Pravilnik o uvođenju stranke na daljinu i minimalnim uvjetima koje mora ispunjavati rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu

NN 9/2024 (24.1.2024.), Pravilnik o uvođenju stranke na daljinu i minimalnim uvjetima koje mora ispunjavati rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu

Ministarstvo financija

170

Na temelju članka 52. stavka 6. a u vezi s člankom 15. stavkom 1. točkom 1. Zakona o sprječavanju pranja novca i financiranja terorizma (»Narodne novine«, br. 108/17., 39/19. i 151/22.) ministar financija donosi

PRAVILNIK

O UVOĐENJU STRANKE NA DALJINU I MINIMALNIM UVJETIMA KOJE MORA ISPUNJAVATI RJEŠENJE KOJIM SE UTVRĐUJE I PROVJERAVA IDENTITET STRANKE NA DALJINU

Predmet Pravilnika

Članak 1.

(1) Ovim Pravilnikom propisuju se:

1. uvjeti za uvođenje stranke na daljinu

2. sadržaj politika, kontrola i postupaka koje je dužan donijeti obveznik

3. procjena rješenja za utvrđivanje i provjeru identiteta stranke na daljinu

4. utvrđivanje i provjera identiteta fizičke osobe

5. utvrđivanje i provjera identiteta pravne osobe

6. uvjeti pod kojima obveznik može prepustiti postupak utvrđivanja i provjere identiteta stranke na daljinu trećoj osobi, vanjskom suradniku ili zastupniku obveznika.

(2) Ovaj Pravilnik sadrži odredbe koje su u skladu sa Smjernicom o korištenju rješenja za uvođenje stranaka na daljinu prema članku 13. stavku 1. Direktive (EU) 2015/849 Europskog nadzornog tijela za bankarstvo (EBA/GL/2022/15) od 22. studenoga 2022.

Značenje pojedinih pojmova

Članak 2.

(1) Pojedini pojmovi u ovome Pravilniku imaju sljedeće značenje:

1) automatizirani postupak jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji se provodi bez prisutnosti ili interakcije sa zaposlenikom obveznika ili treće osobe

2) biometrijski podatci jesu osobni podatci koji se odnose na fizičke, fiziološke i bihevioralne karakteristike fizičke osobe koje se pribavljaju i obrađuju tehničkim sredstvima, a koji omogućavaju ili potvrđuju jedinstvenu identifikaciju stranke

3) država članica jest država članica Europske unije ili država potpisnica Sporazuma o osnivanju Europskoga gospodarskog prostora

4) obveznik jest obveznik iz članka 9. Zakona o sprječavanju pranja novca i financiranja terorizma (dalje u tekstu: Zakon)

5) reprodukcija službenog osobnog dokumenta jest prikaz fotografije ili videozapisa izvornog službenog osobnog dokumenta prikazana na strani obveznika na temelju koje se utvrđuje autentičnost službenog osobnog dokumenta

6) Smjernica EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima jest Smjernica Europskog nadzornog tijela za bankarstvo o upravljanju rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima, EBA/GL/2019/04 od 28. studenoga 2019.

7) video konferencija jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji provodi zaposlenik obveznika ili treća osoba u stvarnom vremenu.

(2) Ostali pojmovi korišteni u ovome Pravilniku imaju isto značenje kao u Zakonu.

Politike, kontrole i postupci

Članak 3.

(1) Obveznik je dužan donijeti politike, kontrole i postupke za postupak utvrđivanja i provjere identiteta stranke na daljinu.

(2) Politike, kontrole i postupci moraju minimalno sadržavati:

1. opis rješenja kojim se utvrđuje i provjerava identitet stranke na daljinu koji sadržava opis značajki i funkcionalnosti rješenja

2. uvjete pod kojima obveznik u skladu s odredbama članka 39. Zakona može prepustiti postupak utvrđivanja i provjere identiteta stranke na daljinu trećoj osobi, vanjskom suradniku ili zastupniku obveznika

3. okolnosti u kojima se može koristiti rješenje, analizu rizika od pranja novca i financiranja terorizma u skladu s odredbama članka 12. Zakona koja sadržava opis kategorije stranaka, proizvoda, usluga koji su prihvatljivi za uvođenje postupka utvrđivanja i provjere identiteta stranke na daljinu

