• Tartalom

45/2018. (XII. 17.) MNB rendelet

45/2018. (XII. 17.) MNB rendelet

a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény végrehajtásának az MNB által felügyelt szolgáltatókra vonatkozó, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól1

2019.10.18.

A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 77. § (3) bekezdésében és

a 9. alcím tekintetében az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény 17. § (3) bekezdésében

kapott felhatalmazás alapján, a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 4. § (9) bekezdésében meghatározott feladatkörömben eljárva a következőket rendelem el:

1. Általános rendelkezések

1. § E rendelet hatálya a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 1. § (1) bekezdése szerinti hitelintézetre, pénzügyi szolgáltatóra, foglalkoztatói nyugdíjszolgáltató intézményre, önkéntes kölcsönös biztosítópénztárra, nemzetközi postautalvány-felvételt és -kézbesítést végzőre és bizalmi vagyonkezelőre (a továbbiakban együtt: szolgáltató) terjed ki.

2. § E rendelet alkalmazásában:

1. auditált elektronikus hírközlő eszköz: az ügyfél távoli, elektronikus adatátviteli csatornán történő átvilágítására, az ügyfél nyilatkozatainak megtételére, az ügyfél által tett nyilatkozat értelmezésére, biztonságos tárolására, a tárolt adatok visszakeresésére és ellenőrzésére alkalmas auditált elektronikus rendszer,

2. az Európai Unió területén kívüli térséghez kapcsolódó átutalás: a kedvezményezett fizetési számlájának egy fizetési művelet vagy sorozatos fizetési művelet útján történő jóváírására irányuló pénzforgalmi szolgáltatás, amelyet a fizető fél által adott megbízás alapján a fizető fél pénzforgalmi szolgáltatónál vezetett fizetési számlájáról indítanak, függetlenül attól, hogy a kedvezményezett és a fizető fél azonos személy-e, valamint függetlenül attól is, hogy a fizető fél pénzforgalmi szolgáltatója és a kedvezményezett pénzforgalmi szolgáltatója azonos-e, amennyiben

a) a kedvezményezett vagy a fizető fél lakhelye vagy székhelye, vagy

b) bármelyik pénzforgalmi szolgáltató székhelye

az Európai Unió területén kívül található,

3. elektronikus ügyfélazonosító rendszer: olyan személyre szabott elektronikus eljárás, amely a nyilatkozattevő személyének és a nyilatkozat megtétele időpontjának egyértelmű azonosítására és a jognyilatkozat tartalmának változatlan visszaidézésére alkalmas formában teszi lehetővé a jognyilatkozat megtételét,

4. kockázati profil: a beazonosított pénzmosási és terrorizmus-finanszírozási kockázatok csökkentését követően megmaradó kockázat általános jellege, beleértve a kockázat típusát és szintjét is,

5. megerősített eljárás: az ügyfélben, a termékben, a szolgáltatásban, az ügyletben, az alkalmazott eszközben vagy a földrajzi kitettségben rejlő kockázat kezelésére szolgáló kockázatalapú intézkedések együttesét magába foglaló fokozott monitoring,

6. monitoring: az üzleti kapcsolat folyamatos figyelemmel kísérése,

7. pénzmosási és terrorizmus-finanszírozási kockázat: a pénzmosás vagy a terrorizmus finanszírozása felmerülésének valószínűsége és hatása,

8. szokatlan ügylet: olyan ügylet,

a) amely nincs összhangban a termékkel vagy a szolgáltatással kapcsolatban általánosan követett eljárásokkal,

b) amelynek nincs világosan érthető gazdasági célja vagy jogi alapja,

c) amely esetében az ügyfél korábbi tevékenységéhez képest indokolatlanul megváltozik az ügyletek gyakorisága, nagysága.

2. Az auditált elektronikus hírközlő eszköz és működtetésének minimumkövetelményei, auditálásának módja, valamint az ilyen eszköz útján végzett ügyfél-átvilágítás

3. § (1) Az elektronikus hírközlő eszköz akkor auditálható és működtethető, ha legalább az alábbi informatikai biztonsági követelményeknek megfelel:

a) elemei azonosíthatók és dokumentáltak,

b) üzemeltetési folyamatai szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek,

c) változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhassanak meg,

d) adatmentési és -visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás az üzemeltetési szabályzat szerinti gyakorisággal és dokumentáltan tesztelt,

e) a felhasználói hozzáférés mind alkalmazási, mind infrastruktúraszinten szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,

f) a felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, biztosítják az azonosítási folyamat megvalósulását, továbbá felhasználóinak tevékenysége naplózott, a rendkívüli eseményekről automatikus figyelmeztetések generálódnak,

g) a hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek, a kiemelt jogosultságokkal elvégzett tevékenység naplózott, a naplófájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak,

h) a távoli hozzáférés szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,

i) a vírusok és más rosszindulatú kódok és cselekmények elleni védelem biztosított,

j) adatkommunikációja és rendszerkapcsolatai dokumentáltak és ellenőrzöttek, az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosított,

k) a katasztrófa-helyreállítási terv rendszeresen tesztelt, feltéve hogy az ügyfél-átvilágításra a szolgáltató más módon nem képes vagy az alkalmazott rendszer a szolgáltató vonatkozásában üzleti kritikus rendszerként került besorolásra,

l) karbantartása szabályozott,

m) adathordozóinak védelme szabályozott, biztosított, hogy az adathordozókhoz csak az arra jogosult személyek és csak az adatkezelési cél teljesülése érdekében férnek hozzá, ennek felülvizsgálata és ellenőrzése rendszeresen megtörténik,

n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről, és

o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.

(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy

a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,

b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatást, beleértve a szolgáltatás biztonságára vonatkozó ügyfél oldali felelősségről szólót is,

c) a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki – a szolgáltató által alkalmazott megoldástól függően – a valós vagy nem valós idejű ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,

d) az elektronikus hírközlő eszközre, és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen az (1) bekezdésben foglalt követelményeknek,

e) a jogi szabályozásban, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente a vizsgálati jelentés megújításra kerüljön,

f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább

fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),

fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),

fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy

fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)

képesítéssel és minősítéssel, valamint

g) a Pmt.-ben az ügyfél-átvilágítással összefüggésben előírt, valamint az érintett hozzájárulásán alapuló egyéb személyes adatokat, továbbá az elektronikus azonosítás során a szolgáltató birtokába jutott, személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az ügyfél részére hozzáférhetővé tegye, átadja.

4. § A szolgáltató kizárólag az előzetesen már átvilágított meglévő ügyfelei tekintetében a tényleges tulajdonosi és kiemelt közszereplő nyilatkozatok beszerzésére auditált elektronikus hírközlő eszköz helyett használhatja az elektronikus ügyfélazonosító rendszerét is.

5. § (1) A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágítást valós, illetve nem valós idejű módon végezheti.

