📄 Jogszabály szövege
33/2017. (X. 26.) NGM rendelete a nemesfémmel vagy az ezekből készült tárgyakkal kereskedő és az árukereskedő szolgáltatók részére a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. LIII. törvény végrehajtásának, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. LII. törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól.
A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 77. §
(2) bekezdésében, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó
intézkedések végrehajtásáról szóló 2017. évi LII. törvény 17. § (2) bekezdésében kapott felhatalmazás alapján, a Kormány
tagjainak feladat- és hatásköreiről szóló 152/2014. (VI. 6.) Korm. rendelet 90. § 1. és 14. pontjában meghatározott
feladatkörömben eljárva a következőket rendelem el:
1. A belső kockázatértékelés elkészítésének szabályrendszere 1. § (1) A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény
(a továbbiakban: Pmt.) 1. § (1) bekezdés j) és k) pontja szerinti tevékenységet végző szolgáltató (a továbbiakban
együtt: szolgáltató) a Pmt. 27. §-ában meghatározottaknak megfelelő saját kockázatértékelésében rögzíti, hogy
mely ismérvek alapján és milyen dokumentumokra alapozva készítette el.
(2) A szolgáltató a kockázati tényezők beazonosítása során a Pmt.-ben meghatározottakon kívül a következőket veszi
figyelembe:
a) az Európai Bizottság nemzetek feletti kockázatértékelése és
b) a kereskedelmi hatóság által folytatott eljárások során keletkezett és a honlapon nyilvánosságra hozott
dokumentumok.
(3) A szolgáltató a kockázati tényezők beazonosítása során különösen
a) egy értékelés alá vont állam pénzmosás és a terrorizmus finanszírozása elleni rendszere megfelelőségével és
hatékonyságával, korrupcióellenes és adózási rendszerrel kapcsolatos nyilvánosan közzétett értékeléséből,
b) nyilvános forrásból és
c) tudományos intézményektől
származó információkat vehet figyelembe.
(4) A nemesfémmel vagy az ezekből készült tárgyakkal kereskedő (a továbbiakban: nemesfémmel kereskedő) esetében
a kockázatértékelés elkészítése a Pmt. 27. § (4) bekezdése alapján mellőzhető, ha
a) a nemesfémmel kereskedő a kereskedelmi hatóság általi nyilvántartásba vétel során nyilatkozik arról,
hogy nemesfém tárgyakra vonatkozó kereskedelme során nem fogad el háromszázezer forintot elérő vagy
meghaladó értékben készpénzt egy ügyleti megbízás során, és
b) a nemesfémmel kereskedő nemesfém értékesítésből származó előző éves vagy – a tevékenységét
a tárgyévben megkezdő, a kereskedelmi hatóság által nyilvántartásba vett nemesfémmel kereskedő –
várható éves árbevétele nem haladja meg az évi tízmillió forintot. A mentesség alátámasztására
a nyilvántartásban szereplő nemesfémmel kereskedő köteles a felügyeletet ellátó szerv, a kereskedelmi
hatóság részére minden év május 31. napjáig az előző év forgalmáról jelentést tenni.
(5) A belső kockázatértékelés elkészítésére kötelezett szolgáltató minden év január 31. napjáig aktualizálja
kockázatértékelését a Pmt. 65. §-a szerinti belső szabályzatában meghatározott vezetője jóváhagyásával, vagy ha
nem történt változás a belső kockázatértékelés alapjául szolgáló információkban, ennek tényét jegyzőkönyvben
rögzíti. A szolgáltató a (7) bekezdésben felsorolt tényezőkben bekövetkezett változást követően az e rendeletben
meghatározott esetekben belső kockázatértékelését soron kívül módosítja.
(6) A kockázatértékelés eredményének felhasználásával készített belső kockázatértékelés során a szolgáltató ügyfeleit
dokumentáltan alacsony, átlagos és magas kockázati kategóriába sorolja be a pénzmosás és a terrorizmus
finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény, valamint az Európai Unió és
az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló
2017. évi LII. törvény alapján elkészítendő belső szabályzat kötelező tartalmi elemeiről szóló 21/2017. (VIII. 3.)
NGM rendelet 1. és 2. mellékletének figyelembevételével.
