatását és az ügyfél ehhez történő kifejezett hozzájárulását visszakereshető módon rögzíti.
(2) A közvetett elektronikus ügyfél-átvilágítás érdekében a szolgáltató
a) felhívja az ügyfelet, hogy úgy nézzen bele a kamerába, hogy arcképe felismerhető és rögzíthető legyen,
b) meggyőződik arról, hogy az ügyfél valós, élő személy, az auditált elektronikus hírközlő eszközt valós időben személyesen használja, és az élő kép nem manipulált, valamint
c) olyan módon rögzíti az ügyfél-átvilágításhoz használt okiratokat, hogy az azokon található biztonsági elemek és adatsorok felismerhetők és tárolhatók legyenek.
(3) A közvetett elektronikus ügyfél-átvilágítást végző szolgáltató megbizonyosodik arról, hogy a felhasznált személyazonosság igazolására alkalmas hatósági igazolvány alkalmas a közvetett elektronikus ügyfél-átvilágítás elvégzésére, így
a) a személyazonosság igazolására alkalmas hatósági igazolvány egyes elemei és azok elhelyezkedése megfelel a személyazonosság igazolására alkalmas hatósági igazolványt kiállító hatóság előírásainak, valamint
b) az egyes biztonsági elemek - különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek - felismerhetők és sérülésmentesek.
(4) A szolgáltató megbizonyosodik arról, hogy
a) az ügyfél arcképe felismerhető és azonosítható az általa bemutatott személyazonosság igazolására alkalmas hatósági igazolványon látható arcképpel, valamint
b) a Pmt. által előírt azonosítási adatok teljeskörűen beszerzésre kerültek, és a személyazonosság igazolására alkalmas hatósági igazolványokon megtalálható adatok logikailag megfeleltethetők az ügyfélről a szolgáltatónál rendelkezésre álló adatokkal.
10. § (1) A szolgáltató a közvetett elektronikus ügyfél-átvilágítási eljárás során az ügyfélről rögzített fényképet és a személyazonosság igazolására alkalmas hatósági igazolványban szereplő képmást az auditált elektronikus hírközlő eszköz segítségével összehasonlítja.
(2) A Pmt. által előírt, az ügyfél egyedi kockázatbesorolása alapján elvégzett valamennyi ügyfél-átvilágítási intézkedés eredményének ismeretében a szolgáltató a rögzítést követő 2 banki napon belül értesítést küld az ügyfélnek az ügyfél-átvilágítás eredményéről.
11. § (1) A szolgáltató nem hajtja végre a közvetett elektronikus ügyfél-átvilágítást, ha
a) az ügyfél az ügyfél-átvilágítás során visszavonja az adatrögzítéshez adott hozzájárulását,
b) az ügyfél által bemutatott személyazonosság igazolására alkalmas hatósági igazolvány fizikai és adattartalmi követelményei nem felelnek meg a 9. § (3) bekezdésében írt feltételeknek,
c) az ügyfél által bemutatott személyazonosság igazolására alkalmas hatósági igazolvány vizuális azonosításának feltételei nem adottak,
d) a szolgáltató nem tudja elkészíteni a képfelvételt, vagy nem tudja rögzíteni a 9. § (1) bekezdésében meghatározott munkamenetet, illetve
e) az ügyfél-átvilágítás során ellentmondás vagy bizonytalanság lép fel.
(2) A szolgáltató haladéktalanul köteles az ügyfelet személyes megjelenés mellett átvilágítani vagy közvetlen elektronikus ügyfél-átvilágítás alá vetni, ha az ügyfél tevékenysége vonatkozásában felmerül a pénzmosás vagy terrorizmusfinanszírozás kockázata és az ügyfél együttműködik a megváltozott módon történő ügyfél-átvilágítás végrehajtásában, és ezáltal a szolgáltató a felfedés tilalmát nem sérti meg.
12. § A szolgáltató a közvetett elektronikus ügyfél-átvilágítást
a) az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. rendelet szerinti Központi Azonosítási Ügynök (a továbbiakban: KAÜ) szolgáltatás igénybevételével,
b) elektronikus tárolóelemet tartalmazó, személyazonosság igazolására alkalmas hatósági igazolványból az ügyfél azonosításra alkalmas, hiteles természetes azonosító adatok kiolvasásával vagy
c) egyéb módon a 16. §-ban foglalt korlátozásokra figyelemmel
végzi el.
13. § (1) A szolgáltató a 12. § a) pontja szerint végzi a közvetett elektronikus ügyfél-átvilágítást, ha
a) az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (a továbbiakban: Eüsztv.) 1. § 17. pont j) és l) alpontja szerint elektronikus ügyintézést biztosító szervnek minősülő, az elektronikusan intézhető ügyek adatbázisában szereplő szolgáltató vagy
b) az Eüsztv. 42/A. §-a szerint szolgáltatást igénybe vevő piaci szereplő
végzi auditált elektronikus hírközlő eszköz útján, és annak során az ügyfél az Eüsztv. szerinti elektronikus azonosítási szolgáltatással azonosítja magát.
(2) Az (1) bekezdésben foglalt elektronikus azonosítási szolgáltatás megvalósítása érdekében a szolgáltató
a) az ügyfél elektronikus azonosítását igénylő elektronikus kapcsolattartás során a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikk (2) bekezdése szerinti „jelentős” vagy „magas” biztonsági szintű elektronikus azonosítást követel meg,
b) az auditált elektronikus hírközlő eszköz útján csatlakozik a KAÜ szolgáltatáshoz, és annak segítségével biztosítja, hogy az ügyfél-átvilágítás során az ügyfél azonosítsa magát, és
c) az általa biztosított auditált elektronikus hírközlő eszköz útján a KAÜ-től visszakapott információk alapján ellenőrzi az ügyfél személyazonosságát.