(2) A szolgáltató az auditált elektronikus hírközlő eszköz útján nem valós idejű ügyfél-átvilágítást (a továbbiakban: nem valós idejű ügyfél-átvilágítás) végezhet, ha:

a) az átvilágításban érintett ügyfél vagy tényleges tulajdonosa nem stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik lakóhellyel vagy székhellyel,

b) az átvilágításban érintett ügyfél, annak meghatalmazottja, a rendelkezésre jogosultja, vagy képviselője nem hajthat végre – havi összesen háromszázezer forintot meg nem haladó készpénzfelvételt kivéve – készpénzes ügyletet, vagy az Európai Unió területén kívüli térséghez kapcsolódó átutalást addig, ameddig az ügyfél, a rendelkezésre jogosult, a képviselő vagy a meghatalmazott nem jelent meg személyesen az azonosítás és a személyazonosság igazoló ellenőrzése céljából, vagy nem történt meg a valós idejű ügyfél-átvilágítás, és

c) az átvilágításban érintett ügyfél, annak meghatalmazottja, a rendelkezésre jogosultja, továbbá a képviselője nem hajthat végre tízmillió forintot elérő vagy meghaladó ügyletet addig, ameddig az ügyfél, a rendelkezésre jogosult, a képviselő vagy a meghatalmazott nem jelent meg személyesen az azonosítás és a személyazonosság igazoló ellenőrzése céljából, vagy nem történt meg a valós idejű ügyfél-átvilágítás.

(3) A szolgáltató haladéktalanul köteles az ügyfelet, a rendelkezésre jogosultat, a képviselőt vagy a meghatalmazottat személyes megjelenés mellett átvilágítani vagy valós idejű ügyfél-átvilágítás alá vetni, ha az ügyfél tevékenysége vonatkozásában felmerül a pénzmosás vagy terrorizmus-finanszírozás kockázata.

6. § (1) A szolgáltató az auditált elektronikus hírközlő eszköz útján végzett nem valós idejű ügyfél-átvilágítást olyan eszköz útján végzi, amely az ügyfélről az ügyfél-átvilágítás során készített fényképet és az átvilágításhoz felhasznált okiratban szereplő képmást képes összehasonlítani olyan módon, hogy az alapján kétséget kizáróan megállapítható, hogy az okmányban szereplő személy azonos a fényképfelvételen szereplő személlyel.

(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában biztosítja az ügyfél átvilágítására vonatkozó feltételeket, amennyiben

a) az ügyfél a nem valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult,

b) az ügyfél-átvilágítás legalább kétfaktoros,

c) a képátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által bemutatott fényképes azonosító okmánnyal való összevetésre, a bemutatott okmány biztonsági elemeinek azonosítására, valamint

d) az ügyfél-átvilágítási folyamat szabályozott és folyamatosan ellenőrzött.

7. § (1) A szolgáltató a nem valós idejű ügyfél-átvilágítás során a szolgáltató és az ügyfél között létrejött teljes munkamenetet, az ügyfél nem valós idejű ügyfél-átvilágítással kapcsolatos részletes tájékoztatását és az ügyfél ehhez történő kifejezett hozzájárulását visszakereshető módon rögzíti.

(2) A nem valós idejű ügyfél-átvilágítás során a szolgáltató

a) biztosítja, hogy az ügyfél úgy nézzen bele a kamerába, hogy arcképe felismerhető és rögzíthető legyen, valamint

b) olyan módon rögzíti az ügyfél-átvilágításhoz használt okiratokat, hogy az azon található biztonsági elemek és adatsorok felismerhetők és tárolhatók legyenek.

(3) A nem valós idejű ügyfél-átvilágítást végző szolgáltató megbizonyosodik arról, hogy a felhasznált okmány alkalmas a nem valós idejű ügyfél-átvilágítás elvégzésére, így

a) az okmány egyes elemei és azok elhelyezkedése megfelel az okmányt kiállító hatóság előírásainak, valamint

b) az egyes biztonsági elemek – különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek – felismerhetők és sérülésmentesek.

(4) A szolgáltató megbizonyosodik arról, hogy

a) az ügyfél arcképe felismerhető és azonosítható az általa bemutatott okmányon látható arcképpel, valamint

b) a Pmt. által előírt azonosítási adatok teljeskörűen beszerzésre kerültek és az okmányokon megtalálható adatok logikailag megfeleltethetők az ügyfélről a szolgáltatónál rendelkezésre álló adatokkal.

8. § (1) A szolgáltató a nem valós idejű ügyfél-átvilágítás során a fentieken felül a Pmt. szerinti személyazonosság igazoló ellenőrzést végez.

(2) A szolgáltató a nem valós idejű ügyfél-átvilágítási eljárás során az ügyfélről rögzített fényképet és az okmányban szereplő képmást az auditált elektronikus hírközlő eszköz segítségével összehasonlítja.

(3) A szolgáltató a nem valós idejű ügyfél-átvilágítás során az ügyfélre irányadó, Pmt. szerinti nyilatkozatok megtételére is felhívja az ügyfelet.

(4) A Pmt. által előírt valamennyi átvilágítási adat beszerzése és az összehasonlítás eredményének ismeretében a szolgáltató a rögzítést követő 2 banki napon belül értesítést küld az ügyfélnek az ügyfél-átvilágítás eredményéről.

9. § (1) A szolgáltató nem hajtja végre a nem valós idejű ügyfél-átvilágítást, amennyiben

a) az ügyfél az ügyfél-átvilágítás során visszavonja az adatrögzítéshez adott hozzájárulását,

b) az ügyfél által bemutatott okmányok, illetve okiratok fizikai és adattartalmi követelményei nem felelnek meg a 7. § (3) bekezdésében írt feltételeknek,

c) az ügyfél, az általa bemutatott okmányok, illetve okiratok vizuális azonosításának feltételei nem adottak,

d) a szolgáltató nem tudja elkészíteni a képfelvételt, vagy nem tudja rögzíteni a 7. § (1) bekezdésben meghatározott munkamenetet, vagy

e) az ügyfél-átvilágítás során ellentmondás vagy bizonytalanság lép fel.

(2) Pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény felmerülése esetén a szolgáltató az (1) bekezdésben írt feltételek fennállása ellenére is elvégzi a nem valós idejű ügyfél-átvilágítást, amelyet követően haladéktalanul bejelentést tesz a pénzügyi információs egységnél.

10. § A nem valós idejű ügyfél-átvilágítást a szolgáltató belső szabályzatban meghatározott foglalkoztatottja belső szabályzatban meghatározott módon ellenőrzi.

11. § A szolgáltató a nem valós idejű ügyfél-átvilágítás rendszerét úgy alakítja ki, hogy azt a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról szóló törvény szerinti fogyatékos személy is igénybe tudja venni.

11/A. §2 (1) A valós idejű ügyfél-átvilágítással egyenértékű a 6–11. §-ban foglalt szabályok szerint elvégzett nem valós idejű ügyfél-átvilágítás abban az esetben, ha azt

a) az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (a továbbiakban: Eüsztv.) 1. § 17. pont j) és l) alpontja szerint elektronikus ügyintézést biztosító szervnek minősülő, az elektronikusan intézhető ügyek adatbázisában szereplő szolgáltató vagy

b) az Eüsztv. 42/A. §-a szerint szolgáltatást igénybe vevő piaci szereplő

végzi auditált elektronikus hírközlő eszköz útján, és annak során az ügyfél az Eüsztv. szerinti elektronikus azonosítási szolgáltatással azonosítja magát.

(2) Az (1) bekezdésben foglalt elektronikus azonosítási szolgáltatás megvalósítása érdekében a szolgáltató

a) az ügyfél elektronikus azonosítását igénylő elektronikus kapcsolattartás során a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikk (2) bekezdése szerinti „jelentős” vagy „magas” biztonsági szintű elektronikus azonosítást követel meg,

b) az auditált elektronikus hírközlő eszköz útján csatlakozik az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. rendelet szerinti Központi Azonosítási Ügynök (a továbbiakban: KAÜ) szolgáltatáshoz, és annak segítségével biztosítja, hogy az ügyfél-átvilágítás során az ügyfél azonosítsa magát,

c) az általa biztosított auditált elektronikus hírközlő eszköz útján a KAÜ-től visszakapott információk alapján ellenőrzi az ügyfél személyazonosságát, és

d) az auditált elektronikus hírközlő eszköz használatával a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvényben meghatározott, a személyazonosság igazolására alkalmas hatósági igazolványok nyilvántartásának igénybevételével ellenőrzi az ügyfél által bemutatott okmány érvényességét.

