A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 77. § (3) bekezdés a)–c) és e)–k) pontjában kapott felhatalmazás alapján,
a 9. alcím tekintetében az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény 17. § (3) bekezdésében kapott felhatalmazás alapján,
a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 4. § (9) bekezdésében meghatározott feladatkörömben eljárva a következőket rendelem el:
1. § (1) E rendelet hatálya – a (2) bekezdésben meghatározott kivétellel – a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 1. § (1) bekezdés a)–e) és m) pontja, valamint (1a) bekezdése szerinti szolgáltatóra (a továbbiakban együtt: szolgáltató) terjed ki.
(2) E rendelet 8. alcíme nem terjed ki a kizárólag a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény szerinti számlainformációs szolgáltatást nyújtó szolgáltatóra.
2. § E rendelet alkalmazásában
1. áru: a fogyasztóvédelemről szóló 1997. évi CLV. törvény 2. § 2. pontjában meghatározott fogalom,
2. csatorna: elektronikus technikai eszköz – különösen mobiltelefon, számítógép, táblagép – vagy közvetítő, amelynek igénybevételével az ügyintézés nem abban a helyiségben történik, ahol a szolgáltató a tevékenységét állandó jelleggel folytatja,
3. készpénzes ügylet: az ügyfél részére történő készpénzkifizetés és az ügyfél általi készpénzbefizetés pénznemtől függetlenül,
4. kockázati profil: a beazonosított pénzmosási és terrorizmusfinanszírozási kockázatok csökkentését követően megmaradó kockázat általános jellege, beleértve a kockázat típusát és szintjét is,
5. küszöbérték: az üzleti kapcsolat során teljesített ügyletek révén elérhető olyan kumulált összeghatár, amelyet a szolgáltató kockázatérzékenységi alapon határoz meg,
6. megerősített eljárás: az ügyfélben, az áruban, az ügyletben, az alkalmazott eszközben vagy a földrajzi kitettségben rejlő kockázat kezelésére szolgáló kockázatalapú intézkedések együttesét magába foglaló fokozott monitoring,
7. monitoring: az üzleti kapcsolat és az ügyleti megbízásokat rendszeresen adó ügyfél folyamatos figyelemmel kísérése,
8. pénzmosási és terrorizmusfinanszírozási kockázat: a pénzmosás vagy a terrorizmusfinanszírozás felmerülésének valószínűsége és hatása,
9. szokatlan ügylet: olyan ügylet,
a) amely nincs összhangban az áruval kapcsolatban általánosan követett eljárásokkal,
b) amelynek nincs világosan érthető gazdasági célja vagy jogi alapja, vagy
c) amely esetében az ügyfél korábbi tevékenységéhez képest indokolatlanul megváltozik az ügyletek gyakorisága, illetve nagysága,
10. vezető testület: valamely szolgáltató irányítási funkciót betöltő testülete, illetve a felvigyázási funkciót betöltő testülete.
3. § A szolgáltató a Pmt. 8. § (4) bekezdésében és 9. § (3) bekezdésében előírt kötelezettség végrehajtása érdekében az ügyfél tulajdonosi és irányítási szerkezetének megértése céljából olyan észszerű intézkedéseket végez, amelyek elegendők ahhoz, hogy a szolgáltató meggyőződhessen arról, hogy átlátja és megérti az ügyfél vonatkozásában a tulajdonlás, irányítás és az ellenőrzés különböző szintjeihez kapcsolódó kockázatot, és meg tudja határozni a tényleges tulajdonosok kilétét.
4. § (1) A tényleges tulajdonos meghatározása érdekében a szolgáltató a Pmt. 3. § 38. pontjában foglaltaknak megfelelően – figyelembe véve a Magyar Nemzeti Bank (a továbbiakban: MNB) által nyilvánosságra hozott információkat is – megvizsgálja, hogy vannak-e olyan személyek, akik a jogi személynek vagy jogi személyiséggel nem rendelkező szervezetnek minősülő ügyfél tekintetében egyéb módon tényleges irányítást, ellenőrzést gyakorolnak. A szolgáltató ennek érdekében figyelembe veszi különösen:
a) az ügyfelet érintő, közvetlen tulajdonlás nélküli irányítást hozzátartozói viszony vagy szerződéses kapcsolatok révén,
b) az ügyfél tulajdonában lévő eszközök igénybevételét, használatát vagy azokból való haszonszerzést, továbbá
c) az ügyfél üzleti gyakorlatait vagy működését befolyásoló stratégiai döntésekért való felelősséget.
(2) A szolgáltató a tényleges tulajdonos kilétének megállapítása érdekében alkalmazott módszert belső szabályzatában rögzíti.