4. opis koraka postupka koji su automatizirani te opis koraka postupka koji zahtijevaju ljudsku intervenciju

5. opis kontrola kojima se osigurava da se prva transakcija s novouvedenom strankom provede nakon što su provedene mjere dubinske analize iz članka 15. Zakona

6. opis edukacija koje se provode s ciljem podizanja razine svijesti i znanja zaposlenika obveznika o provođenju postupka utvrđivanja i provjere identiteta stranke na daljinu povezanih s rizicima te politikama, postupcima i kontrolama usmjerenima na umanjenje rizika

7. način čuvanja podataka koji uključuje, ali nije ograničen na slike, videozapise i dokumente prikupljene u postupku utvrđivanja i provjere identiteta stranke na daljinu

8. upravljanje rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima.

(3) Obveznik je dužan politike, kontrole i postupke iz stavka 1. ovoga članka redovito pratiti i preispitivati njihovu djelotvornost, prema potrebi ih mijenjati i dopunjavati, te nadzirati njihovu pravilnu provedbu.

Procjena rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu

Članak 4.

(1) Prije uvođenja i inicijalne uporabe rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu, obveznik je dužan provesti i dokumentirati procjenu i testiranje rješenja.

(2) Procjena rješenja iz stavka 1. ovoga članka mora sadržavati:

1. procjenu primjerenosti rješenja u pogledu potpunosti i točnosti podataka i dokumenata koji se prikupljaju kao i pouzdanosti i neovisnosti izvora informacija

2. procjenu utjecaja rješenja na rizike na razini cjelokupnog poslovanja, uključujući rizik pranja novca i financiranja terorizma te poslovne, reputacijske i pravne rizike

3. mjere ublažavanja i korektivne mjere za svaki rizik utvrđen u točki 2. ovoga stavka

4. postupak testiranja radi procjene rizika od prijevare, uključujući rizike od prijevare lažnim predstavljanjem, rizik informacijske i komunikacijske tehnologije, te sigurnosne rizike i

5. sveobuhvatno testiranje funkcioniranja rješenja usmjerenog na stranku, proizvod i uslugu.

(3) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti rezultate o provedenoj procjeni rješenja uključujući rezultate provedenih testiranja, te dokaz da je rješenje prikladno u odnosu na rizik od pranja novca i financiranja terorizma koji je povezan sa strankom, državom ili geografskim područjem, proizvodom, uslugom ili transakcijom.

(4) Obveznik može početi koristiti rješenje kada se uvjeri da se rješenje može uključiti u sustav unutarnjih kontrola u cilju upravljanja rizikom od pranja novca i financiranja terorizma koji može proizaći iz uporabe rješenja za uvođenje stranke na daljinu.

(5) Obveznik nije dužan primijeniti mjere propisane u stavku 2. točkama 1., 4. i 5. ovoga članka kada koristi sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev »značajne« ili »visoke« razine sigurnosti u skladu s člankom 8. Uredbe (EU) br. 910/2014, ili kada koristi kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlja III. odjeljka 3.

Kontinuirano praćenje

Članak 5.

(1) Obveznik je dužan kontinuirano pratiti rješenje kako bi se uvjerio da je funkcionalnost rješenja u skladu s njegovim očekivanjima.

(2) Politike, kontrole i postupke iz članka 3. ovoga Pravilnika obveznik je dužan mijenjati i/ili dopunjavati:

1. postupcima koje poduzima kako bi osigurao kvalitetu, cjelovitost, točnost i primjerenost podataka prikupljenih tijekom postupka utvrđivanja i provjere identiteta stranke na daljinu, a koji su proporcionalni riziku pranja novca i financiranja terorizma

2. odlukom o opsegu i učestalosti praćenja rješenja

3. okolnostima koje pokreću izvanrednu trenutnu kontrolu rješenja, a koje uključuju:

– promjene u izloženosti rizika od pranja novca i financiranja terorizma

– nedostatke u funkcionalnosti rješenja otkrivenih tijekom stalnoga praćenja, revizije ili nadzora

– porast pokušaja prijevara ili

– promjene zakonodavnog ili regulatornog okvira.