(7) A szolgáltató ügyfeleit a következő tényezők esetén köteles magas kockázati kategóriába sorolni:
a) ügyfélkockázati tényezők:
aa) az üzleti kapcsolat vagy ügyleti megbízás szokatlan körülmények között zajlik;
ab) az ügyfél közvetítőt vagy segítőt vesz igénybe az ügylet lebonyolítása során;
ac) a jogi személy tulajdonosi szerkezete összetett és nehezen átlátható;
ad) a kereskedelmi hatóság honlapján közzétett, a joghátrányok kiszabására vonatkozó információk;
ae) a nem természetes személy ügyfél képviseletében eljáró személy hamis, félrevezető információt ad,
vagy nincs kellőképpen tisztában az általa képviselt szervezet működési körülményeivel;
b) termékhez, szolgáltatáshoz, ügylethez vagy szolgáltatási csatornához kapcsolódó kockázati tényezők:
ba) az ügylet tárgya az általános forgalmi adóról szóló törvényben meghatározott befektetési arany
forgalmazása;
bb) egy ügyfél tekintetében évi százmillió forintot meghaladó készpénzes ügylet bonyolódik;
bc) az ügylet tárgyának készpénzben fizetett része alkalmanként a húszmillió forintot meghaladja;
c) földrajzi kockázati tényezők:
ca) az ügyfél vezetője, tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot
jelentő harmadik ország állampolgára, vagy ott lakóhellyel rendelkezik;
cb) az ügyfél valamely stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik
országban bejegyzett gazdasági társaság leányvállalata, vagy szervezet magyarországi képviselete.
(8) A szolgáltató ügyfeleit az üzleti kapcsolat létesítésekor vagy az ügyleti megbízás teljesítésekor a (7) bekezdésben
meghatározott tényezők alapján sorolja kockázati kategóriába, majd – amennyiben a Pmt. 3. § 45. pont a) alpontja
értelmében üzleti kapcsolat jön létre – az üzleti kapcsolat fennállása során végzett monitoring tevékenységének
eredményeképpen felülvizsgálja, és szükség esetén módosítja a megállapított kockázati szintet.
(9) A tevékenysége folytatása során kétmillió-ötszázezer forintot elérő vagy meghaladó összegű készpénzfizetést
elfogadó árukereskedő (a továbbiakban: árukereskedő) a termékhez kapcsolódó kockázati tényezők közül
magasabb kockázatúnak köteles besorolni: a drágakő, műtárgy, a tízmillió forintot meghaladó értékű légi, vízi és
szárazföldi gépjármű, valamint haszongépjármű forgalmazását.
2. § (1) A szolgáltató az üzleti kapcsolat létesítésekor végzett kockázatértékelés során dönt az ügyfél-átvilágítás módjáról,
illetve az üzleti kapcsolat esetleges megtagadásáról.
(2) Az üzleti kapcsolat létesítésekor alacsony kockázati szint állapítható meg az ügyfél vonatkozásában, ha
az egyszerűsített ügyfél-átvilágítás feltételei fennállnak, vagy ha nem merül fel egyetlen, az 1. § (7) bekezdésében
felsorolt magas kockázatra vonatkozó tényező sem. A nemesfémmel kereskedő átlagos kategóriába sorolja
az ügyfelet, ha a magas kategóriába sorolás szempontjai közül legfeljebb három, és a kockázati tényező súlyozása
alapján relatív kisebb kockázati tényező merült fel.
(3) A szolgáltató a magas kockázatra vonatkozó tényező felmerülése esetén az üzleti kapcsolatot a Pmt. 11. §
(2) bekezdésében meghatározott megerősített eljárásban kíséri figyelemmel.
(4) A szolgáltató a belső kockázatértékelése alapján a meghatározott kockázatok csökkentésére és kezelésére
vonatkozó eljárásrendet a Pmt. 65. §-ában meghatározott belső szabályzatában (a továbbiakban: belső szabályzat)
határozza meg. A szolgáltató kidolgozza továbbá, hogy mely esetben kér be az ügyféltől a pénzügyi eszköz forrására
vonatkozó információt, mikor alkalmaz megerősített eljárást, és milyen időszakonként vizsgálja felül az általa
beszerzett ügyfél-átvilágítási adatot.
(5) A szolgáltató a beazonosított kockázat értékelése alapján meghatározza a kockázat kezelése érdekében szükséges
intézkedést. A meghatározott intézkedést határidőhöz köti és kijelöli a végrehajtásért felelős személyt.
