• Tartalom
Oldalmenü

2/2021. (II. 2.) PM rendelet

a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló jogszabályok hatálya alá tartozó egyes nem pénzügyi szolgáltatók részére a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény végrehajtásának, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól

2021.03.19.

A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 77. § (2) bekezdésében kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 94/2018. (V. 22.) Korm. rendelet 64. § (1) bekezdés 10. pontjában meghatározott feladatkörömben eljárva, és

a 9. alcím tekintetében az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény 17. § (2) bekezdésében kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 94/2018. (V. 22.) Korm. rendelet 64. § (1) bekezdés 1. pontjában meghatározott feladatkörömben eljárva
a következőket rendelem el:

1. A belső kockázatértékelés elkészítésének szabályrendszere

1. § (1) A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 27. §-a alapján készített belső kockázatértékelés során a Pmt. 1. § (1) bekezdés f), h), n), o) és r) pontja szerinti tevékenységet végző szolgáltató (a továbbiakban együtt: szolgáltató) ügyfeleit alacsony, átlagos vagy magas kockázati kategóriába sorolja be.

(2) A szolgáltató az ügyfeleit az üzleti kapcsolat létesítésekor az alábbi tényezők alapján sorolja kockázati kategóriákba:

a) ügyfél személyében rejlő kockázatok,

b) ügyfél tevékenységében rejlő kockázatok,

c) ügyfél működési körülményeiben rejlő kockázatok,

d) földrajzi kockázati tényezők.

(3) A szolgáltató a Pmt. 65. §-ában meghatározott belső szabályzatában (a továbbiakban: belső szabályzat) a (2) bekezdés szerinti kockázati tényezők alapján határozza meg a tevékenységére értelmezhető magas kockázatú ügyleti körülményeket. Ennek során a szolgáltató értékel minden olyan körülményt, amelyet a nemzeti kockázatértékelés legalább mérsékelten jelentős kockázati szintbe sorolt.

2. § (1) Az üzleti kapcsolat létesítésekor alacsony kockázati kategóriába sorolható az ügyfél, ha

a) nem merül fel az ügyfél személyében, tevékenységében, működési és földrajzi körülményeiben egyetlen magas kockázatra vonatkozó tényező sem, és

b) fennállnak azok a körülmények, amelyeket a szolgáltató a belső szabályzatában az alacsony kockázati kategóriába sorolás feltételeiként részletesen meghatározott.

(2) A szolgáltató a belső szabályzatában csak olyan körülményeket állapíthat meg az alacsony kockázati kategóriába sorolás feltételeként, amelyek fennállása esetén teljes bizonyossággal rendelkezik az ügyfél-átvilágítás során kötelezően rögzítendő adatok, dokumentumok, nyilatkozatok valóságtartalmáról és az ügyfél jogkövető magatartásáról.

(3) A szolgáltató különösen az alábbi ügyfelek esetében alkalmazhat alacsony kockázati kategóriába sorolást:

a) többségi állami tulajdonú gazdasági társaság,

b) a Pmt. 1. § (1) bekezdés a)–e) pontjában meghatározott, az Európai Unió területén székhellyel rendelkező szolgáltató vagy olyan, harmadik országban székhellyel rendelkező szolgáltató, amelyre a Pmt.-ben meghatározottakkal egyenértékű követelmények vonatkoznak, és amely ezek betartása tekintetében felügyelet alatt áll,

c) olyan gazdasági társaság, amelynek értékpapírját egy vagy több tagállamban bevezették a szabályozott piacra, vagy olyan harmadik országbeli társaság, amelyre a közösségi joggal összhangban lévő közzétételi követelmények vonatkoznak,

d) a Pmt. 5. §-ában meghatározott felügyeletet ellátó szerv,

e) helyi önkormányzat, a helyi önkormányzat költségvetési szerve vagy a d) pontba nem tartozó államigazgatási szerv,

f) az Európai Parlament, az Európai Unió Tanácsa, az Európai Bizottság, az Európai Unió Bírósága, az Európai Számvevőszék, az Európai Gazdasági és Szociális Bizottság, a Régiók Bizottsága, az Európai Központi Bank, az Európai Beruházási Bank vagy az Európai Unió más intézménye vagy szerve.