14. § (1) A szolgáltató a 12. § b) pontja szerint végzi a közvetett elektronikus ügyfél-átvilágítást, ha
a) az ügyfél által bemutatott, elektronikus tárolóelemet tartalmazó, személyazonosság igazolására alkalmas hatósági igazolványból a szolgáltató az ügyfél személyes azonosításra alkalmas, hiteles természetes személyazonosító adatait és a személyazonosság igazolására alkalmas hatósági igazolványt kiállító hatóság által az ügyfélről készített fényképfelvételt az auditált hírközlő eszköz útján elektronikus úton kiolvassa és összeveti az ügyfél által megadott, illetve az azonosítás során felvett adatokkal és készített fényképfelvétellel, és
b) az adatok és fényképfelvételek auditált hírközlő eszközzel történő összehasonlítása során kétséget kizáróan megállapítható, hogy a személyazonosság igazolására alkalmas hatósági igazolványban szereplő személy azonos az auditált hírközlő eszközzel az átvilágítás során készített fényképfelvételen szereplő személlyel, valamint hogy a személyazonosság igazolására alkalmas hatósági igazolványt arra hatáskörrel rendelkező hatóság állította ki, és az elektronikusan tárolt és kiolvasott adatok változatlanok és hitelesek.
(2) A szolgáltató a 11. §-ban meghatározott eseteken túlmenően nem hajtja végre az ügyfél-átvilágítást akkor sem, ha az átvilágítás során nem sikerül az elektronikus személyazonosító igazolvány elektronikus tároló eleméből minden vonatkozó adatot kiolvasni, kétség merül fel a személyazonosság igazolására alkalmas hatósági igazolvány vagy a személyazonosság igazolására alkalmas hatósági igazolványból kiolvasott adatok hitelessége vonatkozásában, vagy a kiolvasott adatok alapján a szolgáltató nem képes az ügyfelet kétséget kizáró módon azonosítani.
15. § A szolgáltató a 13. és 14. §-ban meghatározott esetben
a) az ügyfél által az auditált elektronikus hírközlő eszköz használatával bemutatott személyazonosság igazolására alkalmas hatósági igazolvány érvényességét ellenőrzi, ideértve különösen, hogy a személyazonosság igazolására alkalmas hatósági igazolvány nem érvénytelen-e, nem került-e visszavonásra vagy érvénytelenítésre, valamint nem jelentették-e elvesztését, eltulajdonítását, megsemmisülését, megrongálódását, megtalálását, illetve nem adták-e le a hatóság számára, valamint
b) az ügyfél tevékenységét az üzleti kapcsolat létrehozásának időpontjától számítva egy évig megerősített eljárásban nyomon követi.
16. § Ha a szolgáltató sem a 13. §-ban, sem a 14. §-ban meghatározott megoldást nem alkalmazza, közvetett elektronikus ügyfél-átvilágítást akkor végezhet, ha
a) az ügyfél-átvilágításban érintett ügyfél vagy tényleges tulajdonosa nem stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik lakóhellyel vagy székhellyel,
b) a szolgáltató biztosítja, hogy az ügyfél-átvilágításban érintett ügyfél nem hajthat végre - havi összesen háromszázezer forintot meg nem haladó készpénzfelvételt kivéve - készpénzes ügyletet vagy az Európai Unió területén kívüli térséghez kapcsolódó átutalást addig, ameddig az ügyfél nem jelent meg személyesen, vagy nem történt meg a közvetlen elektronikus ügyfél-átvilágítás, és
c) a szolgáltató biztosítja, hogy az ügyfél-átvilágításban érintett ügyfél nem hajthat végre tízmillió forintot elérő vagy meghaladó ügyletet addig, ameddig az ügyfél nem jelent meg személyesen, vagy nem történt meg a közvetlen elektronikus ügyfél-átvilágítás.
17. § (1) Az auditált elektronikus hírközlő eszköz útján végzett közvetlen elektronikus ügyfél-átvilágítás (a továbbiakban: közvetlen elektronikus ügyfél-átvilágítás) során a szolgáltató a 8. § (1) bekezdésében meghatározottaknak megfelelő eszköz útján összeveti az ügyfélről készített fényképet és az átvilágításhoz felhasznált személyazonosság igazolására alkalmas hatósági igazolványban szereplő képmást. Az ügyfél-átvilágítás megfelelő, ha kétséget kizáróan megállapítható, hogy a személyazonosság igazolására alkalmas hatósági igazolványban szereplő személy azonos a fénykép- vagy videófelvételen szereplő személlyel.
(2) A szolgáltató a 8. §-ban meghatározottaknak megfelelő eszköz nélküli közvetlen elektronikus ügyfél-átvilágítást egy, a célnak megfelelő helyiségben végezheti.
(3) A közvetlen elektronikus ügyfél-átvilágítást csak a szolgáltató olyan vezetője és foglalkoztatottja végezheti, akinek a szolgáltató előzőleg e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.
(4) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában biztosítja az ügyfél átvilágítására vonatkozó feltételeket, amennyiben
a) az ügyfél a közvetlen elektronikus ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult,
b) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére, és
c) az ügyfél-átvilágítási folyamat szabályozott és folyamatosan ellenőrzött.