(3) A 9. §-ban meghatározott eseteken túl a szolgáltató nem hajtja végre az ügyfél-átvilágítást akkor sem, ha az ügyfelet az átvilágítás során nem sikerül az elektronikus azonosítási szolgáltatással megfelelően azonosítani.

12. § (1) Az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítás (a továbbiakban: valós idejű ügyfél-átvilágítás) során a szolgáltató a 6. §-ban meghatározottaknak megfelelő eszköz útján vagy anélkül összeveti az ügyfélről készített fényképet és az átvilágításhoz felhasznált okiratban szereplő képmást. Az ügyfél-átvilágítás akkor megfelelő, amennyiben kétséget kizáróan megállapítható, hogy az okiratban szereplő személy azonos a fénykép- vagy videofelvételen szereplő személlyel.

(2) A szolgáltató a 6. §-ban meghatározottaknak megfelelő eszköz nélküli valós idejű ügyfél-átvilágítást egy, a célnak megfelelő helyiségben végezheti.

(3) A valós idejű ügyfél-átvilágítást csak a szolgáltató olyan vezetője, foglalkoztatottja és segítő családtagja végezheti, akinek a szolgáltató előzőleg e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.

(4) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában biztosítja az ügyfél átvilágítására vonatkozó feltételeket, amennyiben

a) az ügyfél a valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult,

b) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére, és

c) az ügyfél-átvilágítási folyamat szabályozott és folyamatosan ellenőrzött.

13. § (1) A szolgáltató a valós idejű ügyfél-átvilágítás során a szolgáltató és az ügyfél között létrejött teljes kommunikációt, az ügyfél valós idejű ügyfél-átvilágítással kapcsolatos részletes tájékoztatását és az ügyfél ehhez történő kifejezett hozzájárulását visszakereshető módon kép- és hangfelvételen rögzíti.

(2) A valós idejű ügyfél-átvilágítás során biztosítani kell, hogy az ügyfél

a) úgy nézzen bele a kamerába, hogy arcképe felismerhető és rögzíthető legyen,

b) érthető módon közölje a valós idejű ügyfél-átvilágításhoz használt okmány azonosítóját, és

c) úgy mozgassa a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolványát, kártyaformátumú vezetői engedélyét vagy útlevelét, hogy az azon található biztonsági elemek és adatsorok felismerhetők és rögzíthetők legyenek.

(3) A valós idejű ügyfél-átvilágítást végző szolgáltató köteles megbizonyosodni arról, hogy a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél alkalmas a valós idejű ügyfél-átvilágítás elvégzésére, így

a) a kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél egyes elemei és azok elhelyezkedése megfelel az okmányt kiállító hatóság előírásainak,

b) az egyes biztonsági elemek – különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek – felismerhetők és sérülésmentesek,

c) a kártyaformátumú személyazonosító igazolvány, kártyaformátumú vezetői engedély vagy útlevél okmányazonosítója megegyezik az ügyfél által közölt okmányazonosítóval, felismerhető és sérülésmentes.

(4) A valós idejű ügyfél-átvilágítást végző szolgáltató megbizonyosodik arról, hogy

a) az ügyfél arcképe felismerhető és azonosítható az általa bemutatott kártyaformátumú személyazonosító igazolványon, kártyaformátumú vezetői engedélyen vagy útlevélen látható arckép alapján, és

b) a kártyaformátumú személyazonosító igazolványon, kártyaformátumú vezetői engedélyen vagy útlevélen megtalálható adatok logikailag megfeleltethetők az ügyfélről a szolgáltatónál rendelkezésre álló adatokkal.

(5) A szolgáltató a valós idejű ügyfél-átvilágítás során a fentieken felül a Pmt. szerinti személyazonosság igazoló ellenőrzést végez.

(6) A szolgáltató egy alfanumerikus kódból álló, központilag, véletlenszerűen generált azonosítási kódot küld az ügyfélnek a szolgáltató választása szerint az ügyfél azonosítására alkalmas e-mail-címre vagy SMS-ben mobiltelefonszámra, amely kódot az ügyfél a valós idejű ügyfél-átvilágítás befejezéséig a szolgáltató által választott kommunikációs formában küld vissza a szolgáltatónak.

(7) A szolgáltató a valós idejű ügyfél-átvilágítás során az ügyfélre irányadó, Pmt. szerinti nyilatkozatok megtételére és okiratok bemutatására hívja fel az ügyfelet.

14. § (1) A szolgáltató megszakítja a valós idejű ügyfél-átvilágítást, amennyiben

a) az ügyfél a valós idejű ügyfél-átvilágítás során visszavonja az adatrögzítéshez adott hozzájárulását,

b) az ügyfél által bemutatott okmányok, illetve okiratok fizikai és adattartalmi követelményei nem felelnek meg a 13. § (3) bekezdésében előírt feltételeknek,

c) az ügyfél, az általa bemutatott okmányok, illetve okiratok vizuális azonosításának feltételei nem adottak,

d) a szolgáltató nem tudja elkészíteni a hang- és képfelvételt,

e) az ügyfél nem, nem teljes egészében vagy hibásan küldi vissza az azonosítási kódot,

f) az ügyfél nem vagy a szolgáltató számára észlelhetően befolyás alatt tesz nyilatkozatot, vagy

g) az ügyfél-átvilágítás során ellentmondás vagy bizonytalanság lép fel.

(2) Pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény felmerülése esetében, a szolgáltató az (1) bekezdésben írt feltételek fennállása ellenére is elvégzi a valós idejű ügyfél-átvilágítást, amelyet követően haladéktalanul bejelentést tesz a pénzügyi információs egységnél.

15. § A valós idejű ügyfél-átvilágítást a szolgáltató belső szabályzatban meghatározott foglalkoztatottja belső szabályzatban meghatározott módon ellenőrzi.

16. § A szolgáltató a valós idejű ügyfél-átvilágítás rendszerét úgy alakítja ki, hogy azt a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról szóló törvény szerinti fogyatékos személy is igénybe tudja venni.

3. A kockázatérzékenységi megközelítés alapján üzleti kapcsolat létesítéséhez vagy ügyleti megbízás teljesítéséhez vezetői döntést igénylő esetek

17. § (1) Az üzleti kapcsolat létesítéséről vagy az ügyleti megbízás teljesítéséről a Pmt.-ben meghatározottakon felül ügyfélkockázati tényezők alapján a szolgáltató belső szabályzatban meghatározott vezetője dönt, ha

a) az üzleti kapcsolat létesítése során arra utaló adat, tény, illetve körülmény merül fel, hogy a szolgáltatás mögött ténylegesen nem az a személy áll, aki a szerződéskötési kérelemben feltüntetésre került,

b) az üzleti kapcsolat létesítése során havi ötvenmillió forintot elérő vagy meghaladó készpénzforgalom lebonyolítását jelzi az ügyfél,

c) az ügyleti megbízás az ötvenmillió forintot eléri vagy meghaladja,

d) az ügyfél olyan társaság, amelynek bemutatóra szóló részvénye van, vagy amelynek részvényesét részvényesi meghatalmazott képviseli, vagy

e) az ügyfél olyan társaság, amelynek tulajdonosi szerkezete a társaság üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik.