(6) A szolgáltató a belső kockázatértékelését az 1. § (5) bekezdésében foglaltak szerint soron kívül felülvizsgálja,
amennyiben
a) az általa korábban már azonosított kockázat természete megváltozik,
b) új típusú pénzmosási és terrorizmusfinanszírozási kockázat merül fel,
c) minden egyéb esetben, amikor a szolgáltató alapos okkal feltételezi, hogy a kockázatértékelés alapjául
szolgáló információ már nem alkalmazható. 2. A belső ellenőrző és információs rendszer működtetése
3. § (1) Az ügyfél-azonosítási kötelezettség végrehajtása érdekében a Pmt. 14. § (4) bekezdése értelmében a háromszázezer
forintot elérő vagy meghaladó összegű, valamint a hárommillió-hatszázezer forintot elérő vagy meghaladó összegű
ügyleti megbízás teljesítésekor rögzített adatok kezelése során úgy kell eljárni, hogy azok a további azonosítás során
a nemesfémmel kereskedő ügyfél-átvilágításban közreműködő vezető tisztségviselője, foglalkoztatottja vagy segítő
családtagja (a továbbiakban együtt: foglalkoztatott) részére elérhetőek legyenek.
(2) Az ügyfél-azonosítási kötelezettség végrehajtása érdekében a Pmt. 14. § (4) bekezdése értelmében háromszázezer
forintot elérő vagy meghaladó összegű, valamint a kettőmillió-ötszázezer forintot elérő vagy meghaladó összegű
készpénzes ügyleti megbízás teljesítésekor rögzített adatok kezelése során úgy kell eljárni, hogy azok a további
azonosítás során az árukereskedő ügyfél-átvilágításban közreműködő foglalkoztatottja részére elérhetőek legyenek.
4. § (1) A kockázatértékelés elkészítésére kötelezett szolgáltató az ügyfél és az ügylet tekintetében a pénzmosás és
terrorizmus finanszírozása szempontjából a (2)–(3) bekezdés alapján történő, leválogatására alkalmas informatikai
rendszert működtet, amely lehet automatikus és manuális. Az évi tízezer tranzakciónál többet lebonyolító
szolgáltató az ügyfelekre vonatkozó automatikus szűrőrendszert működtet. A szolgáltató az évi tízezer alatti
tranzakció szám esetén manuális szűréssel biztosítja a pénzmosás és a terrorizmus finanszírozása szempontjából
az ügyfél és a szokatlan ügylet leválogatását.
(2) A szolgáltató a következő ügyfél-, illetve ügylettípusokra végez szűrést:
a) húszmillió forintot elérő vagy meghaladó összegű készpénzbefizetés az ügyfél részéről,
b) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból kezdeményezett
tízmillió forintot elérő vagy meghaladó összegű ügylet, valamint
c) a belső szabályzatban meghatározott ügyfél-, illetve ügylettípusok.
(3) A szolgáltató további szűrési feltételeket határozhat meg a nemzeti kockázatértékelés és a belső kockázatértékelése
alapján.
(4) A szolgáltató a szűrés feltételeit folyamatosan felülvizsgálja.
(5) A szűrési feltételek alapján azonosított ügyfél, illetve ügylet pénzmosás és terrorizmus finanszírozása szempontjából
történő elemzését és értékelését a szolgáltató a szűrést követő tíz napon belül végzi el.
(6) A szűrési feltételek alapján azonosított ügyfél, illetve ügylet elemzésének és értékelésének folyamatát, annak
eredményét, és az ez alapján hozott döntést a szolgáltató dokumentálja.
5. § (1) A belső szabályzatban a szolgáltató kidolgozza a Pmt. 63. § (3) bekezdésében meghatározott rendszer
(a továbbiakban: bejelentési rendszer) működtetésének feltételeit.
(2) A bejelentést a szolgáltató 8 napon belül kivizsgálja. A határidőbe a bejelentés megtételének napja nem számít
bele.
(3) A bejelentés kivizsgálásában nem vehet részt a bejelentéssel érintett személy és a Polgári Törvénykönyvről szóló
2013. évi V. törvény szerinti közeli hozzátartozója.
(4) Ha a szolgáltató azt állapítja meg, hogy pénzmosásra vagy terrorizmusfinanszírozásra utaló adat, tény, illetve
körülmény merül fel, úgy a kijelölt személy haladéktalanul bejelentést tesz a pénzügyi információs egységnek.
(5) Ha a szolgáltató azt állapítja meg, hogy bűncselekmény gyanúja áll fenn, úgy haladéktalanul feljelentést tesz
a nyomozó hatóságnál.
6. § A belső szabályzatban a szolgáltató meghatározza, hogy a kijelölt vezető a Pmt.-ben meghatározott kötelezettségek
teljesítése vonatkozásában az ellenőrzéseket milyen rendszerességgel hajtja végre, azokat hogyan dokumentálja,
mulasztás vagy szabályszegés esetén milyen intézkedéseket alkalmaz.