(3) A szolgáltató az ügyfél tulajdonosi és irányítási szerkezetének megállapítását akkor alapozhatja kizárólag az ügyfél nyilatkozatára, ha az ügyfél alacsony kockázatú, és a nyilatkozat valóságtartalmával összefüggésben az összes körülmény figyelembevételével a szolgáltatóban nem merül fel kétség. A szolgáltató minden más esetben kockázatérzékenységi megközelítés alapján a felmerült kockázati szinthez mérten arányos intézkedéseket alkalmaz az ügyfél tulajdonosi és irányítási szerkezetének feltárása érdekében.
5. § A szolgáltató a jogi személy ügyfél vonatkozásában kockázatérzékenységi alapon ellenőrzi a létesítési joghatósága szerinti tényleges tulajdonosi nyilvántartást, amennyiben a nyilvántartásban szereplő adatok a szolgáltató számára hozzáférhetőek. A jogi személy ügyfél vonatkozásában a tényleges tulajdonosok nyilvántartásában szereplő adatok kockázatérzékenységi alapon történő értékelésén túl a szolgáltató további adatokat szerez be, ha az üzleti kapcsolathoz magasabb kockázat társul, vagy ha a szolgáltatónak kétségei vannak afelől, hogy a nyilvántartásban szereplő személy a tényleges tulajdonos.
6. § (1) A szolgáltató az ügyfél által megnevezett vezető tisztségviselőt kizárólag abban az esetben rögzítheti az ügyfél tényleges tulajdonosaként, ha minden lehetséges eszközt kimerített azon természetes személy azonosítása céljából, aki az ügyfél tekintetében a Pmt. 3. § 38. pont a) vagy b) alpontja szerinti tulajdoni hányaddal, szavazati joggal vagy meghatározó befolyással rendelkezik, vagy aki egyéb módon tényleges irányítást, ellenőrzést gyakorol felette.
(2) A szolgáltató az (1) bekezdésben foglalt esetben a nyilvántartásában visszakereshető módon rögzíti annak okát, hogy az ügyfél tényleges tulajdonosaként miért az ügyfél által megnevezett vezető tisztségviselőt rögzítette.
7. § Ha kétség merül fel a tényleges tulajdonos kilétével kapcsolatban, a szolgáltató az ügyfél által megnevezett tényleges tulajdonos vonatkozásában a következő intézkedéseket alkalmazza:
a) a tényleges tulajdonos személyazonosságának igazoló ellenőrzése és
b) az üzleti kapcsolat céljának és jellegének, valamint a tényleges tulajdonos valós gazdasági kapcsolódásának ellenőrzése érdekében visszakereshető módon dokumentált és a Pmt. 56–58. §-ában foglaltaknak megfelelően megőrzendő ügyfélismereti beszélgetés lefolytatása
ba) az ügyféllel,
bb) – amennyiben a tényleges tulajdonos ebben együttműködik – kockázatérzékenységi alapon a tényleges tulajdonossal is.
8. § Ha a szolgáltató az ügyfél-átvilágítás keretében elvégzett intézkedések eredményeképpen nem tudja megismerni az ügyfél tulajdonosi és irányítási szerkezetét, és ekképpen a tényleges tulajdonos kilétét sem, az érintett ügyfélre vonatkozóan a Pmt. 13. § (8) bekezdésében foglaltak szerint jár el.
9. § A szolgáltató az ügyfél vonatkozásában felmerült kockázatokat és az azokra tekintettel elvégzett intézkedések eredményét visszakereshető módon dokumentálja és a Pmt. 56–58. §-ában foglaltaknak megfelelően megőrzi. Ennek érdekében a szolgáltató olyan nyilvántartást vezet, amelyből kétséget kizáróan megállapítható, hogy milyen forrásból származnak az ügyfélre vonatkozó adatok, és hogy a szolgáltató ezeket milyen módon ellenőrizte.
10. § A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmazhat, ha ügyfele a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
11. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmaz, ha ügyfele
a) a szolgáltató belső kockázatértékelésében meghatározott kritériumoknak megfelelő nonprofit szervezet,
b) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból származik,
c) olyan részvénytársaság, amelynek bemutatóra szóló részvénye van, vagy amelynek részvényesét részvényesi meghatalmazott képviseli, vagy
d) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tulajdonosi szerkezete a jogi személy vagy jogi személyiséggel nem rendelkező szervezet üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik.