(2) Az üzleti kapcsolat létesítéséről vagy az ügyleti megbízás teljesítéséről termékhez, szolgáltatáshoz, ügylethez vagy alkalmazott eszközhöz kapcsolódó kockázati tényezők alapján a szolgáltató belső szabályzatban meghatározott vezetője dönt

a) privátbanki üzleti kapcsolat létesítése,

b) személyesen meg nem jelent természetes személy ügyféllel okirat hiteles másolata alapján létrejött üzleti kapcsolat vagy kapott ügyleti megbízás, vagy

c) új termékek vagy új üzleti gyakorlatok, többek között új teljesítési mechanizmus, valamint új vagy fejlődő technológiák alkalmazása mind új, mind korábban meglévő termékek

esetében.

(3) Az üzleti kapcsolat létesítéséről vagy az ügyleti megbízás teljesítéséről földrajzi kockázati tényezők alapján a szolgáltató belső szabályzatban meghatározott vezetője dönt, ha

a) az ügyfél stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban lakcímmel vagy székhellyel rendelkezik,

b) az ügyfél tulajdonosai között stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban székhellyel rendelkező jogi személy vagy jogi személyiséggel nem rendelkező szervezet található, vagy

c) az ügyfél tényleges tulajdonosa, rendelkezésre jogosultja, képviselője vagy meghatalmazottja stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik lakcímmel.

(4) A szolgáltató belső szabályzatban meghatározott vezetője az (1)–(3) bekezdésekben meghatározott esetekben olyan dokumentált formában dönt, amely biztosítja a következetességet, a folyamatos figyelemmel kísérhetőséget és az ellenőrizhetőséget is.

4. Az egyszerűsített és a fokozott ügyfél-átvilágítás esetkörei és azok felügyeleti jóváhagyásának szabályai

18. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül egyszerűsített ügyfél-átvilágítást alkalmazhat, amennyiben ügyfele

1. a Pmt. 1. § (1) bekezdés a)–e) pontjában meghatározott, az Európai Unió területén székhellyel rendelkező szolgáltató vagy olyan, harmadik országban székhellyel rendelkező – a Pmt. 1. § (1) bekezdés a)–e) pontjában meghatározott – szolgáltató, amelyre a Pmt.-ben meghatározottakkal egyenértékű követelmények vonatkoznak, és amely ezek betartása tekintetében felügyelet alatt áll,

2. olyan társaság, amelynek értékpapírját egy vagy több tagállamban bevezették a szabályozott piacra, vagy olyan harmadik országbeli társaság, amelyre a közösségi joggal összhangban lévő közzétételi követelmények vonatkoznak,

3. a Pmt. 5. §-ában meghatározott felügyeletet ellátó szerv, ezenkívül bármely más, a pénzmosás és a terrorizmus-finanszírozás elleni küzdelem folytatására hatáskörrel rendelkező tagállami hatóság,

4. helyi önkormányzat, a helyi önkormányzat költségvetési szerve, a központi költségvetési szerv,

5. az Európai Parlament, az Európai Unió Tanácsa, az Európai Bizottság, az Európai Unió Bírósága, az Európai Számvevőszék, az Európai Gazdasági és Szociális Bizottság, a Régiók Bizottsága, az Európai Központi Bank, az Európai Beruházási Bank vagy az Európai Unió más intézménye vagy szerve,

6. sem visszavásárlási értékkel, sem lejárati szolgáltatással nem rendelkező, tisztán kockázati haláleseti életbiztosítást köt egyedi vagy csoportos biztosításként,

7. az életbiztosítási ágba tartozó biztosítás esetén olyan biztosítást köt, amelynek az éves biztosítási díja nem haladja meg a kettőszázhatvanezer forintot vagy amennyiben az egyszeri biztosítási díj nem haladja meg a hatszázötvenezer forintot,

8. számára az önkéntes kölcsönös biztosító pénztárba a munkáltatója által az Önkéntes Kölcsönös Biztosító Pénztárakról szóló törvény szerinti munkáltatói hozzájárulásként fizetett havi összeg nem haladja meg egészségpénztár, önsegélyező pénztár, egészség- és önsegélyező pénztár esetén a tárgyév első napján érvényes havi minimálbér 30%-át, önkéntes nyugdíjpénztár esetén a tárgyév első napján érvényes havi minimálbér 50%-át,

9. munkáltatója által az önkéntes kölcsönös biztosító pénztárba az alkalmazottai javára fizetett, az Önkéntes Kölcsönös Biztosító Pénztárakról szóló törvény szerinti célzott szolgáltatás finanszírozására teljesített összes befizetés éves szinten nem haladja meg a munkáltatónak a szolgáltatóban tagsági jogviszonnyal rendelkező alkalmazottainak létszáma és a tárgyév első napján érvényes havi minimálbér szorzatának összegét,

10. által az önkéntes kölcsönös biztosító pénztárba befizetett összeg éves szinten nem haladja meg a személyi jövedelemadóról szóló törvény szerint érvényesíthető adókedvezmény maximális mértékének igénybevételéhez jogosító befizetés összegét,

11. a személyi jövedelemadóról szóló törvény szerinti nyugdíjbiztosítást köt, ide nem értve a szerződés teljes vagy részleges visszavásárlására vonatkozó ügyletet,

12.3 2018. október 17. napját megelőzően lakás-előtakarékossági szerződést kötött, amely alapján az éves elhelyezendő megtakarítás összege nem haladja meg a lakástakarékpénztárakról szóló törvény szerinti legmagasabb összegű éves állami támogatás maradéktalan igénybevételéhez szükséges összeget, vagy megkötött lakás-előtakarékossági szerződéshez kapcsolódóan lakáskölcsön vagy áthidaló kölcsön szerződést kötött, vagy 2018. október 16. napját követően saját vagy a lakástakarékpénztárakról szóló törvény szerinti kedvezményezett javára kötött szerződés alapján személyenként egy-egy szerződés tekintetében havi húszezer forintot meg nem haladó betétet helyez el,

13. az önkéntes kölcsönös biztosító pénztárral munkáltatói hozzájárulás fizetésére szerződött, az önkéntes pénztár magánszemély tagjai számára munkáltatói támogatást juttató, az önkéntes pénztárba célzott szolgáltatás nyújtása során befizetést teljesítő olyan munkáltató (munkáltatói tag), amelynek tulajdonosi háttere tekintetében a szerződéskötéskor elérhető céginformációs adatbázis alapján kizárható, hogy stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban működő tulajdonosi körhöz kapcsolódik, és a pénztártag egyéni számlája javára az Európai Unión belül működő pénzintézeten keresztül teljesít befizetést,

14. az uniós kibocsátásiegység-forgalmi jegyzékben a 2003/87/EK európai parlamenti és tanácsi irányelv, valamint a 280/2004/EK és a 406/2009/EK európai parlamenti és tanácsi határozat szerinti uniós kibocsátásiegység-forgalmi jegyzék létrehozásáról, továbbá a 920/2010/EU és az 1193/2011/EU bizottsági rendelet hatályon kívül helyezéséről szóló, 2013. május 2-i 389/2013/EU bizottsági rendelet 16., 17. és 18. cikke alapján üzemeltetői számlával, légijármű-üzemeltetői számlával, közönséges ügyfélszámlával vagy kereskedési számlával rendelkező jogi személy, ha az üzleti kapcsolat létesítése vagy ügyleti megbízás adása a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény 6. § l) pontjában meghatározott pénzügyi eszközre vagy az arra vonatkozó származtatott pénzügyi eszközre irányul,