18. § (1) A szolgáltató a közvetlen elektronikus ügyfél-átvilágítás során a szolgáltató és az ügyfél között létrejött teljes kommunikációt, az ügyfél közvetlen elektronikus ügyfél-átvilágítással kapcsolatos részletes tájékoztatását és az ügyfél ehhez történő kifejezett hozzájárulását visszakereshető módon kép- és hangfelvételen rögzíti.
(2) A közvetlen elektronikus ügyfél-átvilágítás során biztosítani kell, hogy az ügyfél
a) úgy nézzen bele a kamerába, hogy arcképe felismerhető és rögzíthető legyen,
b) érthető módon közölje a közvetlen elektronikus ügyfél-átvilágításhoz használt személyazonosság igazolására alkalmas hatósági igazolvány azonosítóját, és
c) úgy mozgassa a közvetlen elektronikus ügyfél-átvilágításhoz használt személyazonosság igazolására alkalmas hatósági igazolványát, hogy az azon található biztonsági elemek és adatsorok felismerhetők legyenek.
(3) A közvetlen elektronikus ügyfél-átvilágítást végző szolgáltató köteles megbizonyosodni arról, hogy a közvetlen elektronikus ügyfél-átvilágításhoz használt személyazonosság igazolására alkalmas hatósági igazolvány alkalmas a közvetlen elektronikus ügyfél-átvilágítás elvégzésére, így
a) személyazonosság igazolására alkalmas hatósági igazolvány egyes elemei és azok elhelyezkedése megfelel a személyazonosság igazolására alkalmas hatósági igazolványt kiállító hatóság előírásainak, illetve a vonatkozó jogszabályi előírásoknak,
b) az egyes biztonsági elemek - különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek - felismerhetők és sérülésmentesek, és
c) a személyazonosság igazolására alkalmas hatósági igazolvány okmányazonosítója megegyezik az ügyfél által közölt okmányazonosítóval, felismerhető és sérülésmentes.
(4) A közvetlen elektronikus ügyfél-átvilágítást végző szolgáltató megbizonyosodik arról, hogy
a) az ügyfél arcképe felismerhető és azonosítható az általa bemutatott személyazonosság igazolására alkalmas hatósági igazolvány látható arckép alapján, és
b) a személyazonosság igazolására alkalmas hatósági igazolványban megtalálható adatok logikailag megfeleltethetők az ügyfélről a szolgáltatónál rendelkezésre álló adatokkal.
(5) A szolgáltató az ügyfél által bemutatott személyazonosság igazolására alkalmas hatósági igazolvány érvényességét ellenőrzi, ideértve különösen, hogy a személyazonosság igazolására alkalmas hatósági igazolvány nem érvénytelen-e, nem került-e visszavonásra vagy érvénytelenítésre, valamint nem jelentették-e elvesztését, eltulajdonítását, megsemmisülését, megrongálódását, megtalálását, illetve nem adták-e le a hatóság számára.
(6) A szolgáltató egy alfanumerikus kódból álló, központilag, véletlenszerűen generált azonosítási kódot küld az ügyfélnek a szolgáltató választása szerint az ügyfél azonosítására alkalmas e-mail-címre vagy SMS-ben mobiltelefonszámra, amely kódot az ügyfél a közvetlen elektronikus ügyfél-átvilágítás befejezéséig a szolgáltató által választott kommunikációs formában küld vissza a szolgáltatónak.
19. § A szolgáltató megszakítja a közvetlen elektronikus ügyfél-átvilágítást, ha
a) az ügyfél a közvetlen elektronikus ügyfél-átvilágítás során visszavonja az adatrögzítéshez adott hozzájárulását,
b) az ügyfél által bemutatott személyazonosság igazolására alkalmas hatósági igazolvány fizikai és adattartalmi követelményei nem felelnek meg a 18. § (3) bekezdésében előírt feltételeknek,
c) az ügyfél, az általa bemutatott személyazonosság igazolására alkalmas hatósági igazolvány vizuális azonosításának feltételei nem adottak,
d) a szolgáltató nem tudja elkészíteni a hang- és képfelvételt,
e) az ügyfél nem, nem teljes egészében vagy hibásan küldi vissza az azonosítási kódot,
f) az ügyfél nem tesz nyilatkozatot, vagy a szolgáltató számára észlelhetően befolyás alatt tesz nyilatkozatot, vagy
g) az ügyfél-átvilágítás során ellentmondás vagy bizonytalanság lép fel.
20. § A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmazhat, ha ügyfele a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
21. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmaz, ha ügyfele
a) a szolgáltató belső kockázatértékelésében meghatározott kritériumoknak megfelelő nonprofit szervezet,
b) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból származik,
c) olyan társaság, amelynek bemutatóra szóló részvénye van, vagy amelynek részvényesét részvényesi meghatalmazott képviseli, vagy
d) olyan társaság, amelynek tulajdonosi szerkezete a társaság üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik.