(3) Obveznik je dužan uspostaviti i primijeniti najučinkovitiji način praćenja primjerenosti i pouzdanosti rješenja koji uključuje:

– ispitivanje osiguranja kvalitete rješenja

– automatizirana upozorenja i obavijesti

– redovita automatizirana izvješća o kvaliteti

– ispitivanje uzorka ili

– ručni pregled rješenja.

(4) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti dokaz o provedenim kontrolama i poduzetim mjerama radi otklanjanja nedostataka uočenih tijekom provedbe rješenja.

Mjere otklanjanja utvrđenih pogrešaka

Članak 6.

(1) Obveznik je dužan u politikama, kontrolama i postupcima propisati mjere otklanjanja ako je rizik materijaliziran ili ako su utvrđene pogreške koje utječu na učinkovitost i djelotvornost rješenja.

(2) Mjere iz stavka 1. ovoga članka moraju uključiti analizu zahvaćenih poslovnih odnosa, te u skladu s utvrđenom kategorijom rizika dati prednost poslovnom odnosu koji nosi potencijalno viši rizik od pranja novca i financiranja terorizma.

(3) Uzimajući u obzir rezultate analize zahvaćenih poslovnih odnosa iz stavka 2. ovoga članka, obveznik je dužan procijeniti je li potrebno poduzeti neku od sljedećih mjera:

– provesti dodatne mjere dubinske analize propisane člankom 44. Zakona i podzakonskim aktom nadležnog nadzornog tijela

– odbiti obavljanje transakcije u skladu s člankom 19. Zakona

– raskinuti poslovni odnos u skladu s člankom 19. Zakona

– obavijestiti Ured za sprječavanje pranja novca o sumnjivim transakcijama, sredstvima i osobama u skladu s člankom 56. i članka 57. Zakona ili

– kategorizirati poslovni odnos u skladu s procijenjenom razinom rizika od pranja novca i financiranja terorizma.

Prikupljanje podataka i informacija potrebnih za utvrđivanje i provjeru identiteta stranke

Članak 7.

(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta stranke, vrstu dokumenta te način provjere prikupljenih podataka i informacija.

(2) Obveznik je dužan osigurati da:

1. su podatci i informacije pribavljene korištenjem rješenja ažurni i točni i u skladu s propisanim mjerama dubinske analize pod uvjetima propisanima u Glavi III. Poglavlju III. NAČIN PROVOĐENJA MJERA DUBINSKE ANALIZE STRANKE Zakona

2. su audio-vizualni podatci snimljeni u čitljivom formatu i dovoljne kvalitete te da je osoba čiji se identitet utvrđuje i provjerava nedvojbeno prepoznatljiva

3. se postupak utvrđivanja i provjere identiteta osobe na daljinu prekine u slučaju tehničkih nedostataka ili neočekivanog prekida veze.

(3) Podatci, informacije i dokumentacija prikupljena tijekom postupka utvrđivanja i provjere identiteta na daljinu moraju sadržavati vremensku oznaku njihovog kreiranja ili prikupljanja te se moraju čuvati u skladu s odredbama članka 79. Zakona.

Utvrđivanje i provjera identiteta fizičke osobe

Članak 8.

(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta na daljinu u skladu sa Zakonom i podzakonskim aktima prema vrsti podataka i informacija koje:

– ručno unosi stranka

– se automatski preuzimaju iz dostavljene dokumentacije i

– koje se prikupljaju korištenjem drugih unutarnjih ili vanjskih izvora.

(2) Obveznik je dužan uspostaviti odgovarajuće kontrolne mehanizme kojima se osigurava pouzdanost podataka i informacija automatski preuzetih iz dostavljene dokumentacije, te osigurati mjere za ublažavanje rizika od lažnog predstavljanja koje mogu uključivati i prikrivanje podataka o stvarnoj lokaciji stranke.

(3) Odredbe stavaka 1. i stavka 2. ovoga članka ne primjenjuju se na obveznika koji koristi sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev »značajne« ili »visoke« razine sigurnosti u skladu s člankom 8. navedene Uredbe (EU) br. 910/2014, ili kada koristi kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlja III. odjeljka 3.

Utvrđivanje i provjera identiteta pravne osobe

Članak 9.

(1) Obveznik je dužan u politikama, kontrolama i postupcima iz članka 3. ovoga Pravilnika utvrditi za koji će pravni oblik pravne osobe uspostaviti poslovni odnos na daljinu, uzimajući u obzir rizik od pranja novca i financiranja terorizma povezan sa svakim oblikom pravne osobe.