(4) Az üzleti kapcsolat létesítésekor magas kockázatra vonatkozó tényezők különösen:

a) összetett, bonyolult vagy az ügyfél tevékenysége alapján gazdasági vagy pénzügyi megalapozottság nélküli tulajdonosi struktúra alkalmazása az ügyfél szervezetben;

b) ha az ügyfél, illetve az ügyfél tényleges tulajdonosa személyét illetően megadott adatok, nyilatkozatok valódiságával vagy megfelelőségével kapcsolatban kétség merül fel;

c) az ügyfél-átvilágítás során kötelezően rögzítendő adatokban, nyilatkozatokban vagy másolandó okmányokban kétség alapjául szolgáló adat, tény felmerülése;

d) a belső szabályzatban meghatározott értékhatárt meghaladó mennyiségű készpénz vagy virtuális fizetőeszköz használata az ügyletben;

e) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban bejegyzett szervezet vagy ilyen ország állampolgárának jelenléte az ügyfél döntéshozói vagy tulajdonosi szerkezetében;

f) ha az ügyfél non-profit szervezet, és az üzleti kapcsolat nincs összhangban az ügyfél tevékenységével;

g) az ügyfél kiemelt közszereplő;

h) a szolgáltató számára hozzáférhető adatbázisokban az ügyfél vonatkozásában felmerülő bármely körülmény, amely miatt indokolt az üzleti kapcsolatot megerősített eljárásban figyelemmel kísérni; vagy

i) a Pmt. 17. § (1) bekezdésében meghatározottak szerint az ügyfél, a rendelkezésre jogosult, a képviselő vagy a meghatalmazott nem jelent meg személyesen az azonosítás és a személyazonosság igazoló ellenőrzése céljából.

3. § (1) A szolgáltató az üzleti kapcsolat fennállása során folyamatosan figyelemmel kíséri az üzleti kapcsolatot (a továbbiakban: monitoring tevékenység). A felülvizsgálat során a szolgáltató különös figyelemmel értékeli az üzleti kapcsolat során előforduló összetett, szokatlan vagy gazdasági vagy jogszerű cél nélkül végrehajtott ügyleteket.

(2) A szolgáltató az ügyféllel való üzleti kapcsolat fennállása alatt folytatott monitoring tevékenysége során a belső szabályzatában meghatározott gyakorisággal – de legalább évente – felülvizsgálja az ügyfelei kockázati kategóriák szerinti besorolását. Új típusú pénzmosási vagy terrorizmusfinanszírozási kockázat felmerülése, beazonosítása esetén a szolgáltató a belső kockázatértékelését soron kívül felülvizsgálja.

(3) A megállapított kockázati kategória felülvizsgálata az üzleti kapcsolat alapját képező szerződés lényeges tartalmát befolyásoló új körülmény felmerülésekor és az azonosított kockázat szintjének megváltozásakor is szükséges.

(4) Az üzleti kapcsolat fennállása alatt magas kockázatra vonatkozó tényezők különösen:

a) a belső szabályzatban a pénzmosásra vagy a terrorizmus finanszírozására utaló adatok, tények, körülmények megállapításakor figyelembe veendő szempontok felmerülése;

b) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban bejegyzett szervezet vagy ilyen ország állampolgárának megjelenése az ügyfél döntéshozói vagy tulajdonosi szerkezetében vagy partnerei között;

c) ha az ügyfél, illetve az ügyfél tényleges tulajdonosa személyét illetően megadott adatok, nyilatkozatok valódiságával vagy megfelelőségével kapcsolatban kétség merül fel;

d) a belső szabályzatban meghatározott értékhatárt meghaladó mennyiségű készpénz vagy virtuális fizetőeszköz használata az ügyletben; vagy

e) az ügyfél tulajdonosi körébe külföldön bejegyzett – a szolgáltató által nem ellenőrizhető tulajdonosi háttérrel rendelkező – gazdasági társaság vagy harmadik országos állampolgárságú természetes személy kerül.