7. § A szolgáltató köteles a pénzügyi információs egységtől, a kereskedelmi hatóságtól vagy a bűnüldözési szervtől
érkezett megkeresést öt napon belül teljesíteni.
8. § (1) A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen az üzleti kapcsolat
a) személyes adat,
b) ügyfél-azonosító szám,
c) ügylettípus vagy
d) összeghatár
szerinti keresésére. (2) A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen a benne rögzített adatoknak
a Pmt.-ben meghatározott időtartam alatt visszakereshetőséget lehetővé tevő nyilvántartására.
3. Az egyszerűsített és a fokozott ügyfél-átvilágítás esetkörei és azok felügyeleti jóváhagyásának
szabályai
9. § A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmazhat, amennyiben ügyfele
a) a Pmt. 1. § (1) bekezdés a)–e) pontjában meghatározott, az Európai Unió területén székhellyel rendelkező
szolgáltató vagy olyan, harmadik országban székhellyel rendelkező – a Pmt. 1. § (1) bekezdés a)–e) pontjában
meghatározott – szolgáltató, amelyre a Pmt.-ben meghatározottakkal egyenértékű követelmények
vonatkoznak, és amely ezek betartása tekintetében felügyelet alatt áll,
b) olyan gazdasági társaság, amelynek értékpapírját egy vagy több tagállamban bevezették a szabályozott
piacra, vagy olyan harmadik országbeli társaság, amelyre a közösségi joggal összhangban lévő közzétételi
követelmények vonatkoznak,
c) a Pmt. 5. §-ában meghatározott felügyeletet ellátó szerv,
d) helyi önkormányzat, a helyi önkormányzat költségvetési szerve vagy a c) pontba nem tartozó központi
államigazgatási szerv,
e) az Európai Parlament, az Európai Unió Tanácsa, az Európai Bizottság, az Európai Unió Bírósága, az Európai
Számvevőszék, az Európai Gazdasági és Szociális Bizottság, a Régiók Bizottsága, az Európai Központi Bank,
az Európai Beruházási Bank vagy az Európai Unió más intézménye vagy szerve.
10. § A szolgáltató a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmazhat, amennyiben ügyfele:
a) nem állami vagy önkormányzati tulajdonban lévő nonprofit gazdasági társaság,
b) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tényleges tulajdonosa
stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban rendelkezik
lakóhellyel.
11. § (1) Az árukereskedő a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmaz húszmillió forintot
meghaladó egyedi üzleti megbízás teljesítésekor.
(2) Az (1) bekezdésben meghatározott esetben az árukereskedő nyilatkoztatja az ügyfelet a pénzeszköz eredetéről.
12. § A kereskedelmi hatóság a szolgáltató által alkalmazott egyszerűsített és fokozott ügyfél-átvilágítás esetköreit a Pmt.
szerinti belső szabályzat részeként hagyja jóvá.
4. A megerősített eljárás esetkörei és feltételrendszere 13. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül akkor alkalmaz megerősített eljárást, ha az ügyfél:
a) az ügyfél-átvilágítási intézkedés során nem jelent meg személyesen,
b) nem állami vagy önkormányzati tulajdonban lévő nonprofit gazdasági társaság,
c) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban lakóhellyel vagy
székhellyel rendelkezik, valamint
d) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban lakóhellyel
rendelkező tényleges tulajdonos.
(2) A szolgáltató belső kockázatértékelése alapján a belső szabályzatában határozza meg, hogy a Pmt.-ben és
az e rendeletben meghatározottakon kívül mely esetekben alkalmaz megerősített eljárást.
14. § (1) A szolgáltató a megerősített eljárás során a következő intézkedéseket hajtja végre:
a) további információ szerzése
aa) az ügyfélről,
ab) a tervezett ügylet természetéről,
ac) az ügyfél pénzügyi eszközéről és annak forrásáról,
ad) a tervezett vagy végrehajtott ügylet céljáról,
b) az ügyfélhez kötődő üzleti kapcsolatok számának és időzítésének kiemelt vizsgálata és
c) további vizsgálatok céljából ügylet kiválasztása.
(2) Húszmillió forintot meghaladó ügyleti megbízás, valamint a kockázatértékelésben magas kockázatúnak minősített
esetekben a szolgáltató nyilatkoztatja az ügyfelet a pénzeszköz forrásáról.