15. háromszázezer forint tőkeösszeget meg nem haladó kölcsönszerződést köt, és a kölcsön folyósítására és törlesztésére átutalással kerül sor, az ügyfél korábban létesített, már meglévő magyarországi bankszámláján keresztül, vagy

16. elektronikuspénz-birtokos, és a részére kibocsátott elektronikus pénz

a) mindenkori egyenlege nem haladja meg a háromszázezer forintot, és adott naptári évben legfeljebb kettőszázhatvanezer forint értékben történő elektronikus pénz visszaváltását teszi lehetővé a kibocsátó, és ebből a készpénzben kivett vagy készpénzre beváltott összeg naptári évente nem haladja meg a huszonötezer forintot,

b) olyan elektronikus pénz terhére vagy más olyan jellegű forrás felhasználásával nem tölthető fel, amely esetében az ügyfél azonosítása nem történt meg,

c) az elektronikuspénz-kibocsátó intézmény a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény 3. § (1) bekezdés e) pontja szerinti elektronikus pénz kibocsátása szolgáltatást nyújt az elektronikuspénz-birtokos részére, fizetési számlát nem vezet, hitelt nem nyújt az elektronikuspénz-birtokos részére, valamint

d) az elektronikuspénz-birtokos vagy tényleges tulajdonosa nem stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik lakóhellyel vagy székhellyel.

(2) A Pmt. 3. § 25. pontjában meghatározott Posta Elszámolási Központot működtető intézmény a Pmt.-ben és az (1) bekezdésben meghatározottakon kívül egyszerűsített ügyfél-átvilágítást alkalmazhat, amennyiben ügyfele nem stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik lakhellyel vagy székhellyel, és kettőmillió-ötszázezer forintot el nem érő összegű, belföldön kezdeményezett és belföldön teljesítendő áru- vagy szolgáltatásnyújtás ellenértékének teljesítésére irányulóan ad ügyleti megbízást.

19. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmazhat, amennyiben ügyfele

a) nem állami vagy önkormányzati tulajdonban lévő nonprofit gazdasági társaság,

b) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik lakcímmel,

c) olyan társaság, amelynek bemutatóra szóló részvénye van, vagy amelynek részvényesét részvényesi meghatalmazott képviseli, vagy

d) olyan társaság, amelynek tulajdonosi szerkezete a társaság üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik.

(2) Amennyiben a szolgáltató az (1) bekezdés szerinti ügyfelet nem sorolja fokozott ügyfél-átvilágítás alá, azt belső kockázatértékelésében indokolja.

(3) A (2) bekezdésben meghatározott esetben a szolgáltató a belső kockázatértékeléséhez előzetesen a Magyar Nemzeti Bank (a továbbiakban: MNB) engedélyét kéri.

5. A megerősített eljárás esetkörei és feltételrendszere

20. § A szolgáltató a Pmt.-ben meghatározottakon kívül a következő esetekben alkalmaz megerősített eljárást:

a) személyesen meg nem jelent természetes személy ügyféllel okirat hiteles másolata alapján létrejött üzleti kapcsolat vagy ügylet esetén,

b) nem állami vagy önkormányzati tulajdonban lévő nonprofit gazdasági társaság tekintetében,

c) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban lakóhellyel vagy székhellyel rendelkező ügyfél tekintetében,

d) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban lakóhellyel rendelkező tényleges tulajdonos tekintetében,

e) a takarékbetétről szóló törvényerejű rendelet szerinti nem névre szóló takarékbetét névre szólóvá alakításával érintett ügyfél tekintetében, amennyiben a névre szólóvá alakítani kívánt takarékbetétek összértéke eléri a hárommillió-hatszázezer forintot,

f) amennyiben az ügyfél olyan társaság, amelynek bemutatóra szóló részvénye van, vagy amelynek részvényesét részvényesi meghatalmazott képviseli,

g) amennyiben az ügyfél olyan társaság, amelynek tulajdonosi szerkezete a társaság üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik, vagy

h) amennyiben az ügyfelet a szolgáltató tízmillió forintot elérő vagy meghaladó pénzváltás miatt világítja át.

21. § A szolgáltató belső kockázatértékelése alapján a belső szabályzatában határozza meg, hogy a Pmt.-ben és az e rendeletben meghatározottakon kívül mely esetekben alkalmaz megerősített eljárást.

22. § (1) A szolgáltató a megerősített eljárás alá tartozó ügyfeleknél a 32–35. § rendelkezéseinek megfelelően szűri és pénzmosás és terrorizmus finanszírozása szempontjából elemzi és értékeli a tízmillió forintot elérő vagy meghaladó összegű ügyleteket.

(2) Amennyiben a megerősített eljárás alá tartozó ügyfelek tízmillió forintot elérő vagy meghaladó összegű készpénzbefizetést vagy pénzváltást teljesítenek, a szolgáltató beszerzi a pénzügyi eszközök forrására vonatkozó információt, valamint ezen információk igazoló ellenőrzése érdekében a pénzeszközök forrására vonatkozó dokumentumok bemutatását is megköveteli.

6. A belső kockázatértékelés elkészítésének szabályrendszere

23. § (1) A belső kockázatértékelés alkalmazása során a szolgáltató beazonosítja a már ismert kockázatai közül azokat, amelyek hatással vannak a pénzmosási és terrorizmus-finanszírozási kockázataira.

(2) A szolgáltató az (1) bekezdésben meghatározott beazonosítás során figyelembe veszi a már rendelkezésre álló kockázati profilt.

24. § (1) A szolgáltató a kockázati tényezők beazonosítása során a Pmt.-ben meghatározottakon kívül az alábbiakat veszi figyelembe:

a) az Európai Bizottság nemzetek feletti kockázatértékelését,

b) az európai felügyeleti hatóságok véleményét az európai uniós pénzügyi ágazatot érintő pénzmosási és terrorizmus-finanszírozási kockázatokról,

c) az MNB által kiadott ajánlást,

d) az MNB által nyilvánosságra hozott információkat és

e) az MNB által folytatott eljárás során keletkezett és nyilvánosságra hozott dokumentumokat.

(2) A szolgáltató a kockázati tényezők beazonosítása során különösen

a) a civil társadalomtól,

b) az értékelés alá vont tagállam pénzmosás és a terrorizmus finanszírozása elleni rendszere megfelelőségével és hatékonyságával, korrupcióellenes és adózási rendszerrel kapcsolatos értékeléséből,

c) nyilvános forrásból és

d) tudományos intézményektől

származó információkat vehet figyelembe.

25. § (1) Amennyiben a szolgáltató ki van téve más tagállam vagy harmadik ország pénzmosási és terrorizmus-finanszírozási kockázatainak, a szolgáltató ezeket a kockázatokat is beazonosítja.

(2) A szolgáltató az (1) bekezdés szerinti kockázatokat különösen abban az esetben azonosítja be, amennyiben a szolgáltató

a) üzleti kapcsolatot tart fenn más tagállamban vagy harmadik országban bejegyzett vagy letelepedett személlyel,

b) egy másik tagállamban vagy harmadik országban létrehozott pénzügyi csoport tagja,

c) tényleges tulajdonosa másik tagállamban vagy harmadik országban rendelkezik lakóhellyel, vagy

d) olyan kapcsolatot tart fenn más tagállammal vagy harmadik országgal, amely arra utal, hogy a szolgáltató ki van téve az adott ország pénzmosási és terrorizmus-finanszírozási kockázatainak.