(5) A szolgáltató magas kockázatra vonatkozó tényező felmerülése esetén az üzleti kapcsolatot a Pmt. 11. § (2) bekezdésében meghatározott megerősített eljárásban kíséri figyelemmel. A megerősített eljárás kiterjed az azonosított kockázatok kezelésére és csökkentésére. Ennek keretében a szolgáltató vizsgálja, hogy szükség van-e az ügyféllel szemben pénzmosás megelőzésével kapcsolatos intézkedés végrehajtására.

(6) A szolgáltató a monitoring tevékenység eredményeképpen felülvizsgálja és – szükség esetén – módosítja a megállapított kockázati kategóriát.

2. A belső ellenőrző és információs rendszer működtetése

4. § (1) A szolgáltató a tevékenysége megkezdését követő öt munkanapon belül kijelöl egy vagy több vezetőt (a továbbiakban: kijelölt vezető), aki a Pmt.-ben foglalt kötelezettségek foglalkoztatottak által történő végrehajtásáért felel. A kijelölt vezető nevét, beosztását, jogkörét és kötelezettségeit a belső szabályzat részletesen tartalmazza.

(2) A kijelölt vezető feladatai a következők:

a) ügyfél-átvilágítási intézkedések végrehajtását, ellenőrzését segítő információs rendszer kialakítása, ezzel kapcsolatos belső ellenőri tevékenység ellátása;

b) bejelentési kötelezettség teljesítését, ellenőrzését segítő információs rendszer kialakítása, a bejelentésre okot adó körülmények foglalkoztatottak által történő felismerésének ellenőrzése;

c) nyilvántartások naprakészen tartásával kapcsolatos ellenőrzési feladatok ellátása;

d) a pénzügyi információs egységtől és a bűnüldöző szervektől érkezett megkeresések teljes körű és határidőben történő teljesítésének biztosítása;

e) a szolgáltató pénzmosási és terrorizmusfinanszírozási kockázati kitettségének megállapítása, illetve a kockázatok kezelésére, csökkentésére vonatkozó felelős döntések meghozatala;

f) a Pmt. 63. § (3) bekezdésében meghatározott rendszer kialakítása;

g) képzési programok szervezése a 17. §-ban meghatározottak szerint;

h) magas kockázatba sorolt ügyfél vonatkozásában az üzleti kapcsolat jóváhagyása;

i) megerősített eljárás bevezetésének felügyelete; és

j) közreműködés a felügyeleti ellenőrzés keretében végrehajtott helyszíni hatósági ellenőrzések során.

(3) A kijelölt vezető a (2) bekezdés a) pontjában szereplő belső ellenőri tevékenység során magas kockázati kategóriába sorolt ügyfelek esetében legalább évente, alacsony és átlagos kockázati kategóriába sorolt ügyfelek esetében legalább 5 évente tételesen ellenőrzi az ügyfelekre vonatkozóan a Pmt. alapján kötelezően rögzítendő adatok és okiratok, valamint az ügyfelek kockázati szintjének meghatározásának naprakészségét.

(4) A (2) bekezdés b) pontjában meghatározott feladatkörében eljárva a kijelölt vezető folyamatba építve köteles ellenőrizni, hogy a foglalkoztatottak a bejelentésre okot adó körülményeket felismerték-e.

(5) A (2) bekezdés c) pontjában meghatározott feladatkörében eljárva a kijelölt vezető évente köteles ellenőrizni, hogy a Pmt. rendelkezéseinek végrehajtását igazoló nyilvántartások naprakészek-e (bejelentésekről, oktatásokról, megkeresések teljesítéséről).