(2) Az (1) bekezdés d) pontjában foglaltak nem alkalmazandók, ha a szolgáltató megítélése szerint a jogi személy vagy jogi személyiséggel nem rendelkező szervezet túlzottan összetett tulajdonosi szerkezete megindokolható, és azt a szolgáltató belső kockázatértékelésében részletesen, a kockázatcsökkentő és -növelő tényezők együttes értékelésével alátámasztja, vagy az ügyfél a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
12–14. § *
15. § (1) A Pmt.-ben meghatározottakon felül a szolgáltató kijelölt felelős vezetője dönt legalább az alábbi esetekben:
a) az üzleti kapcsolat létesítéséről, ha arra utaló adat, tény, illetve körülmény merül fel, hogy a szolgáltatást ténylegesen nem az a személy veszi igénybe, aki a szerződéskötési kérelemben ügyfélként feltüntetésre került,
b) privátbanki üzleti kapcsolat létesítéséről,
c) a szolgáltató által nyújtott árura vonatkozó vagy új üzleti gyakorlattal, többek között új teljesítési megoldással, valamint új vagy fejlődő technológiák alkalmazásának bevezetésével kapcsolatban,
d) az üzleti kapcsolat létesítéséről az ügyfélismereti kérdőív kiértékeléséből származó jelentős pénzmosási és terrorizmusfinanszírozási kockázat esetén, különösen, ha a kérdőíven évi százmillió forintot elérő vagy meghaladó készpénzforgalom lebonyolítását jelzi az ügyfél,
e) bizalmi vagyonkezelővel vagy ahhoz hasonló tevékenységet végző ügyféllel történő üzleti kapcsolat létesítéséről, valamint
f) üzleti kapcsolat létesítéséről, amennyiben az ügyfél székhelyéül székhelyszolgáltató címét jelöli meg.
(2) A szolgáltató kijelölt felelős vezetője az (1) bekezdésben meghatározott esetekben olyan dokumentált formában dönt, amely biztosítja a következetességet, a folyamatos figyelemmel kísérhetőséget és az ellenőrizhetőséget is.
16. § (1) A szolgáltató kockázatérzékenységi megközelítés alapján a Pmt. 65. §-a szerinti szabályzatában rendelkezhet a Pmt. 10. § (3) bekezdésében, 14/A. § (4) bekezdésében, 16. § (2) bekezdés a) pontjában és 16/A. § (1) bekezdés b) pontjában, valamint e rendelet 15. §-ában foglalt, az üzleti kapcsolat létesítéséhez vagy ügyleti megbízás teljesítéséhez a kijelölt felelős vezető döntését igénylő esetek teljes körű vagy részleges, állandó vagy a kijelölt felelős vezető eseti helyettesítését biztosító delegálásának szabályairól.
(2) A szolgáltató a Pmt. 65. §-a szerinti szabályzatában az (1) bekezdés szerinti döntési jogköröket kizárólag olyan vezetőre delegálhatja, aki rendelkezik a döntéshez szükséges szakmai ismeretekkel. A delegálásra vonatkozó szabályok kialakítása során a szolgáltató meghatározza az egyes döntési jogkörök delegálásnak mérlegelése során figyelembe veendő szempontokat is.
17. § (1) A szolgáltató a Pmt.-ben meghatározottakon túl legalább a következő esetekben alkalmaz megerősített eljárást:
a) a takarékbetétről szóló törvényerejű rendelet szerinti nem névre szóló takarékbetét névre szólóvá alakításával érintett ügyfél tekintetében, ha a névre szólóvá alakítani kívánt takarékbetétek összértéke eléri a négymillió-ötszázezer forintot, az átalakítástól számított egy évig,
b) ha az ügyfelet a szolgáltató tízmillió forintot elérő vagy meghaladó pénzváltás miatt világítja át, a tízmillió forintot elérő vagy meghaladó utolsó pénzváltástól számított egy évig,
c) ha az ügyleti megbízásokat rendszeresen adó ügyfelet a szolgáltató ötvenmillió forintot elérő vagy meghaladó összegű ügyleti megbízás miatt világítja át, az ötvenmillió forintot elérő vagy meghaladó utolsó ügylettől számított egy évig,
d) ha az ügyfél készpénzforgalma – azaz befizetéseinek és pénzfelvételeinek összege – a havi százmillió forintot eléri vagy meghaladja, az utolsó százmillió forintot elérő vagy meghaladó készpénzforgalmú hónapot követően számított egy évig,
e) ha a szolgáltató ügyfelével kapcsolatban a szolgáltató által vagy a csoporton belül, amelyhez a szolgáltató tartozik, a Pmt. 30. § (1) bekezdése szerinti bejelentés történt, az utolsó bejelentéstől számított egy évig, valamint
f) nem magyar állampolgárságú és kilencven napot meghaladó magyarországi tartózkodásra jogosító engedéllyel vagy tartózkodási regisztrációval, lakóhellyel vagy tartózkodási hellyel nem rendelkező, az Európai Unió területén kívüli lakóhellyel vagy tartózkodási hellyel rendelkező természetes személynél.
(2) A szolgáltató a megerősített eljárásnak az (1) bekezdésben meghatározottakon kívüli egyéb eseteit a belső kockázatértékelésében rögzíti.
(3) A szolgáltató az általa meghatározott ügyfelek egy csoportja tekintetében mellőzheti a megerősített eljárást, ha az (1) bekezdés szerinti esetekre vonatkozóan belső kockázatértékelésében azt részletesen, a kockázatcsökkentő és -növelő tényezők együttes értékelésével alátámasztja.