(3) A szolgáltató beszerzi az (1) bekezdés szerinti tagállamhoz vagy harmadik országhoz köthető pénzmosási és terrorizmus-finanszírozási kockázatokkal kapcsolatos azon információkat, amelyek hatással lehetnek az általa végzett tevékenységre.

(4) A szolgáltató a tudomásszerzéstől számított három munkanapon belül bejelentést tesz az MNB-hez, amennyiben az (1) bekezdés szerinti kockázatok beazonosítását és a (3) bekezdés szerinti információk beszerzését követően olyan hiányosság jut a tudomására, amelyek veszélyt jelentenek az Európai Unió pénzügyi rendszerére.

26. § A szolgáltató az alábbi szempontokat veszi figyelembe belső kockázatértékelésének elkészítésekor:

a) tulajdonosi és vállalati szerkezete, figyelemmel arra, hogy a szolgáltató nemzetközi, külföldi vagy belföldi intézmény, anyavállalat, leányvállalat, fióktelep, vagy egyéb szervezet,

b) szervezetének és szerkezetének összetettsége és átláthatósága,

c) a felső vezetők, a vezető testület tagjainak és a minősített befolyással bíró tulajdonosának hírneve és integritása,

d) a kínált termék vagy szolgáltatás, az elvégzett tevékenység és ügylet természete és összetettsége,

e) az alkalmazott eszköz, beleértve az ingyenes szolgáltatásnyújtást, az ügynök vagy a közvetítő használatát,

f) a kiszolgált ügyfelek típusai,

g) az üzleti tevékenység földrajzi területe, különösen, amennyiben azt stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban végzi, vagy az ügyfelei jelentős részének származási országa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország,

h) a belső irányítási megoldás és szerkezet minősége, beleértve a belső ellenőrzési és megfelelési funkció hatékonyságát, a pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával összefüggő jogi követelménynek való megfelelést és a megelőző belső kockázatértékeléseinek hatékonyságát,

i) az uralkodó vállalati kultúra, különösen a megfelelési és átláthatósági kultúra,

j) a hatóságokkal való együttműködés tapasztalatai és

k) egyéb prudenciális szempontok.

27. § (1) A 24–26. § szerinti tényezők együttesen képezik a szolgáltató kockázatértékelésének alapját.

(2) A szolgáltató értékeli a 24–26. § szerinti tényezők szolgáltatóra gyakorolt hatását és a szolgáltatónál működő kockázatalapú ellenőrzési rendszer és folyamat megfelelőségét a pénzmosási és terrorizmus-finanszírozási kockázat enyhítése érdekében.

(3) A szolgáltató a kockázati tényező relatív jelentősége alapján eltérően súlyozhatja a kockázatot és az azokat mérséklő tényezőt, azonban nem térhet el az MNB által kötelezően előírt kockázat beépítésétől és az ahhoz kapcsolódó átvilágítási mód alkalmazásától.

(4) A szolgáltató a kockázatokat legalább alacsony, átlagos és magas kockázati kategóriába sorolja.

(5) A szolgáltató a kockázatokat legalább ügyfél, termék, szolgáltatás, alkalmazott eszköz, földrajzi kockázati csoportba sorolja.

28. § (1) A szolgáltató a kockázat értékelése, valamint e rendelet és a Pmt. rendelkezéseinek figyelembevételével meghatározza, hogy milyen esetben alkalmaz egyszerűsített vagy fokozott ügyfél-átvilágítást.

(2) A szolgáltató a beazonosított kockázat értékelése alapján meghatározza, hogy mely esetben kér be ügyfelétől a pénzügyi eszköz forrására vonatkozó információt, mikor alkalmaz megerősített eljárást, és milyen időszakonként vizsgálja felül az általa beszerzett ügyfél-átvilágítási adatot.

(3) A szolgáltató a beazonosított kockázat értékelése alapján meghatározza, hogy milyen intézkedésre van szükség a feltárt kockázat kezelése érdekében. Az intézkedést határidőhöz köti és kijelöli a végrehajtásért felelős személyt.

(4) A szolgáltató az általa elvégzett belső kockázatértékelésről jelentést készít, amelyben dokumentálja a kockázati tényezőt és az alapjául szolgáló információt, a kockázat értékelését, a kockázat kezelésére tett intézkedést, a felelős személyt, a határidőt és a tervezett felülvizsgálat időpontját.

(5) A szolgáltató vezető tisztségviselője vagy vezető testülete a belső kockázatértékelésről szóló jelentést jóváhagyja.

29. § (1) A szolgáltató a belső kockázatértékelését az alapjául szolgáló információ időszakos és eseti felülvizsgálatával aktualizálja.

(2) A szolgáltató által az (1) bekezdés alapján elvégzett felülvizsgálat ütemezése arányban kell hogy álljon a szolgáltatóhoz kapcsolódó pénzmosási és terrorizmus-finanszírozási kockázattal.

(3) A szolgáltató a belső kockázatértékelését soron kívül felülvizsgálja, amennyiben

a) külső hatás megváltoztatja a kockázat természetét,

b) új típusú pénzmosási és terrorizmus-finanszírozási kockázat merül fel,

c) az MNB által tett megállapítás ilyen intézkedést tartalmaz,

d) a szolgáltató saját maga által tett, kockázatot csökkentő intézkedéséből ez következik,

e) a szolgáltató tulajdonosaival, a vezető testület tagjaival, a fő funkciókat ellátó személyekkel vagy a szervezetével kapcsolatban új információk merülnek fel, továbbá

f) minden egyéb esetben, amikor a szolgáltatónak alapos oka van azt feltételezni, hogy a kockázatértékelés alapjául szolgáló információ már nem alkalmazható.

7. Az ügylet felfüggesztése

30. § (1) A szolgáltató meghatározza az ügyfélnek adandó tájékoztatást, valamint belső szabályzatában rögzíti szervezeti egységeinek kötelezettségét és felelősségét az ügylet felfüggesztése során.

(2) Az (1) bekezdés szerinti tájékoztatás nem utalhat az ügylet felfüggesztésének tényére és a felfüggesztés indokára.

(3) A szolgáltató biztosítja, hogy

a) a felfüggesztés tényéről a szolgáltató tudomással bíró vezetője, foglalkoztatottja és segítő családtagja az (1) bekezdés szerinti tájékoztatás szerint járjon el,

b) a felfüggesztés teljesítéséhez csak a szükséges szervezeti egységet vonja be,

c) a felfüggesztési kötelezettség teljesítésére utaló adat, tény, illetve körülmény felmerülésekor telefonon értesíthesse a pénzügyi információs egységként működő hatóságot, és ebben az esetben a tőle kapott instrukciók szerint járjon el, valamint

d) a felfüggesztés ideje alatt a telefonos kapcsolattartás a pénzügyi információs egységként működő hatósággal a kijelölt személy akadályoztatása esetén is folyamatos legyen.

(4) A szolgáltató az általa vezetett nyilvántartáson belül az ügylet felfüggesztését igazoló iratot vagy annak másolatát elkülönítetten kezeli.

8. A belső ellenőrző és információs rendszer működtetése

31. § Ezen alcím alkalmazásában:

a) automatikus szűrőrendszer: az ügyfél és az ügylet pénzmosás és terrorizmus finanszírozása szempontjából előzetes paraméterezés alapján történő, emberi beavatkozást nem igénylő leválogatására alkalmas informatikai rendszer,

b) manuális szűrés: az ügyfél és az ügylet pénzmosás és terrorizmus finanszírozása szempontjából történő, emberi beavatkozást igénylő leválogatása.