(2) Az (1) bekezdés d) pontjában foglaltak nem alkalmazandók, ha a szolgáltató megítélése szerint a társaság túlzottan összetett tulajdonos szerkezete indokolt, és azt belső kockázatértékelésében részletesen a kockázatcsökkentő és -növelő tényezők együttes értékelésével alátámasztja, vagy az ügyfél a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
22. § (1) A Pmt.-ben meghatározottakon felül legalább a szolgáltató belső szabályzatban meghatározott vezetője dönt
a) az üzleti kapcsolat létesítéséről, ha arra utaló adat, tény, illetve körülmény merül fel, hogy a szolgáltatást ténylegesen nem az a személy veszi igénybe, aki a szerződéskötési kérelemben ügyfélként feltüntetésre került,
b) az üzleti kapcsolat létesítéséről, ha évi százmillió forintot elérő vagy meghaladó készpénzforgalom lebonyolítását jelzi az ügyfél,
c) az ügyleti megbízás teljesítéséről, ha az az ötvenmillió forintot eléri vagy meghaladja,
d) privátbanki üzleti kapcsolat létesítéséről,
e) új termékre vonatkozó vagy új üzleti gyakorlattal, többek között új teljesítési megoldással, valamint új vagy fejlődő technológiák alkalmazásával érintett, a belső kockázatértékelésben meghatározott további kockázati elemet hordozó ügyleti megbízás teljesítéséről,
f) a szokatlan ügylet végrehajtásáról.
(2) Ha a szolgáltató külön szervezeti egységet működtet a pénzmosás és terrorizmus finanszírozásának megelőzése, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa (a továbbiakban: ENSZ BT) által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtása érdekében, úgy az (1) bekezdés a) és b) pontjában írt esetekben e szervezeti egység vezetője vagy kijelölt helyettese hozza meg a döntést.
(3) A szolgáltató az általa meghatározott ügyfelek csoportja tekintetében mellőzheti a vezetői döntést, ha az (1) bekezdés szerinti esetekre vonatkozóan belső kockázatértékelésében részletesen a kockázatcsökkentő és -növelő tényezők együttes értékelésével azt alátámasztja.
(4) A szolgáltató (1) és (2) bekezdés szerint meghatározott vezetője az ezen bekezdésekben meghatározott esetekben olyan dokumentált formában dönt, amely biztosítja a következetességet, a folyamatos figyelemmel kísérhetőséget és az ellenőrizhetőséget is.
23. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül legalább a következő esetekben alkalmaz megerősített eljárást:
a) a takarékbetétről szóló törvényerejű rendelet szerinti nem névre szóló takarékbetét névre szólóvá alakításával érintett ügyfél tekintetében, ha a névre szólóvá alakítani kívánt takarékbetétek összértéke eléri a négymillió-ötszázezer forintot, az átalakítástól számított egy évig,
b) ha az ügyfelet a szolgáltató tízmillió forintot elérő vagy meghaladó pénzváltás miatt világítja át, az utolsó tízmillió forintot elérő vagy meghaladó pénzváltástól számított egy évig,
c) ha az ügyleti megbízásokat rendszeresen adó ügyfelet a szolgáltató ötvenmillió forintot elérő vagy meghaladó összegű ügyleti megbízás miatt világítja át, az utolsó ötvenmillió forintot elérő vagy meghaladó ügylettől számított egy évig,
d) ha az ügyfél készpénzforgalma, azaz befizetéseinek és pénzfelvételeinek összege a havi százmillió forintot eléri vagy meghaladja, az utolsó százmillió forintot elérő vagy meghaladó készpénzforgalmú hónaptól számított egy évig,
e) ha a szolgáltató ügyfelével kapcsolatban szolgáltató által vagy a csoporton belül, amelyhez a szolgáltató tartozik, a Pmt. 30. § (1) bekezdése szerinti bejelentés történt, az utolsó bejelentéstől számított egy évig,
f) nem magyar állampolgárságú és kilencven napot meghaladó magyarországi tartózkodásra jogosító engedéllyel vagy tartózkodási regisztrációval, lakóhellyel vagy tartózkodási hellyel nem rendelkező, az Európai Unió, illetve az Európai Gazdasági Térség területén kívüli lakóhellyel vagy tartózkodási hellyel rendelkező természetes személynél.
(2) A szolgáltató a megerősített eljárásnak az (1) bekezdésben meghatározottakon túli eseteit a belső kockázatértékelésében rögzíti.
(3) A szolgáltató az általa meghatározott ügyfelek egy csoportja tekintetében mellőzheti a megerősített eljárást, ha az (1) bekezdés szerinti esetekre vonatkozóan belső kockázatértékelésében részletesen a kockázatcsökkentő és -növelő tényezők együttes értékelésével azt alátámasztja.
24. § (1) A szolgáltató a megerősített eljárás alá tartozó ügyfeleknél a 34-37. § rendelkezéseinek megfelelően szűri és pénzmosás és terrorizmus finanszírozása szempontjából elemzi és értékeli a belső kockázatértékelésben meghatározott ügyleteket.
(2) Az (1) bekezdésben meghatározott kockázatértékelés során a szolgáltató ügyletenkénti értékhatárt alkalmaz.
(3) A belső kockázatértékelésben meghatározott értékhatár a szolgáltató által a kockázatcsökkentő és -növelő tényezők együttes értékelésével ügyletenként kerül meghatározásra, és nem lehet magasabb százmillió forintnál.
(4) Ha a megerősített eljárás alá tartozó ügyfelek tízmillió forintot elérő vagy meghaladó összegű készpénzbefizetést vagy pénzváltást teljesítenek, a szolgáltató beszerzi a pénzeszköz forrására vonatkozó információt, valamint ezen információk igazoló ellenőrzése érdekében a pénzeszközök forrására vonatkozó dokumentumok bemutatását is megköveteli.
25. § (1) A belső kockázatértékelés alkalmazása során a szolgáltató beazonosítja a már ismert kockázatai közül azokat, amelyek hatással vannak a pénzmosási és terrorizmusfinanszírozási kockázataira.
(2) A szolgáltató az (1) bekezdésben meghatározott beazonosítás során figyelembe veszi a már rendelkezésre álló kockázati profilt.