18. § (1) A szolgáltató a megerősített eljárás alá tartozó ügyfeleknél a 28–31. § rendelkezéseinek megfelelően szűri és pénzmosás és terrorizmusfinanszírozás szempontjából elemzi és értékeli a belső kockázatértékelésben meghatározott ügyleteket.
(2) Az (1) bekezdésben meghatározott kockázatértékelés során a szolgáltató ügyletenkénti értékhatárt alkalmaz.
(3) A belső kockázatértékelésben meghatározott értékhatárt a szolgáltató a kockázatcsökkentő és -növelő tényezők együttes értékelésével, kockázatalapon, ügyletenként határozza meg.
(4) Ha a megerősített eljárás alá tartozó ügyfelek tízmillió forintot elérő vagy meghaladó összegű készpénzbefizetést vagy pénzváltást teljesítenek, a szolgáltató beszerzi a pénzeszköz forrására vonatkozó információt, valamint ezen információk igazoló ellenőrzése érdekében a pénzeszközök forrására vonatkozó dokumentumok bemutatását is megköveteli.
19. § (1) A belső kockázatértékelés alkalmazása során a szolgáltató beazonosítja a már ismert kockázatai közül azokat, amelyek hatással vannak a pénzmosási és terrorizmusfinanszírozási kockázataira.
(2) A szolgáltató az (1) bekezdésben meghatározott beazonosítás során figyelembe veszi a már rendelkezésre álló kockázati profilt.
20. § (1) A szolgáltató a kockázati tényezők beazonosítása során a Pmt.-ben meghatározottakon túl az alábbiakat veszi figyelembe:
a) az Európai Bizottság nemzetek feletti kockázatértékelését,
b) az európai felügyeleti hatóságok véleményét a pénzügyi ágazatot érintő európai uniós pénzmosási és terrorizmusfinanszírozási kockázatokról,
c) az MNB által kiadott ajánlást,
d) az MNB által nyilvánosságra hozott információkat és
e) az MNB által folytatott eljárás során keletkezett és nyilvánosságra hozott határozatokat.
(2) A szolgáltató a kockázati tényezők beazonosítása során különösen
a) a civil társadalomtól,
b) a 21. § (1) bekezdése szerinti állam pénzmosás és a terrorizmus finanszírozása elleni rendszere megfelelőségével és hatékonyságával, korrupcióellenes és adózási rendszerével kapcsolatos értékeléséből,
c) nyilvános forrásból és
d) tudományos intézményektől
származó információkat vehet figyelembe.
21. § (1) Ha a szolgáltató ki van téve az Európai Unió egy másik tagállama vagy harmadik ország pénzmosási és terrorizmusfinanszírozási kockázatainak, a szolgáltató ezeket a kockázatokat is beazonosítja.
(2) A szolgáltató az (1) bekezdés szerinti kockázatokat különösen abban az esetben azonosítja be, ha a szolgáltató
a) az Európai Unió egy másik tagállamában vagy harmadik országban létrehozott pénzügyi csoport tagja,
b) tulajdonosa az Európai Unió egy másik tagállamában vagy harmadik országban bejegyzett szolgáltatónak,
c) tényleges tulajdonosa az Európai Unió egy másik tagállamából vagy harmadik országból származik, vagy
d) olyan kapcsolatot tart fenn az Európai Unió egy másik tagállamában vagy harmadik országban lévő szervvel vagy szervezettel, amely arra utal, hogy a szolgáltató ki van téve az adott ország pénzmosási és terrorizmusfinanszírozási kockázatainak.
(3) A szolgáltató beszerzi az (1) bekezdés szerinti tagállamhoz vagy harmadik országhoz köthető pénzmosási és terrorizmusfinanszírozási kockázatokkal kapcsolatos azon információkat, amelyek hatással lehetnek az általa végzett tevékenységre.
(4) A szolgáltató a tudomásszerzéstől számított három munkanapon belül bejelentést tesz az MNB-hez, ha az (1) bekezdés szerinti kockázatok beazonosítását és a (3) bekezdés szerinti információk beszerzését követően olyan hiányosság jut a tudomására, amely veszélyt jelent az Európai Unió pénzügyi rendszerére.
22. § A szolgáltató az alábbi szempontokat veszi figyelembe belső kockázatértékelésének elkészítésekor:
a) tulajdonosi és vállalati szerkezete, figyelemmel arra, hogy a szolgáltató nemzetközi, külföldi vagy belföldi intézmény, anyavállalat, leányvállalat, fióktelep vagy egyéb szervezet,
b) szervezetének és szerkezetének összetettsége és átláthatósága,
c) a kínált áru, az elvégzett tevékenység és ügylet természete és összetettsége,
d) az alkalmazott eszköz, beleértve az ingyenes szolgáltatásnyújtást, az ügynök vagy a közvetítő használatát,
e) a kiszolgált ügyfelek típusai,
f) az üzleti tevékenység földrajzi területe, különösen, ha azt stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban végzi, vagy az ügyfelei jelentős részének származási országa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország,
g) a belső irányítási megoldás és szerkezet minősége, beleértve a belső ellenőrzési és megfelelési funkció hatékonyságát, a pénzmosás és a terrorizmusfinanszírozás megelőzésével és megakadályozásával összefüggő jogi követelménynek való megfelelést és a megelőző belső kockázatértékeléseinek hatékonyságát, és
h) az uralkodó vállalati kultúra, különösen a megfelelési és átláthatósági kultúra.