(6) A kijelölt vezető a (3)–(5) bekezdésben meghatározott ellenőrzés eredményét, valamint mulasztás, szabályszegés megállapítása esetén az arra tett intézkedéseket is írásban rögzíti.

(7) A (2) bekezdés a)–c) pontjában meghatározott ellenőrzés kiterjed arra a jogi személyre, jogi személyiség nélküli szervezetre vagy egyéni vállalkozóra, amely a Pmt. hatálya alá tartozó tevékenység részfolyamatait a szolgáltató nevében, a szolgáltató felügyelete vagy a szolgáltató ellenőrzése alatt végzi.

5. § (1) A Pmt. 63. § (3) bekezdésében meghatározott rendszer segítségével a szolgáltató vezető tisztségviselője, foglalkoztatottja és segítő családtagja (a továbbiakban együtt: foglalkoztatott) értesítést küldhet a Pmt. rendelkezéseinek szolgáltató általi megsértéséről a kivizsgálására jogosult személy vagy szervezeti egység részére.

(2) Az (1) bekezdés szerinti rendszert minden olyan szolgáltató kiépíti, ahol legalább 2 fő foglalkoztatott vesz részt a Pmt. szerinti tevékenység ellátásában. E tekintetben a foglalkoztatottal egy tekintet alá esik az a jogi személy, jogi személyiség nélküli szervezet vagy egyéni vállalkozó, amely a Pmt. hatálya alá tartozó tevékenység részfolyamatait a szolgáltató nevében, a szolgáltató felügyelete vagy a szolgáltató ellenőrzése alatt végzi.

(3) A szolgáltató az értesítésben foglaltakat 8 napon belül kivizsgálja, a vizsgálat eredményét és a meghozott intézkedéseket visszakereshető módon rögzíti.

3. Az egyszerűsített és a fokozott ügyfél-átvilágítás esetkörei és azok felügyeleti jóváhagyásának szabályai

6. § A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmaz az alacsony kockázati kategóriába sorolt ügyfelei vonatkozásában.

7. § (1) Fokozott ügyfél-átvilágítást a szolgáltató akkor alkalmaz, ha magas kockázatra vonatkozó tényező merül fel az ügyfél esetében.

(2) A szolgáltató által alkalmazott egyszerűsített és fokozott ügyfél-átvilágítás belső szabályzatban kidolgozott esetköreit a felügyeletet ellátó szerv a Pmt. szerinti belső szabályzat részeként hagyja jóvá.

4. Az auditált elektronikus hírközlő eszköz és működtetésének minimum követelményei, auditálásának módja, valamint az ilyen eszköz útján végzett ügyfél-átvilágítás végrehajtása

8. § (1) Az elektronikus hírközlő eszköz akkor auditálható és működtethető, ha legalább az alábbi informatikai biztonsági követelményeknek megfelel:

a) elemei azonosíthatók és dokumentáltak,

b) üzemeltetési folyamatai szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek,

c) változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhassanak meg,

d) adatmentési és -visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás az üzemeltetési szabályzat szerinti gyakorisággal és dokumentáltan tesztelt,

e) a felhasználói hozzáférés mind alkalmazási, mind infrastruktúra szinten szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,

f) a felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, biztosítják az azonosítási folyamat megvalósulását, továbbá felhasználóinak tevékenysége naplózott, a rendkívüli eseményekről automatikus figyelmeztetések generálódnak,

g) a hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek, a kiemelt jogosultságokkal elvégzett tevékenység naplózott, a naplófájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak,

h) a távoli hozzáférés szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,

i) a vírusok és más rosszindulatú kódok és cselekmények elleni védelem biztosított,

j) adatkommunikációja és rendszerkapcsolatai dokumentáltak és ellenőrzöttek, az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosított,

k) a katasztrófa-helyreállítási terv rendszeresen tesztelt, amennyiben az ügyfél-átvilágításra a szolgáltató más módon nem képes, vagy az alkalmazott rendszer a szolgáltató vonatkozásában üzleti kritikus rendszerként került besorolásra,

l) karbantartása szabályozott,

m) adathordozóinak védelme szabályozott, biztosított, hogy az adathordozókhoz csak az arra jogosult személyek és csak az adatkezelési cél teljesülése érdekében férnek hozzá, ennek felülvizsgálata és ellenőrzése rendszeresen megtörténik,

n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről,

o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.