(2) Rješenje za utvrđivanje i provjeru identiteta pravne osobe na daljinu mora omogućiti prikupljanje:

– podataka i dokumentacije za utvrđivanje i provjeru identiteta pravne osobe

– relevantnih podataka i dokumentacije za utvrđivanje i provjeru je li fizička osoba koja djeluje u ime pravne osobe zakonski zastupnik ili punomoćnik pravne osobe i

– podatka o stvarnom vlasniku (stvarnim vlasnicima).

(3) Utvrđivanje i provjera identiteta fizičke osobe koja djeluje u ime pravne osobe kao zakonski zastupnik ili punomoćnik pravne osobe, utvrđuje se i provjerava na način propisan člankom 8. ovoga Pravilnika.

Prikupljanje podatka o namjeni i predviđenoj prirodi poslovnog odnosa

Članak 10.

Obveznik je dužan prije završetka postupka utvrđivanja i provjere identiteta stranke na daljinu prikupiti podatak o namjeni i predviđenoj prirodi poslovnog odnosa.

Autentičnost i cjelovitost službenog osobnog dokumenta

Članak 11.

(1) Ako obveznik prilikom utvrđivanja i provjere identiteta stranke na daljinu prihvaća prikaz fotografije (reprodukciju službenog osobnog dokumenta) ili videozapis službenog osobnog dokumenta, dužan je:

1. provjeriti sadržava li reprodukcija službenog osobnog dokumenta sigurnosne značajke ugrađene u službeni osobni dokument, te jesu li svojstva službenog osobnog dokumenta koja se reproduciraju valjana i prihvatljiva posebice vrsta, veličina znakova i struktura dokumenta, uvidom u pouzdanu bazu podataka kao što je Javni internetski registar vjerodostojnih putnih i osobnih isprava Vijeća Europske unije (PRADO)

2. provjeriti jesu li u reprodukciji službenog osobnog dokumenta promijenjeni osobni identifikacijski podatci (npr. provjerom u Evidenciju o osobnim identifikacijskim brojevima koju vodi tijelo nadležno za upis u službene evidencije osobnih identifikacijskih brojeva) i je li fotografija stranke koja je ugrađena u službeni osobni dokument zamijenjena i

3. provjeriti je li reprodukcija službenog osobnog dokumenta primjerene kvalitete kako bi se uvjerio da su podatci sadržani u reprodukciji službenog osobnog dokumenta nedvojbeni.

(2) Obveznik koji koristi automatsko čitanje podataka i informacija iz službenog osobnog dokumenta kao što su algoritmi za optičko prepoznavanje znakova ili strojno čitljivog dijela, dužan je poduzeti potrebne mjere kojima osigurava prikupljanje podataka i informacija na točan način.

(3) U slučaju kada stranka čiji se identitet utvrđuje i provjerava koristi službeni osobni dokument koji sadrži elektronički nosač podataka, obveznik mora koristiti dobivene podatke i informacije radi provjere njihove autentičnosti.

Provjera podudaranja identiteta stranke

Članak 12.

(1) Rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu mora omogućiti provjeru:

1. podudarnosti fizičke osobe s fotografijom osobe na službenom osobnom dokumentu

2. podudarnosti između podataka pravne osobe i podataka u sudskom ili drugom javnom registru

3. je li fizička osoba koja djeluje ili tvrdi da djeluje u ime pravne osobe za to i ovlaštena.

(2) Ako rješenje uključuje upotrebu biometrijskih podataka za provjeru identiteta, obveznik je dužan osigurati da biometrijski podatci budu dovoljno jedinstveni kako bi se nedvosmisleno povezali s fizičkom osobom čiji se identitet utvrđuje.

(3) Rješenje iz stavka 1. ovoga članka mora koristiti snažne i pouzdane algoritme za provjeru podudarnosti između biometrijskih podataka sadržanih u osobnom službenom dokumentu i stranke čiji se identitet utvrđuje i provjerava.

(4) Kada dostavljena dokumentacija ili okolnosti dovode do dvosmislenosti ili neodređenosti, obveznik je dužan prekinuti postupak utvrđivanja i provjere identiteta na daljinu te isti postupak ponovno pokrenuti ili se preusmjeriti na fizičku provjeru.