32. § (1) A szolgáltatónak rendelkeznie kell olyan szűrőrendszerrel, amely biztosítja a pénzmosás és a terrorizmus finanszírozása szempontjából kockázatos ügyfél és szokatlan ügylet kiszűrését.

(2) A szolgáltató, amennyiben

a) pénzforgalmi szolgáltató, vagy

b) az ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ötvenezret,

automatikus szűrőrendszert működtet.

(3) A (2) bekezdésben foglaltakon kívül a szolgáltató manuális szűrést alkalmazhat.

33. § (1) A szolgáltató a szűrőrendszer működése, a kiszűrt ügyfél, valamint az ügylet elemzése és értékelése vonatkozásában belső eljárásrendet készít.

(2) Az (1) bekezdés szerinti belső eljárásrendet a szolgáltató írásban rögzíti, naprakészen tartja és az illetékes felügyeleti hatóságok rendelkezésére bocsátja.

(3) A szűrőrendszer belső eljárásrendjének legalább az alábbi feltételeknek kell megfelelnie:

a) az intézmény belső kockázatértékelésén alapul,

b) megfelel a szolgáltató kapcsolódó belső szabályzatainak,

c) automatikus szűrőrendszer esetén előírja a szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, az adatok leképezése, az ügyletek azonosítása, a keresési szcenáriók és logikák, a szűrési modellezés, valamint a bevitt adatok és az eredmények vizsgálatával kapcsolatosan,

d) dokumentálja a szolgáltató által használt szcenáriókat, az azok alapjául szolgáló logikákkal, paraméterekkel és küszöbértékekkel és biztosítja a változások nyomon követhetőségét,

e) biztosítja az adatok integritását és minőségét annak érdekében, hogy a szűrőrendszeren pontos és teljes adatok menjenek keresztül,

f) rögzíti a releváns adatokat tartalmazó összes adatforrást,

g) biztosítja a szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,

h) rögzíti az elemző és értékelő folyamat során alkalmazott határidőket,

i) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint azt, hogy milyen módon kell a döntéshozatali eljárást dokumentálni, valamint

j) biztosítja a szcenáriók és az azok alapjául szolgáló logikák, paraméterek és küszöbértékek kockázataival összhangban történő felülvizsgálatát, illetve tartalmazza, hogy ki a felelős a felülvizsgálatért.

34. § (1) A szolgáltató legalább a következő ügyfél-, illetve ügylettípusokra végzett szűréseket biztosítja a belső kockázatértékelésében:

a) huszonötmillió forintot elérő vagy meghaladó összegű készpénzbefizetés természetes személy ügyfél részére,

b) ötvenmillió forintot elérő vagy meghaladó összegű készpénzbefizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére,

c) huszonötmillió forintot elérő vagy meghaladó összegű készpénzkifizetés természetes személy ügyfél részére,

d) ötvenmillió forintot elérő vagy meghaladó összegű készpénzkifizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére, vagy

e) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból kezdeményezett vagy oda továbbított huszonötmillió forintot elérő vagy meghaladó összegű ügylet.

(2) A szolgáltató a szűrési feltételeit az (1) bekezdésben meghatározottakon túl a belső kockázatértékelése alapján határozza meg.

35. § (1) A szolgáltató a pénzmosás és terrorizmus finanszírozása szempontjából a szűrést folyamatosan végzi.

(2) A kiszűrt ügyfél, illetve ügylet pénzmosás és terrorizmus finanszírozása szempontjából történő elemzését és értékelését a szolgáltató a 34. § (1) bekezdésében foglalt esetben a szűrést követő tíz munkanapon, minden más esetben a szűrést követő harminc munkanapon belül végzi el. A szűrés végrehajtásának napja a határidőbe nem számít bele.

(3) A kiszűrt ügyfél, illetve ügylet elemzésének és értékelésének folyamatát a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.

36. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként névtelenséget biztosító visszaélés-bejelentési rendszert (a továbbiakban: bejelentési rendszer) működtet.

(2) Bejelentést a bejelentési rendszeren keresztül az tehet, aki tudomással bír arról, hogy a szolgáltatónál a Pmt. rendelkezése megsértésre kerül vagy került.

(3) A bejelentést a szolgáltató harminc napon belül kivizsgálja. A határidőbe a bejelentés megtételének napja nem számít bele.

(4) A bejelentés kivizsgálásában nem vehet részt a bejelentéssel érintett személy.

(5) Amennyiben a szolgáltató azt állapítja meg, hogy pénzmosásra, terrorizmus-finanszírozásra vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény merül fel, úgy a kijelölt személy haladéktalanul bejelentést tesz a pénzügyi információs egységnek.

(6) Amennyiben a szolgáltató azt állapítja meg, hogy bűncselekmény gyanúja áll fenn, úgy haladéktalanul feljelentést tesz a hatáskörrel és illetékességgel rendelkező nyomozó hatóságnál.

(7) Amennyiben a szolgáltató az (5) és (6) bekezdésben foglalt eseteken kívül a Pmt., az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény vagy e rendelet megsértését állapítja meg, úgy a kijelölt személy haladéktalanul bejelentést tesz az MNB felé.

(8) A szolgáltatónak a bejelentés megtételét követően biztosítania kell, hogy ahhoz a bejelentéssel vagy annak kivizsgálásában érintett személyen kívül más személy ne férhessen hozzá.

37. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen az üzleti kapcsolat

a) személyes adat,

b) számlaszám,

c) ügyfélszám,

d) ügylettípus vagy

e) összeghatár

alapján történő leválogatására.

38. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen a benne rögzített adatoknak a Pmt.-ben meghatározott időtartam alatt visszakereshetőséget lehetővé tevő nyilvántartására.

9. Az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtása érdekében működtetett szűrőrendszer kidolgozása és működtetésének minimumkövetelményei

39. § Ezen alcím alkalmazásában:

a) automatikus szűrőrendszer: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak az uniós jogi aktusokban és az ENSZ Biztonsági Tanácsa (a továbbiakban: ENSZ BT) határozataiban szereplő személyek adataival való folyamatos, emberi beavatkozást nem igénylő összehasonlítására alkalmas informatikai rendszer,

b) manuális szűrés: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak az uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival való összehasonlítására alkalmas, emberi beavatkozást igénylő eljárás,

c) tényleges tulajdonos: a Pmt. 3. § 38. pontja szerinti természetes személy,

d) ügyfél: a Pmt. 3. § 41. pont a) alpontjában meghatározott személy.

40. § A szolgáltató automatikus szűrést alkalmaz, amely biztosítja a pénzügyi és vagyoni korlátozásokat elrendelő uniós jogi aktusok és ENSZ BT határozatok késedelem nélküli végrehajtását. Abban az esetben, ha a szolgáltató ügyfeleinek a száma a tárgyévet megelőző év végén nem haladja meg az ezret, akkor a szolgáltató manuális szűréssel is biztosíthatja a pénzügyi és vagyoni korlátozásokat elrendelő uniós jogi aktusok és ENSZ BT határozatok késedelem nélküli végrehajtását.

41. § (1) A szolgáltató köteles a szűrőrendszer működése, illetve a kiszűrt ügyfél, tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő, valamint ügylet elemzése és értékelése vonatkozásában belső eljárásrendet készíteni.