(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy

a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,

b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatást, beleértve a szolgáltatás biztonságára vonatkozó ügyfél oldali felelősségről szólót is,

c) a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki – a szolgáltató által alkalmazott megoldástól függően – a közvetett vagy közvetlen elektronikus ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,

d) az elektronikus hírközlő eszközre és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen az (1) bekezdésben foglalt követelményeknek,

e) a jogi szabályozásban, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente a vizsgálati jelentést felülvizsgálja,

f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább

fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),

fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),

fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy

fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)

képesítéssel és minősítéssel,

g) a Pmt.-ben előírt ügyfél-átvilágítás és elektronikus azonosítás során a szolgáltató birtokába jutott személyes adatokat és személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az érintett részére hozzáférhetővé tegye, átadja, és

h) az ügyfél-átvilágítás folyamatáról elektronikusan eltárolt adatok oly módon kerüljenek rögzítésre, hogy azok a későbbiekben alkalmasak legyenek az ügyfél-átvilágításra vonatkozó rendelkezések betartásának és az ügyfél-átvilágítási intézkedések végrehajtásának utólagos megítélésére.

9. § (1) A szolgáltató foglalkoztatottja az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítást (a továbbiakban: valós idejű ügyfél-átvilágítás) egy erre a célra elkülönített és felszerelt helyiségben végzi.

(2) A szolgáltató visszakereshető módon rögzíti

a) a helyiségbe belépő személyét,

b) a helyiségből kilépő személyét és

c) a be- és kilépés időpontját.

(3) A valós idejű ügyfél-átvilágítást csak a szolgáltató foglalkoztatottja végezheti, akinek a szolgáltató előzőleg e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.

(4) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában az alábbi feltételek egyidejű teljesülése esetén biztosítja az ügyfél átvilágítására vonatkozó biztonságos feltételeket:

a) az ügyfél a valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult,

b) a valós idejű ügyfél-átvilágítás legalább kétfaktoros – amelyek közül az egyik kép- és hangátvitelt lehetővé tevő elektronikus hírközlő eszköz –, és a faktorai legalább két eltérő technológián alapulnak,

c) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által bemutatott fényképes azonosító okmánnyal való összevetésre, az okmányban foglalt adatok és a bemutatott okmány biztonsági elemeinek azonosítására,

d) az ügyfél-átvilágítási folyamat szabályozott és folyamatosan ellenőrzött, és

e) az átvilágítás megfelelőségét további, második szintű ellenőrzés követi a szolgáltatón belül.

10. § (1) A szolgáltató a valós idejű ügyfél-átvilágítás során a szolgáltató és az ügyfél között létrejött teljes kommunikációt, az ügyfél valós idejű ügyfél-átvilágítással kapcsolatos részletes tájékoztatását és az ügyfél ehhez történő kifejezett hozzájárulását visszakereshető módon kép- és hangfelvételen rögzíti.

(2) A valós idejű ügyfél-átvilágítást végző szolgáltató vezetője, foglalkoztatottja, illetve segítő családtagja felszólítja az ügyfelet arra, hogy

a) úgy nézzen bele a kamerába, hogy arcképe felismerhető és rögzíthető legyen,

b) érthető módon közölje a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolvány vagy vezetői engedély okmányazonosítóját, és

c) úgy mozgassa a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolványát vagy vezetői engedélyét, hogy az azon található biztonsági elemek és adatsorok felismerhetők és rögzíthetők legyenek.