23. § (1) A 20–22. § szerinti tényezők együttesen képezik a szolgáltató kockázatértékelésének alapját.
(2) A szolgáltató értékeli a 20–22. § szerinti tényezők szolgáltatóra gyakorolt hatását és a szolgáltatónál működő kockázatalapú ellenőrzési rendszer és folyamat megfelelőségét a pénzmosási és terrorizmusfinanszírozási kockázat enyhítése érdekében.
(3) A szolgáltató a kockázati tényező relatív jelentősége alapján eltérően súlyozhatja a kockázatot és az azt mérséklő tényezőket.
(4) A szolgáltató a kockázatokat legalább alacsony, átlagos és magas kockázati kategóriába sorolja.
(5) A szolgáltató a kockázatokat legalább ügyfél, áru, alkalmazott eszköz, földrajzi kockázati csoportokba sorolja.
24. § (1) A szolgáltató a Pmt. 65. § (1) bekezdése szerinti belső szabályzatában a beazonosított kockázat értékelése alapján meghatározza, hogy milyen intézkedésre van szükség a feltárt kockázat kezelése érdekében.
(2) A szolgáltató vezető tisztségviselője vagy irányítási funkciót betöltő testülete a belső kockázatértékelésről szóló jelentést jóváhagyja.
25. § (1) A szolgáltató a belső kockázatértékelését az alapjául szolgáló információ időszakos és eseti felülvizsgálatával aktualizálja.
(2) A szolgáltató az (1) bekezdés alapján elvégzett felülvizsgálatot úgy ütemezi, hogy az arányban álljon a szolgáltatóhoz kapcsolódó pénzmosási és terrorizmusfinanszírozási kockázattal.
(3) A szolgáltató a belső kockázatértékelését soron kívül felülvizsgálja, ha
a) külső hatás megváltoztatja a kockázat természetét,
b) új típusú pénzmosási és terrorizmusfinanszírozási kockázat merül fel,
c) az MNB hatósági döntése ilyen intézkedést tartalmaz,
d) a szolgáltató saját maga által tett, kockázatot csökkentő intézkedéséből ez következik,
e) a szolgáltató tulajdonosaival, a vezető testület tagjaival, a fő funkciókat ellátó személyekkel vagy a szervezetével kapcsolatban új információk merülnek fel, továbbá
f) minden egyéb esetben, amikor a szolgáltatónak alapos oka van azt feltételezni, hogy a kockázatértékelés alapjául szolgáló információ már nem vagy nem teljesen helytálló.
26. § (1) A szolgáltató meghatározza az ügyfélnek adandó tájékoztatást, valamint belső szabályzatában rögzíti szervezeti egységeinek kötelezettségét és felelősségét az ügylet felfüggesztése során.
(2) Az (1) bekezdés szerinti tájékoztatás nem utalhat az ügylet felfüggesztésének tényére és a felfüggesztés indokára.
(3) A szolgáltató biztosítja, hogy
a) a felfüggesztés tényéről a szolgáltató tudomással bíró, Pmt. 31. § (1) bekezdésében meghatározott vezetője és foglalkoztatottja az (1) bekezdés szerinti tájékoztatás szerint járjon el,
b) a felfüggesztés teljesítéséhez csak a szükséges szervezeti egységet vonja be,
c) a felfüggesztési kötelezettség teljesítésére utaló adat, tény, illetve körülmény felmerülésekor telefonon értesíthesse a pénzügyi információs egységként működő hatóságot, és ebben az esetben a tőle kapott instrukciók szerint járjon el, valamint
d) a felfüggesztés ideje alatt a telefonos kapcsolattartás a pénzügyi információs egységként működő hatósággal a kijelölt személy akadályoztatása esetén is folyamatos legyen.
(4) A szolgáltató az általa vezetett nyilvántartáson belül az ügylet felfüggesztését igazoló iratot vagy annak másolatát elkülönítetten kezeli.
27. § Ezen alcím alkalmazásában
1. automatikus szűrőrendszer: az ügyfél és az ügylet pénzmosás és terrorizmusfinanszírozás szempontjából előzetes paraméterezés alapján történő, emberi beavatkozást nem igénylő leválogatására alkalmas informatikai rendszer;
2. manuális szűrés: az ügyfél és az ügylet pénzmosás és terrorizmusfinanszírozás szempontjából történő, emberi beavatkozást igénylő leválogatása.
28. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként olyan, a bejelentés teljesítését támogató szűrőrendszerrel rendelkezik, amely biztosítja a pénzmosás és a terrorizmusfinanszírozás szempontjából kockázatos ügyfél és szokatlan ügylet kiszűrését és a bejelentés megtételéhez szükséges adatok rendelkezésre bocsátását (a továbbiakban: szűrőrendszer).
(2) A szolgáltató – a (3) bekezdésben foglalt kivétellel – manuális szűréseken alapuló szűrőrendszert alkalmazhat.
(3) A szolgáltató automatikus szűrőrendszert működtet, ha
a) pénzforgalmi szolgáltatási tevékenységet végez, vagy
b) ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ötvenezret.
29. § (1) A szolgáltató a szűrőrendszer működéséről, a kiszűrt ügyfél, valamint az ügylet elemzésének és értékelésének menetéről belső eljárásrendet készít.
(2) Az (1) bekezdés szerinti belső eljárásrendet a szolgáltató írásban rögzíti, naprakészen tartja, és az illetékes felügyeleti hatóságok rendelkezésére bocsátja.
(3) A szűrőrendszer belső eljárásrendjének legalább az alábbi feltételeknek kell megfelelnie:
a) a szolgáltató belső kockázatértékelésén alapul,
b) megfelel a szolgáltató kapcsolódó belső szabályzatainak,
c) dokumentálja a szolgáltató által használt szcenáriókat, az azok alapjául szolgáló logikákkal, paraméterekkel és küszöbértékekkel, és biztosítja a változások nyomon követhetőségét,
d) biztosítja az adatok integritását és minőségét annak érdekében, hogy a szűrőrendszeren pontos és teljes adatok menjenek keresztül,
e) rögzíti a releváns adatokat tartalmazó összes adatforrást,
f) biztosítja a szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,
g) rögzíti az elemző- és értékelőfolyamat során alkalmazott határidőket,
h) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint azt, hogy milyen módon kell a döntéshozatali eljárást dokumentálni,
i) biztosítja a szcenáriók és az azok alapjául szolgáló logikák, paraméterek és küszöbértékek kockázataival összhangban történő felülvizsgálatát, illetve tartalmazza, hogy ki a felelős a felülvizsgálatért, valamint
j) automatikus szűrőrendszer esetén előírja a szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, az adatok leképezése, az ügyletek azonosítása, a keresési szcenáriók és logikák, a szűrési modellezés, valamint a bevitt adatok és az eredmények vizsgálatával kapcsolatosan.
30. § (1) A szolgáltató legalább a következő ügyfél-, illetve ügylettípusokra végzett szűréseket hajtja végre, és azt biztosítja a belső kockázatértékelésében:
a) huszonötmillió forintot elérő vagy meghaladó összegű készpénzbefizetés természetes személy ügyfél részére,
b) ötvenmillió forintot elérő vagy meghaladó összegű készpénzbefizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére,
c) huszonötmillió forintot elérő vagy meghaladó összegű készpénzkifizetés természetes személy ügyfél részére,
d) ötvenmillió forintot elérő vagy meghaladó összegű készpénzkifizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére,
e) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból kezdeményezett vagy oda továbbított, huszonötmillió forintot elérő vagy meghaladó összegű ügylet,
f) huszonötmillió forintot elérő vagy meghaladó összegű pénzátutalás adószámmal nem rendelkező jogi személy és jogi személyiséggel nem rendelkező ügyfél részére, vagy általa kezdeményezve, valamint
g) ötvenmillió forintot elérő vagy meghaladó összegű pénzátutalás nem magyar adószámmal rendelkező jogi személy és jogi személyiséggel nem rendelkező ügyfél részére, vagy általa kezdeményezve.
(2) A szolgáltató a szűrési feltételeit az (1) bekezdésben meghatározottakon túl a belső kockázatértékelése alapján határozza meg.
(3) A szolgáltató belső kockázatértékelése alapján az (1) bekezdésben szereplő kötelező szűrési feltételeket más szűrésekkel is helyettesítheti, ha az MNB részére bizonyítani tudja, hogy bevezetett szűrései teljeskörűen alkalmasak az (1) bekezdésben szereplő szűrések mögötti kockázatok kezelésére.
31. § (1) A szolgáltató a szűrést folyamatosan végzi. A szűrés folyamatosságát huszonnégy órát meghaladóan akadályozó körülmény szolgáltató tudomására jutásáról és az ennek kiküszöbölésére foganatosított, illetve foganatosítani tervezett intézkedésekről a szolgáltató haladéktalanul, elektronikus formában, az MNB Elektronikus Rendszer Hitelesített Adatok Fogadásához megnevezésű rendszerén (a továbbiakban: ERA rendszer) keresztül tájékoztatja az MNB-t.