(3) Ha pénzmosás vagy terrorizmus finanszírozásának gyanúja merül fel, a szolgáltató az ügyfél azonosítását szolgáló
iratok hiteles másolatát bekéri az ügyféltől.
(4) A megerősített eljárásban az ügylet teljesítését minden esetben a szolgáltató vezető tisztségviselőjének
jóváhagyásához kell kötni.
(5) Szokatlan egy tranzakció, ha nem áll összhangban az adott ügyfélről kialakított képpel vagy az adott termékkel,
illetőleg szolgáltatással kapcsolatban általánosan követett eljárásokkal, továbbá ha nincs világosan érthető
gazdasági célja. Szokatlannak minősülhet egy tranzakció, ha az ügyfél korábbi tevékenységéhez képest
indokolatlanul megváltozik a tranzakciók gyakorisága, nagysága.
(6) Összetett egy tranzakció, ha az ügyfél korábbi tevékenységéhez képest eltér az alkalmazott tranzakcióformáktól,
bonyolult, nehezen átlátható és áttekinthető folyamatokon, résztvevőkön keresztül valósul meg.
(7) A megerősített eljárás alkalmazása során a szolgáltató csak a Pmt., valamint az Európai Unió és az ENSZ Biztonsági
Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény
(a továbbiakban: Kit.) által meghatározott további adatokat kérhet az ügyféltől.
5. Az auditált elektronikus hírközlő eszköz és működtetésének minimum követelményei,
auditálásának módja, valamint az ilyen eszköz útján végzett ügyfél-átvilágítás végrehajtása
15. § (1) A kockázatértékelésre kötelezett szolgáltató akkor alkalmazhat működése során ügyfél-azonosítást távollévő
ügyfeleknél, ha működtet olyan előzetesen auditált, elektronikus hírközlő eszközt (valós idejű kép- és
hangátviteli rendszer), mely akkor auditálható és működtethető, ha legalább az alábbi informatikai biztonsági
követelményeknek megfelel:
a) elemei azonosíthatók és dokumentáltak,
b) üzemeltetési folyamatai szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal
ellenőrzöttek,
c) változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező
változások csak tesztelt és dokumentált módon valósulhassanak meg,
d) adatmentési és visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá
a mentés-visszaállítás az üzemeltetési szabályzat szerinti gyakorisággal és dokumentáltan tesztelt,
e) a felhasználói hozzáférés mind alkalmazási, mind infrastruktúraszinten szabályozott, dokumentált és
az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
f ) a felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, biztosítják az azonosítási folyamat
megvalósulását, továbbá felhasználóinak tevékenysége naplózott, a rendkívüli eseményekről automatikus
figyelmeztetések generálódnak,
g) a hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és az üzemeltetési szabályzat
szerinti gyakorisággal ellenőrzöttek, a kiemelt jogosultságokkal elvégzett tevékenység naplózott, a napló
fájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések
generálódnak,
h) a távoli hozzáférés szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
i) a vírusok és más rosszindulatú kódok és cselekmények elleni védelem biztosított,
j) adatkommunikációja és rendszerkapcsolatai dokumentáltak és ellenőrzöttek, az adatkommunikáció
bizalmassága, sérthetetlensége és hitelessége biztosított,
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt,
l) karbantartása szabályozott,
m) adathordozóinak védelme szabályozott, biztosított, hogy az adathordozókhoz csak az arra jogosult
személyek és csak az adatkezelési cél teljesülése érdekében férnek hozzá, ennek felülvizsgálata és ellenőrzése
rendszeresen megtörténik,
n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk
sértetlenségéről és védelméről,
o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események
detektálása.
(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy
a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos,
titkosított, bizalmas, sértetlen és hiteles legyen,
b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatását, beleértve a szolgáltatás
biztonságára vonatkozó ügyféloldali felelősséget is,
c) a szolgáltató oldali azonosításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki a valós
idejű ügyfél-azonosítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,
d) az elektronikus hírközlő eszközre, és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel
rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és
megfelel különösen az (1) bekezdésben foglalt követelményeknek,
e) a jogi szabályozás, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre
kiható változás esetén, de legalább kétévente, a vizsgálati jelentést megújítsa,
f ) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában
bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik
legalább
fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information
Information Systems Security Professional (CISSP) vagy
fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead
Auditor)
képesítéssel és minősítéssel,
g) az ügyfél kérésére az ügyfél számára lehetővé tegye az ügyfél-átvilágítással kapcsolatos adatoknak
az adatkezelés céljának megfelelő ideig történő tartós tárolását, és a tárolt adatok változatlan formában és
tartalommal történő megjelenítését.