(3) A valós idejű ügyfél-átvilágítást végző szolgáltató vezetője, foglalkoztatottja, illetve segítő családtagja megbizonyosodik arról, hogy a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolvány vagy vezetői engedély alkalmas a valós idejű ügyfél-átvilágítás elvégzésére, így

a) a kártyaformátumú személyazonosító igazolvány vagy vezetői engedély egyes elemei és azok elhelyezkedése megfelel az okmányt kiállító hatóság előírásainak,

b) az egyes biztonsági elemek – különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek – felismerhetők és sérülésmentesek,

c) a kártyaformátumú személyazonosító igazolvány vagy vezetői engedély rendelkezik gépi adatolvasást lehetővé tevő mezővel, és

d) a kártyaformátumú személyazonosító igazolvány vagy vezetői engedély okmányazonosítója megegyezik az ügyfél által közölt okmányazonosítóval, felismerhető és sérülésmentes.

(4) A valós idejű ügyfél-átvilágítást végző alkalmazott megbizonyosodik arról, hogy

a) az ügyfél arcképe felismerhető és azonosítható az általa bemutatott kártyaformátumú személyazonosító igazolványon vagy vezetői engedélyen látható arckép alapján, és

b) a kártyaformátumú személyazonosító igazolványon vagy vezetői engedélyen megtalálható adatok logikailag megfeleltethetők az ügyfélről a szolgáltatónál rendelkezésre álló adatokkal.

(5) A szolgáltató a valós idejű ügyfél-átvilágítás során az ügyfél által bemutatott kártyaformátumú személyazonosító igazolvány vagy vezetői engedély adatait összeveti nyilvánosan hozzáférhető nyilvántartás vagy olyan nyilvántartás adataival, amelynek kezelőjétől törvény alapján adatigénylésre jogosult.

(6) A szolgáltató egy alfanumerikus kódból álló, központilag, véletlenszerűen generált azonosítási kódot küld az ügyfélnek az ügyfél választása szerint az ügyfél azonosítására alkalmas e-mail-címre vagy SMS-ben mobiltelefonszámra, amely kódot az ügyfél a valós idejű ügyfél-átvilágítás befejezéséig a szolgáltató által választott kommunikációs formában küldi vissza a szolgáltatónak.

11. § (1) A szolgáltató a valós idejű ügyfél-átvilágítás során az ügyfélre irányadó, Pmt. szerinti nyilatkozatok megtételére és okiratok bemutatására hívja fel az ügyfelet.

(2) A szolgáltató az (1) bekezdés alapján bemutatott okiratok adatait összeveti nyilvánosan hozzáférhető nyilvántartás vagy olyan nyilvántartás adataival, amelynek kezelőjétől törvény alapján adatigénylésre jogosult.

12. § (1) A szolgáltató megszakítja a valós idejű ügyfél-átvilágítást, amennyiben

a) az ügyfél a valós idejű ügyfél-átvilágítás során visszavonja az adatrögzítéshez adott hozzájárulását,

b) az ügyfél által bemutatott okmányok, illetve okiratok fizikai és adattartalmi követelményei nem adottak,

c) az ügyfél, az általa bemutatott okmányok, illetve okiratok vizuális azonosításának feltételei nem adottak,

d) a szolgáltató nem tudja elkészíteni a hang- és képfelvételt,

e) az ügyfél nem, nem teljes egészében vagy hibásan küldi vissza az azonosítási kódot,

f) az ügyfél nem, vagy a szolgáltató vezetője, foglalkoztatottja, illetve segítő családtagja számára észlelhetően befolyás alatt tesz nyilatkozatot, vagy

g) az eljárás során azzal kapcsolatban bármilyen ellentmondás vagy bizonytalanság lép fel.

(2) Pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adat, tény, körülmény felmerülése esetében, a szolgáltató az (1) bekezdésben írt feltételek fennállása ellenére is elvégzi a valós idejű ügyfél-átvilágítást, amelyet követően haladéktalanul bejelentést tesz a pénzügyi információs egységnél.

13. § A valós idejű ügyfél-átvilágítást a szolgáltató belső szabályzatban meghatározott foglalkoztatottjának a valós idejű ügyfél-átvilágítás egészére kiterjedő ellenőrzése zárja le.