26. § (1) A szolgáltató a kockázati tényezők beazonosítása során a Pmt.-ben meghatározottakon kívül az alábbiakat veszi figyelembe:
a) az Európai Bizottság nemzetek feletti kockázatértékelését,
b) az európai felügyeleti hatóságok véleményét az európai uniós pénzügyi ágazatot érintő pénzmosási és terrorizmusfinanszírozási kockázatokról,
c) a Magyar Nemzeti Bank (a továbbiakban: MNB) által kiadott ajánlást,
d) az MNB által nyilvánosságra hozott információkat és
e) az MNB által folytatott eljárás során keletkezett és nyilvánosságra hozott határozatokat.
(2) A szolgáltató a kockázati tényezők beazonosítása során különösen
a) a civil társadalomtól,
b) a 27. § (1) bekezdése szerinti állam pénzmosás és a terrorizmus finanszírozása elleni rendszere megfelelőségével és hatékonyságával, korrupcióellenes és adózási rendszerrel kapcsolatos értékeléséből,
c) nyilvános forrásból és
d) tudományos intézményektől
származó információkat vehet figyelembe.
27. § (1) Ha a szolgáltató ki van téve más tagállam vagy harmadik ország pénzmosási és terrorizmusfinanszírozási kockázatainak, a szolgáltató ezeket a kockázatokat is beazonosítja.
(2) A szolgáltató az (1) bekezdés szerinti kockázatokat különösen abban az esetben azonosítja be, ha a szolgáltató
a) egy másik tagállamban vagy harmadik országban létrehozott pénzügyi csoport tagja,
b) tulajdonosa egy másik tagállamban vagy harmadik országban bejegyzett szolgáltatónak,
c) tényleges tulajdonosa másik tagállamban vagy harmadik országból származik, vagy
d) olyan kapcsolatot tart fenn más tagállamban vagy harmadik országban lévő szervvel vagy szervezettel, amely arra utal, hogy a szolgáltató ki van téve az adott ország pénzmosási és terrorizmusfinanszírozási kockázatainak.
(3) A szolgáltató beszerzi az (1) bekezdés szerinti tagállamhoz vagy harmadik országhoz köthető pénzmosási és terrorizmusfinanszírozási kockázatokkal kapcsolatos azon információkat, amelyek hatással lehetnek az általa végzett tevékenységre.
(4) A szolgáltató a tudomásszerzéstől számított három munkanapon belül bejelentést tesz az MNB-hez, ha az (1) bekezdés szerinti kockázatok beazonosítását és a (3) bekezdés szerinti információk beszerzését követően olyan hiányosság jut a tudomására, amely veszélyt jelent az Európai Unió pénzügyi rendszerére.
28. § A szolgáltató az alábbi szempontokat veszi figyelembe belső kockázatértékelésének elkészítésekor:
a) tulajdonosi és vállalati szerkezete, figyelemmel arra, hogy a szolgáltató nemzetközi, külföldi vagy belföldi intézmény, anyavállalat, leányvállalat, fióktelep vagy egyéb szervezet,
b) szervezetének és szerkezetének összetettsége és átláthatósága,
c) a kínált termék vagy szolgáltatás, az elvégzett tevékenység és ügylet természete és összetettsége,
d) az alkalmazott eszköz, beleértve az ingyenes szolgáltatásnyújtást, az ügynök vagy a közvetítő használatát,
e) a kiszolgált ügyfelek típusai,
f) az üzleti tevékenység földrajzi területe, különösen ha azt stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban végzi, vagy az ügyfelei jelentős részének származási országa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország,
g) a belső irányítási megoldás és szerkezet minősége, beleértve a belső ellenőrzési és megfelelési funkció hatékonyságát, a pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával összefüggő jogi követelménynek való megfelelést és a megelőző belső kockázatértékeléseinek hatékonyságát és
h) az uralkodó vállalati kultúra, különösen a megfelelési és átláthatósági kultúra.
29. § (1) A 26-28. § szerinti tényezők együttesen képezik a szolgáltató kockázatértékelésének alapját.
(2) A szolgáltató értékeli a 26-28. § szerinti tényezők szolgáltatóra gyakorolt hatását és a szolgáltatónál működő kockázatalapú ellenőrzési rendszer és folyamat megfelelőségét a pénzmosási és terrorizmusfinanszírozási kockázat enyhítése érdekében.
(3) A szolgáltató a kockázati tényező relatív jelentősége alapján eltérően súlyozhatja a kockázatot és az azokat mérséklő tényezőket.
(4) A szolgáltató a kockázatokat legalább alacsony, átlagos és magas kockázati kategóriába sorolja.
(5) A szolgáltató a kockázatokat legalább ügyfél, termék, szolgáltatás, alkalmazott eszköz, földrajzi kockázati csoportba sorolja.
30. § (1) A szolgáltató Pmt. 65. § (1) bekezdése szerinti belső szabályzatában a beazonosított kockázat értékelése alapján meghatározza, hogy milyen intézkedésre van szükség a feltárt kockázat kezelése érdekében.
(2) A szolgáltató vezető tisztségviselője vagy vezető testülete a belső kockázatértékelésről szóló jelentést jóváhagyja.
31. § (1) A szolgáltató a belső kockázatértékelését az alapjául szolgáló információ időszakos és eseti felülvizsgálatával aktualizálja.
(2) A szolgáltató által az (1) bekezdés alapján elvégzett felülvizsgálat ütemezése arányban kell, hogy álljon a szolgáltatóhoz kapcsolódó pénzmosási és terrorizmusfinanszírozási kockázattal.