(3) A szolgáltató foglalkoztatottja az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítást
(a továbbiakban: valós idejű ügyfél-átvilágítás) egy erre a célra elkülönített és felszerelt helyiségben végzi.
(4) A szolgáltató visszakereshető módon rögzíti
a) a helyiségbe belépő személyt,
b) a helyiségből kilépő személyt, valamint
c) a be- és kilépés időpontját.
(5) A valós idejű ügyfél-átvilágítást csak a szolgáltató olyan foglalkoztatottja végezheti, akinek a szolgáltató előzőleg
e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.
(6) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában biztosítja az ügyfél átvilágítására vonatkozó
biztonságos feltételeket, amennyiben
a) az ügyfél a valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult,
b) a valós idejű ügyfél-átvilágítás legalább kétfaktoros – amelyek közül egyik kép- és hangátvitelt lehetővé tevő
elektronikus hírközlő eszköz –, és a faktorai legalább két eltérő technológián alapulnak,
c) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása, és a kép
megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által
bemutatott fényképes azonosító okmánnyal való összevetésre, az okmányban foglalt adatok és a bemutatott
okmány biztonsági elemeinek azonosítására,
d) az ügyfél-átvilágítási folyamat szabályozott és folyamatosan ellenőrzött, valamint
e) az átvilágítás megfelelőségét további, második szintű ellenőrzés követi a szolgáltatón belül.
16. § (1) A szolgáltató a valós idejű ügyfél-átvilágítás során a szolgáltató és az ügyfél között létrejött teljes kommunikációt,
az ügyfél valós idejű ügyfél-átvilágítással kapcsolatos részletes tájékoztatását és az ügyfél ehhez történő kifejezett
hozzájárulását visszakereshető módon kép- és hangfelvételen rögzíti.
(2) A valós idejű ügyfél-átvilágítást végző szolgáltató foglalkoztatottja felszólítja az ügyfelet arra, hogy
a) úgy nézzen bele a kamerába, hogy arcképe felismerhető és rögzíthető legyen,
b) érthető módon közölje a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító
igazolvány vagy vezetői engedély okmányazonosítóját, és c) úgy mozgassa a valós idejű ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolványát
vagy vezetői engedélyét, hogy az azon található biztonsági elemek és adatsorok felismerhetők és rögzíthetők
legyenek.
(3) A valós idejű ügyfél-átvilágítást végző szolgáltató foglalkoztatottja megbizonyosodik arról, hogy a valós idejű
ügyfél-átvilágításhoz használt kártyaformátumú személyazonosító igazolvány vagy vezetői engedély alkalmas-e
a valós idejű ügyfél-átvilágítás elvégzésére, így
a) kártyaformátumú személyazonosító igazolvány vagy vezetői engedély egyes elemei és azok elhelyezkedése
megfelel az okmányt kiállító hatóság előírásainak,
b) az egyes biztonsági elemek – különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági
elemek – felismerhetők és sérülésmentesek,
c) a kártyaformátumú személyazonosító igazolvány vagy vezetői engedély rendelkezik gépi adatolvasást
lehetővé tevő mezővel,
d) a kártyaformátumú személyazonosító igazolvány vagy vezetői engedély okmányazonosítója megegyezik
az ügyfél által közölt okmányazonosítóval, továbbá az felismerhető és sérülésmentes.
(4) A valós idejű ügyfél-átvilágítást végző alkalmazott megbizonyosodik arról, hogy
a) az ügyfél arcképe felismerhető és azonosítható az általa bemutatott kártyaformátumú személyazonosító
igazolványon vagy vezetői engedélyen látható arckép alapján, és
b) a kártyaformátumú személyazonosító igazolványon vagy vezetői engedélyen megtalálható adatok logikailag
megfeleltethetők az ügyfélről a szolgáltatónál rendelkezésre álló adatokkal.
(5) A szolgáltató a valós idejű ügyfél-átvilágítás során az ügyfél által bemutatott kártyaformátumú személyazonosító
igazolvány vagy vezetői engedély adatait összeveti nyilvánosan hozzáférhető nyilvántartás vagy olyan nyilvántartás
adataival, amelynek kezelőjétől törvény alapján adatigénylésre jogosult.
(6) A szolgáltató egy alfanumerikus kódból álló, központilag, véletlenszerűen generált azonosítási kódot küld
az ügyfélnek az ügyfél választása szerint az ügyfél azonosítására alkalmas e-mail-címre vagy SMS-ben
mobiltelefonszámra, amely kódot az ügyfél a valós idejű ügyfél-átvilágítás befejezéséig a szolgáltató által választott
kommunikációs formában küld vissza a szolgáltatónak.