14. § A szolgáltató a valós idejű ügyfél-átvilágítás rendszerét úgy alakítja ki, hogy azt a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról szóló törvény szerinti fogyatékos személy is igénybe tudja venni.

5. A megerősített eljárás esetkörei és feltételrendszere

15. § (1) A szolgáltató fokozott ügyfél-átvilágítás feltételeinek fennállása esetén a monitoring tevékenységet megerősített eljárásban végzi.

(2) Megerősített eljárásban a szolgáltató:

a) kiemelten figyelemmel kíséri, hogy az ügyfél-átvilágítás során kötelezően rögzítendő adatok, okiratok, nyilatkozatok naprakészek legyenek, és kétség esetén ismételten elvégzi a szükséges ügyfél-átvilágítási intézkedéseket, hogy megbizonyosodjon azok helytállóságáról;

b) ha az ügyfél által kapcsolattartásra megadott módokon – a szolgáltatás jogszabályoknak megfelelő végzéséhez szükséges kommunikáció szükségességét figyelembe véve – nem tud az ügyféllel kapcsolatba lépni az üzleti kapcsolat fennállása alatt, megkísérli három hónapon belül legalább két alkalommal, igazolt módon, írásban felszólítani az ügyfelet – a lehetséges jogkövetkezményekre való egyidejű figyelmeztetés mellett – a szolgáltatóval való kapcsolat felvételére; a kapcsolatfelvétel sikertelensége esetén a szolgáltató megvizsgálja, hogy szükség van-e az ügyféllel szemben pénzmosás megelőzésével kapcsolatos intézkedés végrehajtására;

c) a belső szabályzatában részletezett eljárások alkalmazásával elemzi és értékeli az ügyfele magatartását, működési körülményeit és tevékenységét, annak fokozott vizsgálata céljából, hogy szükség van-e az ügyféllel szemben pénzmosás megelőzésével kapcsolatos intézkedés végrehajtására;

d) a pénzeszköz forrására, vagyon forrására vonatkozó nyilatkozatot kér az ügyféltől, amennyiben a szolgáltatás nyújtása során releváns pénzeszköz kerül a szolgáltató látókörébe; és

e) kijelölt vezetője fokozott figyelemmel követi az ügyfél tevékenységét, ügyleteit.

(3) A megerősített eljárás befejezését a szolgáltató írásban rögzíti, amely tartalmazza a szolgáltató megerősített eljárás során tett megállapításait, valamint az eljárás befejezésének indokát és időpontját.

6. A kockázatérzékenységi megközelítés alapján üzleti kapcsolat létesítéséhez vagy ügyleti megbízás teljesítéséhez vezetői döntést igénylő esetek meghatározása

16. § A szolgáltató az üzleti kapcsolat létesítését vagy az ügyleti megbízás elfogadását a kijelölt vezető jóváhagyásához köti, ha az ügyfél-átvilágítási intézkedések elvégzése során magas kockázatra vonatkozó tényező merül fel az ügyfél viszonylatában.

7. Képzési program

17. § (1) A szolgáltató a képzéseket a pénzügyi információs egység mint felügyeletet ellátó szerv által kialakított tematika, illetve oktatási anyag szerint bonyolítja le.

(2) A szolgáltató képzést tart minden olyan esetben, amikor a Pmt. 65. § (4) bekezdése alapján a belső szabályzat módosítására van szükség, de legalább évente egy alkalommal valamennyi, a tevékenység ellátásában részt vevő foglalkoztatott részére. A tevékenység ellátásában részt vevő új foglalkoztatott képzését a belépést követő 15 napon belül el kell végezni.

(3) A képzések a következő témaköröket tartalmazzák:

a) a belső szabályzat foglalkoztatottakra vonatkozó elemei a belső eljárási rend figyelembevételével,

b) a pénzmosásra, terrorizmus finanszírozására vagy a dolog büntetendő cselekményből való származására, utaló adat, tény, körülmény megállapításakor figyelembe veendő szempontok és

c) az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedéseket érintő nemzetközi és hazai jogszabályi rendelkezések foglalkoztatottakat érintő elemei.