(3) A szolgáltató a belső kockázatértékelését soron kívül felülvizsgálja, ha
a) külső hatás megváltoztatja a kockázat természetét,
b) új típusú pénzmosási és terrorizmusfinanszírozási kockázat merül fel,
c) az MNB által hatósági döntésében foglalt megállapítás ilyen intézkedést tartalmaz,
d) a szolgáltató saját maga által tett, kockázatot csökkentő intézkedéséből ez következik,
e) a szolgáltató tulajdonosaival, a vezető testület tagjaival, a fő funkciókat ellátó személyekkel vagy a szervezetével kapcsolatban új információk merülnek fel, továbbá
f) minden egyéb esetben, amikor a szolgáltatónak alapos oka van azt feltételezni, hogy a kockázatértékelés alapjául szolgáló információ már nem alkalmazható.
32. § (1) A szolgáltató meghatározza az ügyfélnek adandó tájékoztatást, valamint belső szabályzatában rögzíti szervezeti egységeinek kötelezettségét és felelősségét az ügylet felfüggesztése során.
(2) Az (1) bekezdés szerinti tájékoztatás nem utalhat az ügylet felfüggesztésének tényére és a felfüggesztés indokára.
(3) A szolgáltató biztosítja, hogy
a) a felfüggesztés tényéről a szolgáltató tudomással bíró vezetője és foglalkoztatottja az (1) bekezdés szerinti tájékoztatás szerint járjon el,
b) a felfüggesztés teljesítéséhez csak a szükséges szervezeti egységet vonja be,
c) a felfüggesztési kötelezettség teljesítésére utaló adat, tény, illetve körülmény felmerülésekor telefonon értesíthesse a pénzügyi információs egységként működő hatóságot, és ebben az esetben a tőle kapott instrukciók szerint járjon el, valamint
d) a felfüggesztés ideje alatt a telefonos kapcsolattartás a pénzügyi információs egységként működő hatósággal a kijelölt személy akadályoztatása esetén is folyamatos legyen.
(4) A szolgáltató az általa vezetett nyilvántartáson belül az ügylet felfüggesztését igazoló iratot vagy annak másolatát elkülönítetten kezeli.
33. § Ezen alcím alkalmazásában
1. automatikus szűrőrendszer: az ügyfél és az ügylet pénzmosás és terrorizmus finanszírozása szempontjából előzetes paraméterezés alapján történő, emberi beavatkozást nem igénylő leválogatására alkalmas informatikai rendszer,
2. manuális szűrés: az ügyfél és az ügylet pénzmosás és terrorizmus finanszírozása szempontjából történő, emberi beavatkozást igénylő leválogatása.
34. § (1) A szolgáltatónak a belső ellenőrző és információs rendszer részeként rendelkeznie kell olyan, a bejelentés teljesítését támogató szűrőrendszerrel, amely biztosítja a pénzmosás és a terrorizmus finanszírozása szempontjából kockázatos ügyfél és szokatlan ügylet kiszűrését és a bejelentés megtételéhez szükséges adatok rendelkezésre bocsátását (a továbbiakban: szűrőrendszer).
(2) A szolgáltató - a (3) bekezdésben foglalt kivétellel - manuális szűréseken alapuló szűrőrendszert alkalmazhat.
(3) Az a szolgáltató,
a) amely pénzforgalmi szolgáltatási tevékenységet végez, vagy
b) amelynek ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ötvenezret,
automatikus szűrőrendszert működtet.
35. § (1) A szolgáltató a szűrőrendszer működéséről, a kiszűrt ügyfél, valamint az ügylet elemzésének és értékelésének menetéről belső eljárásrendet készít.
(2) Az (1) bekezdés szerinti belső eljárásrendet a szolgáltató írásban rögzíti, naprakészen tartja, és az illetékes felügyeleti hatóságok rendelkezésére bocsátja.
(3) A szűrőrendszer belső eljárásrendjének legalább az alábbi feltételeknek kell megfelelnie:
a) az intézmény belső kockázatértékelésén alapul,
b) megfelel a szolgáltató kapcsolódó belső szabályzatainak,
c) dokumentálja a szolgáltató által használt szcenáriókat, az azok alapjául szolgáló logikákkal, paraméterekkel és küszöbértékekkel, és biztosítja a változások nyomon követhetőségét,
d) biztosítja az adatok integritását és minőségét annak érdekében, hogy a szűrőrendszeren pontos és teljes adatok menjenek keresztül,
e) rögzíti a releváns adatokat tartalmazó összes adatforrást,
f) biztosítja a szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,
g) rögzíti az elemző és értékelő folyamat során alkalmazott határidőket,
h) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint azt, hogy milyen módon kell a döntéshozatali eljárást dokumentálni,
i) biztosítja a szcenáriók és az azok alapjául szolgáló logikák, paraméterek és küszöbértékek kockázataival összhangban történő felülvizsgálatát, illetve tartalmazza, hogy ki a felelős a felülvizsgálatért, valamint
j) automatikus szűrőrendszer esetén előírja a szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, az adatok leképezése, az ügyletek azonosítása, a keresési szcenáriók és logikák, a szűrési modellezés, valamint a bevitt adatok és az eredmények vizsgálatával kapcsolatosan.