(7) A szolgáltató a valós idejű ügyfél-átvilágítás során az ügyfélre irányadó, Pmt. szerinti nyilatkozatok megtételére és
okiratok bemutatására hívja fel az ügyfelet.
(8) A szolgáltató a (7) bekezdés alapján bemutatott okiratok adatait összeveti nyilvánosan hozzáférhető nyilvántartás
vagy olyan nyilvántartás adataival, amelynek kezelőjétől törvény alapján adatigénylésre jogosult.
(9) A szolgáltató megszakítja a valós idejű ügyfél-átvilágítást, amennyiben
a) az ügyfél a valós idejű ügyfél-átvilágítás során visszavonja az adatrögzítéshez adott hozzájárulását,
b) az ügyfél által bemutatott okmányok, illetve okiratok fizikai és adattartalmi követelményei nem adottak,
c) az ügyfél, az általa bemutatott okmányok, illetve okiratok vizuális azonosításának feltételei nem adottak,
d) a szolgáltató nem tudja elkészíteni a hang- és képfelvételt,
e) az ügyfél nem, nem teljes egészében vagy hibásan küldi vissza az azonosítási kódot,
f ) az ügyfél nem, vagy a szolgáltató foglalkoztatottja számára észlelhetően befolyás alatt tesz nyilatkozatot,
vagy
g) az eljárás során azzal kapcsolatban bármilyen ellentmondás vagy bizonytalanság lép fel.
(10) Pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adat,
tény, illetve körülmény felmerülése esetében, a szolgáltató a (9) bekezdésben írt feltételek fennállása ellenére is
elvégzi a valós idejű ügyfél-átvilágítást, amelyet követően haladéktalanul bejelentést tesz a pénzügyi információs
egységnél.
17. § A valós idejű ügyfél-átvilágítást a szolgáltató belső szabályzatban meghatározott foglalkoztatottjának a valós idejű
ügyfél-átvilágítás egészére kiterjedő ellenőrzése zárja le.
18. § A szolgáltató a valós idejű ügyfél-átvilágítás rendszerét úgy alakítja ki, hogy azt a fogyatékos személyek jogairól és
esélyegyenlőségük biztosításáról szóló törvény szerinti fogyatékos személy is igénybe tudja venni.
6. A kockázatérzékenységi megközelítés alapján az üzleti kapcsolat létesítéséhez vagy ügyleti
megbízás teljesítéséhez vezetői döntést igénylő esetek
19. § (1) Az ügyleti megbízás teljesítéséhez a belső szabályzatban meghatározott vezető jóváhagyása szükséges, ha
a) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország által kiállított okiratot
mutat fel az ügyfél,
b) az ügyleti megbízás ellenértéke vagy annak készpénzes része a húszmillió forintot meghaladja, valamint
c) ha gyanú merül fel arra, hogy az ügylet lebonyolításakor megjelent személy nem azonos a valódi ügyféllel
vagy a tényleges tulajdonossal, a megjelent ügyfél vagy képviselője nem tudja igazolni eljárásának jogcímét.
(2) Az ügylet teljesítéséhez a jóváhagyást a belső szabályzatban meghatározott vezető írásban köteles megadni.
7. Az ügylet felfüggesztése 20. § (1) A szolgáltató belső szabályzatában meghatározza az ügylet felfüggesztése során
a) az ügyfélnek adandó tájékoztatás részleteit, és
b) az ügyletet lebonyolító kötelezettségét és felelősségét.
(2) A szolgáltató biztosítja, hogy
a) a felfüggesztés tényéről a szolgáltató tudomással bíró foglalkoztatottja megismerje az ügyfélnek adott
tájékoztatás szerinti eljárás menetét,
b) a felfüggesztés teljesítéséhez csak a szükséges alkalmazottat, szervezeti egységet vonja be,
c) a felfüggesztési kötelezettség teljesítésére utaló adat, tény, illetve körülmény felmerülésekor telefonon
értesíti a pénzügyi információs egységként működő hatóságot, és a tőle kapott instrukciók szerint jár el,
valamint
d) a felfüggesztés ideje alatt a telefonos kapcsolattartás a pénzügyi információs egységként működő
hatósággal a kijelölt személy akadályoztatása esetén is folyamatos legyen.