(2) A kiszűrt ügyfél, illetve ügylet pénzmosás és terrorizmusfinanszírozás szempontjából történő elemzését és értékelését a szolgáltató a 18. § (1) bekezdésében és a 30. § (1) bekezdésében foglalt esetben a szűrést követő hatvan munkanapon belül végzi el. A szűrés elvégzésének napja a határidőbe nem számít bele.
(3) A szolgáltató a szűrései során figyelembe veszi a belső kockázatértékelése alapján kialakított szokatlan tranzakciókra figyelmeztető jelzéseket.
(4) A kiszűrt ügyfél, illetve ügylet elemzésének és értékelésének folyamatát a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.
32. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként névtelenséget biztosító visszaélésbejelentési rendszert működtet.
(2) Visszaélés-bejelentést az (1) bekezdésben foglaltak szerinti visszaélésbejelentési rendszeren keresztül az tehet, aki tudomással bír arról, hogy a szolgáltatónál a Pmt. rendelkezése megsértésre kerül vagy került.
(3) A visszaélés-bejelentést a szolgáltató harminc napon belül kivizsgálja. A határidőbe a bejelentés megtételének napja nem számít bele.
(4) A visszaélés-bejelentés kivizsgálásában nem vehet részt a bejelentéssel érintett személy.
(5) Ha a szolgáltató azt állapítja meg, hogy pénzmosásra, terrorizmusfinanszírozásra vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény merül fel, a kijelölt személy haladéktalanul bejelentést tesz a pénzügyi információs egységnek.
(6) Ha a szolgáltató azt állapítja meg, hogy bűncselekmény gyanúja áll fenn, haladéktalanul feljelentést tesz a hatáskörrel és illetékességgel rendelkező nyomozó hatóságnál.
(7) Ha a szolgáltató az (5) és (6) bekezdésben foglalt eseteken kívül a Pmt., az Európai Unió és az Egyesült Nemzetek Szervezetének Biztonsági Tanácsa (a továbbiakban: ENSZ BT) által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény vagy e rendelet megsértését állapítja meg, e tényt a kijelölt személy haladéktalanul bejelenti az MNB-nek.
(8) A szolgáltató a bejelentés megtételét követően biztosítja, hogy a bejelentéshez a bejelentést tevőn vagy a szolgáltató foglalkoztatottján, mint a bejelentés kivizsgálásában érintett személyen kívül más személy ne férhessen hozzá.
33. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen az üzleti kapcsolat leválogatására
a) a Pmt. által előírt személyes adat,
b) a fizetési számla pénzforgalmi jelzőszáma vagy IBAN-ja,
c) ügyfélszám,
d) ügylettípus vagy
e) összeghatár
alapján.
34. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen a benne rögzített adatoknak a Pmt.-ben meghatározott időtartam alatt visszakereshetőséget lehetővé tevő nyilvántartására.
35. § Ezen alcím alkalmazásában
1. automatikus szűrőrendszer: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak uniós jogi aktusban és az Egyesült Nemzetek Szervezete Biztonsági Tanácsának határozatában (a továbbiakban: ENSZ BT határozat) szereplő személyek adataival való folyamatos, emberi beavatkozást nem igénylő összehasonlítására alkalmas informatikai rendszer,
2. manuális szűrés: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak uniós jogi aktusban és ENSZ BT határozatban szereplő személyek adataival való összehasonlítására alkalmas, emberi beavatkozást igénylő eljárás,
3. szankciós szűrőrendszer: olyan szűrőrendszer, amely biztosítja a pénzügyi és vagyoni korlátozó intézkedéseket elrendelő uniós jogi aktusok és ENSZ BT határozatok haladéktalan és teljes körű végrehajtását.
36. § A szolgáltató szankciós szűrőrendszerrel rendelkezik.
37. § A szolgáltató a szankciós szűrőrendszer keretében automatikus szűrést alkalmaz, ha a szolgáltató ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ezret, egyéb esetben a szolgáltató manuális szűréssel is biztosíthatja a pénzügyi és vagyoni korlátozásokat elrendelő uniós jogi aktusok és ENSZ BT határozatok haladéktalan végrehajtását.
38. § (1) A szolgáltató belső eljárásrendet készít a szankciós szűrőrendszer működése, illetve kiszűrt ügyfél, tényleges tulajdonos, rendelkezésre jogosult, meghatalmazott és képviselő, valamint ügylet elemzése és értékelése vonatkozásában.
(2) Az (1) bekezdésben meghatározott belső eljárásrendet a szolgáltató írásban rögzíti, naprakészen tartja, és azt a felügyeleti jogkörében eljáró MNB rendelkezésére bocsátja.