36. § (1) A szolgáltató legalább a következő ügyfél-, illetve ügylettípusokra végzett szűréseket hajtja végre, és azt biztosítja a belső kockázatértékelésében:
a) huszonötmillió forintot elérő vagy meghaladó összegű készpénzbefizetés természetes személy ügyfél részére,
b) ötvenmillió forintot elérő vagy meghaladó összegű készpénzbefizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére,
c) huszonötmillió forintot elérő vagy meghaladó összegű készpénzkifizetés természetes személy ügyfél részére,
d) ötvenmillió forintot elérő vagy meghaladó összegű készpénzkifizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére,
e) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból kezdeményezett vagy oda továbbított, huszonötmillió forintot elérő vagy meghaladó összegű ügylet,
f) huszonötmillió forintot elérő vagy meghaladó összegű pénzátutalás adószámmal nem rendelkező jogi személy és jogi személyiséggel nem rendelkező ügyfél részére, vagy általa kezdeményezve, valamint
g) ötvenmillió forintot elérő vagy meghaladó összegű pénzátutalás nem magyar adószámmal rendelkező jogi személy és jogi személyiséggel nem rendelkező ügyfél részére, vagy általa kezdeményezve.
(2) A szolgáltató a szűrési feltételeit az (1) bekezdésben meghatározottakon túl a belső kockázatértékelése alapján határozza meg.
(3) A szolgáltató belső kockázatértékelése alapján az (1) bekezdésben szereplő kötelező szűrési feltételeket más szűrésekkel is helyettesítheti, ha a felügyeleti szerv részére bizonyítani tudja, hogy bevezetett szűrései teljeskörűen alkalmasak az (1) bekezdésben szereplő szűrések mögötti kockázatok kezelésére.
37. § (1) A szolgáltató a szűrést folyamatosan végzi. A szűrés folyamatosságát huszonnégy órát meghaladóan akadályozó körülmény szolgáltató tudomására jutásáról és az ennek kiküszöbölésére foganatosított, illetve foganatosítani tervezett intézkedésekről a szolgáltató haladéktalanul, elektronikus formában, az MNB Elektronikus Rendszer Hitelesített Adatok Fogadásához megnevezésű rendszerén (a továbbiakban: ERA rendszer) keresztül tájékoztatja az MNB-t.
(2) A kiszűrt ügyfél, illetve ügylet pénzmosás és terrorizmus finanszírozása szempontjából történő elemzését és értékelését a szolgáltató a 24. § (1) bekezdésében és a 36. § (1) bekezdésében foglalt esetben a szűrést követő húsz munkanapon belül, minden más esetben a szűrést követő harminc munkanapon belül végzi el. A szűrés elvégzésének napja a határidőbe nem számít bele.
(3) A szolgáltató szűrései során figyelembe veszi a belső kockázatértékelése alapján kialakított szokatlan tranzakciókra figyelmeztető jelzéseket.
(4) A kiszűrt ügyfél, illetve ügylet elemzésének és értékelésének folyamatát a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.
38. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként névtelenséget biztosító visszaélés-bejelentési rendszert (a továbbiakban: visszaélés-bejelentési rendszer) működtet.
(2) Visszaélés-bejelentést a visszaélés-bejelentési rendszeren keresztül az tehet, aki tudomással bír arról, hogy a szolgáltatónál a Pmt. rendelkezése megsértésre kerül vagy került.
(3) A visszaélés-bejelentést a szolgáltató harminc napon belül kivizsgálja. A határidőbe a bejelentés megtételének napja nem számít bele.
(4) A visszaélés-bejelentés kivizsgálásában nem vehet részt a bejelentéssel érintett személy.
(5) Ha a szolgáltató azt állapítja meg, hogy pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény merül fel, úgy a kijelölt személy haladéktalanul bejelentést tesz a pénzügyi információs egységnek.
(6) Ha a szolgáltató azt állapítja meg, hogy bűncselekmény gyanúja áll fenn, úgy haladéktalanul feljelentést tesz a hatáskörrel és illetékességgel rendelkező nyomozó hatóságnál.
(7) Ha a szolgáltató az (5) és (6) bekezdésben foglalt eseteken kívül a Pmt., az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény vagy e rendelet megsértését állapítja meg, úgy e tényt a kijelölt személy haladéktalanul bejelenti az MNB-nek.
(8) A szolgáltatónak a bejelentés megtételét követően biztosítania kell, hogy ahhoz a bejelentéssel vagy annak kivizsgálásában érintett személyen kívül más személy ne férhessen hozzá.
39. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen az üzleti kapcsolat
a) a Pmt. által előírt személyes adat,
b) számlaszám,
c) ügyfélszám,
d) ügylettípus vagy
e) összeghatár
alapján történő leválogatására.
40. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen a benne rögzített adatoknak a Pmt.-ben meghatározott időtartam alatt visszakereshetőséget lehetővé tevő nyilvántartására.
41. § Ezen alcím alkalmazásában
1. automatikus szűrőrendszer: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak az uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival való folyamatos, emberi beavatkozást nem igénylő összehasonlítására alkalmas informatikai rendszer,
2. manuális szűrés: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak az uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival való összehasonlítására alkalmas, emberi beavatkozást igénylő eljárás.
42. § A szolgáltatónak rendelkeznie és alkalmaznia kell olyan szűrőrendszert, amely biztosítja a pénzügyi és vagyoni korlátozó intézkedéseket elrendelő uniós jogi aktusok és ENSZ BT határozatok haladéktalan és teljes körű végrehajtását (a továbbiakban: szankciós szűrőrendszer).