(4) A tevékenység ellátásában részt vevő foglalkoztatott számára nyújtott képzéssel egyenértékű képzést szervez a szolgáltató a jogi személy, jogi személyiség nélküli szervezet vagy egyéni vállalkozó foglalkoztatottja számára, amennyiben a jogi személy, jogi személyiség nélküli szervezet vagy egyéni vállalkozó a Pmt. hatálya alá tartozó tevékenység részfolyamatait a szolgáltató nevében, a szolgáltató felügyelete vagy a szolgáltató ellenőrzése alatt végzi.

8. Ügylet felfüggesztése

18. § (1) A szolgáltató belső szabályzatában meghatározza az ügylet felfüggesztése során

a) az ügyfélnek adandó tájékoztatás tartalmát és

b) a szervezeti egységeinek kötelezettségét és felelősségét.

(2) A szolgáltató biztosítja, hogy

a) a felfüggesztés tényéről tudomással bíró foglalkoztatott megismerje az (1) bekezdés a) pontja alapján meghatározott tájékoztatás szerinti eljárás menetét,

b) a felfüggesztés teljesítéséhez csak a szükséges személyeket vonja be,

c) a felfüggesztési kötelezettség teljesítésére utaló adat, tény, illetve körülmény felmerülésekor a kijelölt személy telefonon értesíti a pénzügyi információs egységként működő hatóságot, és a tőle kapott instrukciók szerint jár el, valamint

d) a felfüggesztés ideje alatt a telefonos kapcsolattartás a pénzügyi információs egységként működő hatósággal a kijelölt személy akadályoztatása esetén is folyamatos legyen.

(3) A szolgáltató az általa vezetett nyilvántartáson belül az ügylet felfüggesztését igazoló iratot vagy annak másolatát elkülönítetten kezeli.

9. Az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtása érdekében működtetett szűrőrendszer kidolgozása és működtetésének minimumkövetelményei

19. § (1) A szolgáltató az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény (a továbbiakban: Pvkit.) 3. § (6) bekezdésében megfogalmazott kötelezettség teljesítése, valamint a pénzügyi és vagyoni korlátozó intézkedéseket elrendelő uniós jogi aktusok és ENSZ BT határozatok haladéktalan és teljes körű végrehajtása érdekében működtetett szűrőrendszerében az általa rögzített teljes ügyfélállomány személyes adatait összeveti az európai uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival az üzleti kapcsolat létesítésekor, valamint az ügyleti megbízás elfogadásakor. A Pvkit. 3. § (5) bekezdése szerinti tájékoztató közzétételét követően a saját ügyfélállománya vonatkozásában a szűrést elvégzi.

(2) A szűrést a több, mint ezer ügyféllel rendelkező szolgáltató kizárólag automatikusan működő szűrőrendszer alkalmazásával hajthatja végre, amely egy, a szolgáltató által rögzített teljes ügyfélállomány személyes adatainak az európai uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival való rendszeres, manuális beavatkozást nem igénylő összehasonlítására alkalmas informatikai rendszer.

(3) A szűrést a (2) bekezdésben meghatározottnál kevesebb ügyféllel rendelkező szolgáltató manuálisan működő szűrőrendszer alkalmazásával is végrehajthatja, amely egy, a szolgáltató által rögzített teljes ügyfélállomány személyes adatainak az európai uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek adataival való összehasonlítására alkalmas, nem automatikus eljárás.

(4) A szűrések végrehajtását a szolgáltató írásban rögzíti, és a dokumentumokat visszakereshető módon a szűréstől számított 8 évig megőrzi, valamint azokat a felügyeleti ellenőrzés során bemutatja.

10. Záró rendelkezések

20. § Ez a rendelet a kihirdetését követő negyvenötödik napon lép hatályba.