(5) Kada obveznik koristi automatizirani postupak, dužan je osigurati:

1. da su fotografije ili videozapisi stranke snimljeni u odgovarajućim uvjetima osvjetljenja i s potrebnom jasnoćom kako bi se omogućila pravilna provjera identiteta stranke

2. da su fotografije ili videozapisi stranke snimljeni u trenutku kada se provodi postupak utvrđivanja i provjere identiteta

3. provjeru autentičnosti službenog osobnog dokumenta stranke kako bi se nedvojbeno utvrdilo da se radi o originalnom službenom osobnom dokumentu, a u skladu s člankom 11. ovoga Pravilnika

4. provjeru živosti stranke kako bi se nedvojbeno utvrdilo da se radi o stvarnoj fizičkoj osobi koja trenutno sudjeluje u automatiziranom postupku

5. pouzdane algoritme za provjeru podudara li se fotografija ili videozapis s fotografijom preuzetom iz službenog osobnog dokumenata.

(6) Pored uvjeta propisanih u stavku 5. točke 1., 2., 3. i točke 4. ovoga članka, obveznik koji koristi video konferenciju za utvrđivanje i provjeru identiteta stranke na daljinu, dužan je:

1. osigurati kvalitetu slike i zvuka koja je dovoljna da omogući pravilnu provjeru identiteta stranke korištenjem pouzdanih tehnoloških sustava

2. osigurati da zaposlenik koji sudjeluje u postupku posjeduje znanja u području sprječavanja pranja novca i financiranja terorizma, da je osposobljen za procjenu i sprječavanje namjerne uporabe tehnika obmane, te za otkrivanje i reagiranje u slučaju njihovih pojava

3. donijeti uputu za intervju kojom se određuju koraci postupka utvrđivanja i provjere identiteta provjere na daljinu, kao i radnje koje se zahtijevaju od zaposlenika obveznika

4. donijeti smjernice za promatranje i utvrđivanje psiholoških čimbenika ili drugih značajki koje mogu karakterizirati sumnjivo ponašanje stranke tijekom postupka video konferencije

5. u skladu s procjenom rizika, osigurati nasumičnost u redoslijedu radnji koje stranka mora obaviti kako bi se otežala priprema za provođenje napada koji uključuje lažno predstavljanje

6. kada je u mogućnosti osigurati nasumičnu dodjelu zaposlenika odgovornog za postupak provjere na daljinu kako bi se izbjeglo tajno dogovaranje između stranke i zaposlenika.

(7) U skladu s utvrđenim rizikom od pranja novca i financiranja terorizma u vezi s poslovnim odnosom, obveznik je dužan provesti jednu ili više mjera za povećanje pouzdanosti postupka provjere koje uključuju, ali se ne ograničavaju na sljedeće mjere:

1. prvo plaćanje ili provjera korištenjem usluge informiranja o računu u skladu s odredbama zakona koji uređuje platni promet provodi se s računa koji glasi na ime stranke kod obveznika u državi članici ili trećoj državi koja provodi mjere, radnje i postupke sa svrhom sprječavanja pranja novca i financiranja terorizma, jednake ili jednakovrijedne onima propisanim u Direktivi (EU) 2015/849 i čija se usklađenost nadzire od strane nadležnog nadzornog tijela na način jednak ili jednakovrijedan onima propisanim u Direktivi (EU) 2015/849

2. slanje nasumično generiranog koda stranci radi potvrde prisutnosti tijekom postupka koja je jednokratna i vremenski ograničena

3. uzimanje biometrijskih podataka radi usporedbe s podatcima prikupljenima iz drugih neovisnih i pouzdanih izvora

4. telefonsko kontaktiranje stranke ili

5. slanje pošte (elektronička i zemaljska pošta) stranci.

(8) Obveznik nije dužan primijeniti mjere propisane u stavcima 1., 2., 3., 4., 5., i 6. ovoga članka kada koristi sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev »značajne« ili »visoke« razine sigurnosti u skladu s člankom 8. navedene Uredbe (EU) br. 910/2014, te kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlja III. odjeljka 3.

Oslanjanje na treću osobu i vanjskog suradnika

Članak 13.