43. § A szolgáltató a szankciós szűrőrendszer keretében automatikus szűrést alkalmaz, ha a szolgáltató ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ezret, egyéb esetben a szolgáltató manuális szűréssel is biztosíthatja a pénzügyi és vagyoni korlátozásokat elrendelő uniós jogi aktusok és ENSZ BT határozatok késedelem nélküli végrehajtását.
44. § (1) A szolgáltató köteles a szankciós szűrőrendszer működése, illetve a kiszűrt ügyfél, tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő, valamint ügylet elemzése és értékelése vonatkozásában belső eljárásrendet készíteni.
(2) Az (1) bekezdésben meghatározott belső eljárásrendet a szolgáltató köteles írásban rögzíteni, naprakészen tartani és az illetékes hatóságok rendelkezésére bocsátani a felügyeleti tevékenység gyakorlása során.
(3) A szankciós szűrőrendszer belső eljárásrendje legalább az alábbi feltételeknek felel meg:
a) dokumentálja a szolgáltató által használt keresési logikákat, az azok alapjául szolgáló feltételezésekkel, paraméterekkel,
b) biztosítja az adatok integritását, pontosságát és minőségét annak érdekében, hogy a szankciós szűrőrendszeren pontos és teljes adatok menjenek keresztül,
c) rögzíti a releváns adatokat tartalmazó összes adatforrást,
d) biztosítja a szankciós szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,
e) rögzíti az elemző és értékelő folyamat során alkalmazott határidőket,
f) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szankciós szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint hogy milyen módon kell a döntéshozatali eljárást dokumentálni,
g) biztosítja a folyamatos vizsgálatát a szűrési logikának és az azok alapjául szolgáló szabályoknak, paramétereknek, és
h) automatikus szűrőrendszer esetén lehetővé teszi a szankciós szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, adatok leképezése, ügyletek azonosítása, keresési logikák, szűrési modellezés, valamint bevitt adatok és az eredmények vizsgálatával.
45. § (1) A szolgáltató az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekre vonatkozó szűrést folyamatosan végzi. A szűrés folyamatosságát huszonnégy órát meghaladóan akadályozó körülmény szolgáltató tudomására jutásáról és az ennek kiküszöbölésére foganatosított, illetve foganatosítani tervezett intézkedésekről a szolgáltató haladéktalanul, elektronikus formában, az ERA rendszeren keresztül tájékoztatja az MNB-t.
(2) A szolgáltató a kiszűrt találatokat elemzi és értékeli.
(3) A kiszűrt találatok elemzésének és értékelésének folyamatát a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.
46. § (1) A szolgáltató a pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekkel összefüggő tevékenység ellátásában részt vevő szolgáltató vezetőjét és foglalkoztatottját (a továbbiakban együtt: foglalkoztatott) ebben a munkakörben történő alkalmazását megelőzően vagy a belépést követő harminc napon belül képzésben részesíti (a továbbiakban: megelőzési képzés), és részére a belépés évét követően évente legalább egy alkalommal továbbképzést szervez (a továbbiakban együtt: képzés). A képzés része a szolgáltató által szervezett írásbeli vizsga, ideértve az elektronikus rendszereiben lebonyolított vizsgát is.
(2) A foglalkoztatott pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekkel összefüggő tevékenység ellátásában csak az (1) bekezdésben meghatározott képzéssel összefüggő sikeres vizsgát tett munkatárs felügyelete mellett vehet részt mindaddig, amíg a megelőzési képzésen megszerzett ismeretekről a szolgáltató által szervezett vizsgát sikeresen nem teljesíti.
(3) A szolgáltató a képzések tartására csak olyan személyt vehet igénybe, aki
a) szakirányú felsőfokú - így különösen jogi, közgazdasági, pénzügyi vagy informatikai - végzettséggel, valamint
b) legalább hároméves,
ba) a Pmt. hatálya alá tartozó szolgáltatónál belső ellenőrzési vagy megfelelőségi (compliance) feladatokat ellátó területen szerzett szakmai gyakorlattal vagy
bb) a Pmt. 5. §-ában meghatározott felügyeletet ellátó szervnél a Pmt. hatálya alá tartozó felügyeleti tevékenység ellátása területén szerzett szakmai gyakorlattal
rendelkezik.
(4) A szolgáltató az egyes munkakörök betöltéséhez szükséges mélységű képzési programot állít össze, a képzési program az egyes munkakörök betöltéséhez szükséges témaköröket tartalmazza.
(5) A szolgáltató a képzések, valamint az ezekhez kapcsolódó vizsgák anyagát, a képzések időpontját és a résztvevők névsorát, a vizsga javítókulcsát, a vizsgázók névsorát és vizsgázónként a vizsgaeredményeket visszakereshető módon nyilvántartja és a vizsga napjától számított öt évig őrzi.
(6) A szolgáltató Pmt. 63. § (5) bekezdése szerint meghatározott vezetője felelős a képzés programjának kidolgozásáért, a megelőzési képzés határidőben történő megszervezéséért, a foglalkoztatott képzésen történő részvételi lehetőségének biztosításáért, az (5) bekezdésben meghatározott adatok visszakereshető módon történő nyilvántartásáért, valamint a (2) bekezdésben foglaltak betartásának ellenőrzéséért.
(7) A csoportszintű politikák és eljárások kidolgozása során a szolgáltató figyelembe veszi az (1)-(6) bekezdésben foglaltakat.
47. § (1) Ez a rendelet - a (2) bekezdésben foglalt kivétellel - 2020. október 1-jén lép hatályba.
(2) A 36. § (1) bekezdés f) és g) pontja 2021. január 1-jén lép hatályba.
(3) *