(2) Az (1) bekezdésben meghatározott belső eljárásrendet a szolgáltató köteles írásban rögzíteni, naprakészen tartani és az illetékes hatóságok rendelkezésére bocsátani a felügyeleti tevékenység gyakorlása során.

(3) A szűrőrendszer belső eljárásrendje legalább az alábbi feltéteknek felel meg:

a) automatikus szűrőrendszer esetén lehetővé teszi a szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, adatok leképezése, ügyletek azonosítása, keresési logikák, szűrési modellezés, valamint bevitt adatok és az eredmények vizsgálatával,

b) dokumentálja a szolgáltató által használt keresési logikákat, az azok alapjául szolgáló feltételezésekkel, paraméterekkel,

c) biztosítja az adatok integritását, pontosságát és minőségét annak érdekében, hogy a szűrőrendszeren pontos és teljes adatok menjenek keresztül,

d) rögzíti a releváns adatokat tartalmazó összes adatforrást,

e) biztosítja a szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,

f) rögzíti az elemző és értékelő folyamat során alkalmazott határidőket,

g) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint hogy milyen módon kell a döntéshozatali eljárást dokumentálni, és

h) biztosítja a folyamatos vizsgálatát a szűrési logikának és az azok alapjául szolgáló szabályoknak, paramétereknek.

42. § (1) A szolgáltató az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekre vonatkozó szűrést folyamatosan végzi.

(2) A szolgáltató a kiszűrt találatokat elemzi és értékeli.

(3) A kiszűrt találatok elemzésének és értékelésének folyamatát a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.

10. A képzési program

43. § (1) A szolgáltató a pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekkel összefüggő tevékenység ellátásában részt vevő szolgáltató vezetőjét, foglalkoztatottját és segítő családtagját ebben a munkakörben történő alkalmazását megelőzően vagy a belépést követő 30 napon belül általános ügyintézői képzésben részesíti, és részére a belépés évét követően évente legalább egy alkalommal továbbképzést (a továbbiakban együtt: általános ügyintézői képzés) szervez.

(2) Amennyiben a szolgáltató külön szervezeti egységet működtet a pénzmosás és a terrorizmus finanszírozása megelőzése és megakadályozása, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtása érdekében, úgy ennek a szervezeti egységnek a tagját a pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával és az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásával kapcsolatban az általános ügyintézői képzési szintet meghaladó speciális képzésben és évente legalább egy alkalommal továbbképzésben (a továbbiakban együtt: speciális képzés) részesíti.

(3) A szolgáltató a képzések tartására csak olyan személyt vehet igénybe, aki

a) szakirányú felsőfokú – így különösen jogi, közgazdasági, pénzügyi, vagy informatikai – végzettséggel, valamint

b) legalább hároméves

ba) a Pmt. hatálya alá tartozó szolgáltatónál belső ellenőrzési vagy megfelelőségi (compliance) feladatokat ellátó területen szerzett szakmai gyakorlattal, vagy

bb) a Pmt. 5. §-ában meghatározott felügyeletet ellátó szervnél a Pmt. hatálya alá tartozó felügyeleti tevékenység ellátása területén szerzett szakmai gyakorlattal

rendelkezik.

44. § A képzések programja az egyes munkakörök betöltéséhez szükséges mértékben legalább a következő témaköröket tartalmazza:

a) a Pmt.-hez, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvényhez kapcsolódó büntetőjogi aspektusok ismertetése;

b) Pmt., valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény fogalmainak ismertetése,

c) ügyfél-átvilágítás teljesítésének kötelező esetei,

d) ügyfél-átvilágítási intézkedések

da) a Pmt. 7–14. §-a alapján elvégzett ügyfél-átvilágítás,

db) egyszerűsített ügyfél-átvilágítás,

dc) fokozott ügyfél-átvilágítás és

dd) más szolgáltató által elvégzett ügyfél-átvilágítás

esetén,

e) az ügyfél-átvilágítás során használt nyilvántartások,

f) a pénzátutalási tevékenységet végző szolgáltató esetében az e tevékenység végzése során rögzítendő adatkör,

g) a bejelentési és felfüggesztési kötelezettség teljesítésének részletes szabályai,

h) a felfedés tilalma és annak gyakorlati jelentősége,

i) a szolgáltató által a pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásával összefüggésben alkalmazott szűrőrendszerek működtetésének szabályai,

j) a megerősített eljárás fogalma és a szolgáltató által a megerősített eljárás keretében alkalmazott eljárásrend és intézkedés ismertetése,

k) a nemzeti kockázatértékelés-szolgáltató specifikus vonatkozásai,

l) a szolgáltató saját eljárásrendje,

m) a szolgáltató belső kockázatértékelése, és

n) az auditált elektronikus hírközlő eszköz, ha a szolgáltató ilyet alkalmaz.

45. § (1) A kijelölt személy felelős az általános ügyintézői képzési program és – ha a szolgáltató ilyet alkalmaz – az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágításra vonatkozó képzés kidolgozásáért és végrehajtásáért.

(2) A 43. § (2) bekezdése szerinti esetben a szervezeti egység vezetője felelős speciális képzés és a valós idejű ügyfél-átvilágításra vonatkozó képzés kidolgozásáért és végrehajtásáért.

46. § (1) Amennyiben a szolgáltató vezetője, foglalkoztatottja vagy segítő családtagja akadályoztatva van az általános ügyintézői képzésben, a speciális képzésben vagy az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágításra vonatkozó képzésben való részvételben, úgy az akadályoztatás megszűnését követő 30 napon belül a szolgáltatónak biztosítania kell a képzésben való részvétel lehetőségét.

(2) A szolgáltató az általános ügyintézői képzés, a speciális képzés, és az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágításra vonatkozó képzés során elsajátított írásbeli vizsgával – ideértve az elektronikus rendszereiben lebonyolított vizsgát is – ellenőrzi.

(3) Amennyiben a szolgáltató vezetője, foglalkoztatottja vagy segítő családtagja akadályoztatva van a vizsga letételében, úgy az akadályoztatás megszűnését követő harminc napon belül a szolgáltatónak biztosítania kell a vizsga letételének lehetőségét.

47. § A szolgáltató az általános ügyintézői képzés, a speciális képzés, az auditált elektronikus hírközlő eszköz útján végzett ügyfél-átvilágításra vonatkozó képzés, valamint az ezekhez kapcsolódó vizsga anyagát, a javítókulcsot, a vizsgázók névsorát és vizsgázónként a vizsgaeredményeket a vizsga napjától számított öt évig őrzi.

11. Záró rendelkezések

48. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – 2019. január 1. napján lép hatályba.

(2) A 32. § (2) bekezdés a) pontja 2019. július 1-jén lép hatályba.

49. §4

1

A rendeletet a 26/2020. (VIII. 25.) MNB rendelet 47. § (3) bekezdése hatályon kívül helyezte 2020. október 1. napjával.

2

A 11/A. §-t a 34/2019. (X. 17.) MNB rendelet 1. §-a iktatta be.

3

A 18. § (1) bekezdés 12. pontja a 11/2019. (III. 7.) MNB rendelet 1. §-ával megállapított szöveg.

4

A 49. § a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

  • Másolás a vágólapra
  • Nyomtatás
  • Hatályos
  • Már nem hatályos
  • Még nem hatályos
  • Módosulni fog
  • Időállapotok
  • Adott napon hatályos
  • Közlönyállapot
  • Indokolás
Jelmagyarázat Lap tetejére