(1) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti trećoj osobi pod uvjetima propisanima u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.

(2) Obveznik je dužan:

1. poduzeti potrebne korake kako bi se uvjerio da su postupci koje provodi treća osoba prilikom obavljanja mjera dubinske analize u skladu s ovim Pravilnikom i

2. osigurati nastavak poslovnog odnosa sa strankom u svrhu zaštite od događaja koji bi mogao otkriti nedostatke u postupku utvrđivanja i provjere identiteta stranke na daljinu kojega je provela treća osoba.

(3) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti vanjskom suradniku i zastupniku obveznika (eksternalizacija ili zastupnički odnos) pod uvjetima propisanim u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.

(4) Obveznik je dužan prije i tijekom poslovnog odnosa:

1. osigurati da vanjski suradnik i zastupnik obveznika učinkovito provodi i pridržava se politika, kontrola i postupaka obveznika u skladu s ugovornim odnosom

2. provesti procjenu kako bi se osiguralo da je vanjski suradnik i zastupnik dovoljno opremljen i sposoban provesti postupak utvrđivanja i provjere identiteta stranaka na daljinu, procjenu osposobljavanja i izobrazbe zaposlenika, procjenu tehnološke sposobnosti, procjenu čuvanja i evidentiranja podataka i

3. osigurati da vanjski suradnik i zastupnik obveznika izvještava obveznika o svim predloženim promjenama u postupku utvrđivanja i provjere identiteta stranke na daljinu ili svim promjenama rješenja.

(5) Obveznik je dužan provjeriti čuva li vanjski suradnik i zastupnik obveznika samo potrebne podatke, informacije i dokumentaciju o stranci u skladu sa Zakonom, te je li pristup podatcima, informacijama i dokumentaciji ograničen uz provođenje sigurnosnih mjera zaštite i čuvanja podataka.

Upravljanje rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima

Članak 14.

(1) Obveznik je dužan utvrditi rizike i upravljati rizicima informacijske i komunikacijske tehnologije te sigurnosnim rizicima koji su povezani s provođenjem postupka utvrđivanja i provjere identiteta stranke na daljinu.

(2) Obveznik je dužan koristiti sigurne komunikacijske kanale za interakciju sa strankom tijekom postupka utvrđivanja i provjere identiteta na daljinu korištenjem sigurnih protokola i kriptografskih algoritama u skladu s najboljim praksama i industrijom u svrhu zaštite povjerljivosti, autentičnosti i cjelovitosti razmijenjenih podataka i informacija.

(3) Obveznik je dužan osigurati sigurnu pristupnu točku za pokretanje postupka utvrđivanja i provjere identiteta stranaka na daljinu na temelju kvalificiranog certifikata za elektroničke pečate kako je propisano u članku 3. stavku 30. Uredbe (EU) br. 910/2014 ili za autentifikaciju mrežnih mjesta kako je propisano u članku 3. stavku 39. Uredbe (EU) br. 910/2014 te obavijestiti stranku o primjenjivim sigurnosnim mjerama koje se poduzimaju za osiguranje sigurnog korištenja sustava.

(4) Kada postupak utvrđivanja i provjere identiteta stranke na daljinu uključuje korištenje višenamjenskog uređaja stranke, tada obveznik treba poduzeti dodatne mjere, ako je to moguće, a kako bi se osiguralo provođenje postupka unutar sigurne i pouzdane okoline te osigurala sigurnost rješenja i prikupljenih podataka u skladu s procjenom sigurnosnog rizika propisanog Smjernicama EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima.

Učinci stupanja Pravilnika na snagu

Članak 15.

(1) Stupanjem na snagu ovoga Pravilnika prestaje važiti Pravilnik o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije (»Narodne novine« br. 1/19.).

(2) Obveznik koji koristi postupak videoelektroničke identifikacije u skladu s Pravilnikom o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije (»Narodne novine« br. 1/19.), dužan je uskladiti se s odredbama ovoga Pravilnika u roku šest mjeseci od stupanja na snagu ovoga Pravilnika.

Stupanje na snagu Pravilnika

Članak 16.

Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.

Klasa: 470-06/23-04/1

Urbroj: 513-12-2/027-24-26

Zagreb, 15. siječnja 2024.

Ministar financija
dr. sc. Marko Primorac, v. r.