(3) A szankciós szűrőrendszer belső eljárásrendje legalább az alábbi feltételeknek felel meg:
a) dokumentálja a szolgáltató által használt keresési logikákat, az azok alapjául szolgáló feltételezésekkel, paraméterekkel,
b) biztosítja az adatok integritását, pontosságát és minőségét annak érdekében, hogy a szankciós szűrőrendszeren pontos és teljes adatok menjenek keresztül,
c) rögzíti a releváns adatokat tartalmazó összes adatforrást,
d) biztosítja a szankciós szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,
e) rögzíti az elemző- és értékelőfolyamat során alkalmazott határidőket,
f) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szankciós szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint hogy milyen módon kell a döntéshozatali eljárást dokumentálni,
g) biztosítja a szűrési logikák és az azok alapjául szolgáló szabályok, paraméterek folyamatos vizsgálatát, és
h) automatikus szűrőrendszer esetén lehetővé teszi a szankciós szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, adatok leképezése, ügyletek azonosítása, keresési logikák, szűrési modellezés, valamint bevitt adatok és az eredmények vizsgálatával.
39. § (1) A szolgáltató az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekre vonatkozó szűrést folyamatosan végzi. A szűrés folyamatosságát huszonnégy órát meghaladóan akadályozó körülmény szolgáltató tudomására jutásáról és az ennek kiküszöbölésére foganatosított, illetve foganatosítani tervezett intézkedésekről a szolgáltató haladéktalanul, elektronikus formában, az ERA rendszeren keresztül tájékoztatja az MNB-t.
(2) A szolgáltató a kiszűrt találatokat elemzi és értékeli.
(3) A szolgáltató a (2) bekezdés alapján végzett értékelő-elemző munka eredményességét és a szűrőrendszerének hatékony működését kockázati alapon, a működési modellje figyelembevételével a szolgáltató valamennyi védelmi vonalának bevonásával, rendszeresen ellenőrzi.
(4) A kiszűrt találatok elemzésének és értékelésének folyamatát, valamint ezek ellenőrzését a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.
40. § (1) A szolgáltató a pénzmosás és a terrorizmusfinanszírozás megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekkel összefüggő tevékenység ellátásában részt vevő megfelelési vezetőjét és foglalkoztatottját (a továbbiakban együtt: foglalkoztatott) ebben a munkakörben történő alkalmazását megelőzően vagy a belépést követő harminc napon belül képzésben részesíti (a továbbiakban: megelőzési képzés), és részére a belépés évét követően évente legalább egy alkalommal továbbképzést szervez (a továbbiakban együtt: képzés). A képzés része a szolgáltató által szervezett írásbeli vizsga, ideértve a szolgáltató elektronikus rendszereiben lebonyolított vizsgát is.
(2) A foglalkoztatott pénzmosás és a terrorizmusfinanszírozás megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekkel összefüggő tevékenység ellátásában csak az (1) bekezdésben meghatározott képzéssel összefüggő sikeres vizsgát tett munkatárs felügyelete mellett vehet részt mindaddig, amíg a megelőzési képzésen megszerzett ismeretekről a szolgáltató által szervezett vizsgát sikeresen nem teljesíti.
(3) A szolgáltató a képzések tartására csak olyan személyt vehet igénybe, aki
a) szakirányú felsőfokú – így különösen jogi, közgazdasági, pénzügyi vagy informatikai – végzettséggel, valamint
b) legalább hároméves,
ba) a Pmt. hatálya alá tartozó szolgáltatónál belső ellenőrzési vagy megfelelőségi (compliance) feladatokat ellátó területen szerzett szakmai gyakorlattal vagy
bb) a Pmt. 5. §-ában meghatározott felügyeletet ellátó szervnél a Pmt. hatálya alá tartozó felügyeleti tevékenység ellátása területén szerzett szakmai gyakorlattal
rendelkezik.
(4) A szolgáltató az egyes munkakörök betöltéséhez szükséges mélységű képzési programot állít össze, a képzési program az egyes munkakörök betöltéséhez szükséges témaköröket tartalmazza.
(5) A szolgáltató a képzések, valamint az ezekhez kapcsolódó vizsgák anyagát, a képzések időpontját és a résztvevők névsorát, a vizsga javítókulcsát, a vizsgázók névsorát és vizsgázónként a vizsgaeredményeket visszakereshető módon nyilvántartja, és a vizsga napjától számított öt évig őrzi.
(6) A szolgáltató megfelelési vezetője felelős a szolgáltató képzési programjának kidolgozásáért, a megelőzési képzés határidőben történő megszervezéséért, a foglalkoztatottak képzésen történő részvételi lehetőségének biztosításáért, az (5) bekezdésben meghatározott adatok visszakereshető módon történő nyilvántartásáért, valamint a (2) bekezdésben foglaltak betartásának ellenőrzéséért.
(7) A csoportszintű politikák és eljárások kidolgozása során a szolgáltató figyelembe veszi az (1)–(6) bekezdésben foglaltakat.
41–45. § *
46. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – 2024. július 1-jén lép hatályba.
(2) A 12–14. §, a 41–45. § és a 47–51. § 2025. március 1-jén lép hatályba.
47–51. § *
52. § *