(3) A szolgáltató az általa vezetett nyilvántartáson belül az ügylet felfüggesztését igazoló iratot vagy annak másolatát
elkülönítetten kezeli.
8. A képzési program 21. § (1) A kockázatértékelés elkészítésére köteles szolgáltató az azonosítást végző alkalmazottainak a munkaviszony
kezdetét követő 15 napon belül, jogszabályváltozást, belső szabályzat változását követő 15 napon belül, valamint
ettől függetlenül legalább évente egy alkalommal képzést tart a (2) bekezdésben meghatározott témákra
kiterjedően.
(2) A képzések programja legalább az alábbi témaköröket tartalmazza:
a) belső szabályzat foglalkoztatottakra vonatkozó elemei a belső eljárási rend figyelembevételével,
b) pénzmosásra vagy a terrorizmus finanszírozására utaló adatok, tények, körülmények megállapításakor
figyelembe veendő szempontok,
c) az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedéseket
érintő nemzetközi és hazai jogszabályi rendelkezések foglalkoztatottakat érintő elemei,
d) ügyfél-átvilágítás gyakorlata, a rögzítendő adatok köre, kiemelt közszereplők, valamint
e) a bejelentési kötelezettség esetei a kockázatértékelés során.
(3) A kockázatértékelés elkészítésére kötelezett szolgáltató vezetője vagy a szabályzat átdolgozásáért felelős személy
köteles kétévente a kereskedelmi hatóság, a szakmai érdekképviselet vagy egyéb szervezet által szervezett
képzésen részt venni.
(4) A kockázatértékelés elkészítésére nem kötelezett szolgáltató köteles a belső szabályzatról, az ügyfél-azonosítás
menetéről valamennyi belépő alkalmazott részére a munkaviszony kezdetét követő 5 napon belül képzést tartani,
valamint bármely, a Pmt.-t vagy az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni
korlátozó intézkedéseket érintő nemzetközi és hazai jogszabályi rendelkezéseket érintő változásról a kihirdetést
követő 5 napon belül írásban értesíteni.
9. Az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó
intézkedések végrehajtása érdekében működtetett szűrőrendszer kidolgozása és működtetésének
minimumkövetelményei
22. § (1) A szolgáltató a Kit. 3. § (6) bekezdésében megfogalmazott kötelezettség teljesítése érdekében a szűrőrendszert
a (2)–(5) bekezdésben meghatározottak szerint működteti.
(2) A szolgáltató a pénzügyi és vagyoni korlátozó intézkedéseket elrendelő uniós jogi aktusok és az Egyesült Nemzetek
Szervezete Biztonsági Tanácsának (a továbbiakban: ENSZ BT) határozatai haladéktalan és teljes körű végrehajtása
érdekében az általa rögzített teljes ügyfélállomány személyes adatait összeveti az uniós jogi aktusokban és
az ENSZ BT határozataiban szereplő személyek adataival az üzleti kapcsolat létesítésekor, valamint az ügyleti
megbízás elfogadásakor. A Kit. 3. § (5) bekezdése szerinti tájékoztató közzétételét követően a saját ügyfélállománya
vonatkozásában a szűrést elvégzi.
(3) A szűrést az évi több mint tízezer tranzakciót lebonyolító szolgáltató a háromszázezer forintot meghaladó
ügyleteikre vonatkozóan kizárólag automatikusan működő szűrőrendszer alkalmazásával hajthatja végre,
amely a szolgáltató által rögzített teljes ügyfélállomány személyes adatainak az uniós jogi aktusokban és
az ENSZ BT határozataiban szereplő személyek adataival való rendszeres, manuális beavatkozást nem igénylő
összehasonlítására alkalmas informatikai rendszer.
(4) A szűrést a (3) bekezdésben meghatározott forgalomnál kevesebb tranzakciót lebonyolító szolgáltató
manuálisan működő szűrőrendszer alkalmazásával is végrehajthatja, amely egy, a szolgáltató által rögzített teljes
ügyfélállomány személyes adatainak az uniós jogi aktusokban és az ENSZ BT határozataiban szereplő személyek
adataival való összehasonlítására alkalmas, nem automatikus eljárás.
(5) A szűrések végrehajtását a szolgáltató dokumentálja, és a dokumentumokat visszakereshető módon a szűréstől
számított 8 évig megőrzi, valamint azokat a felügyeleti ellenőrzés során bemutatja.
10. Záró rendelkezések 23. § Ez a rendelet a kihirdetését követő harmadik napon lép hatályba.
Varga Mihály s. k.,
nemzetgazdasági miniszter
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.