MINISTARSTVO FINANCIJA
5
Na temelju članka 52. stavka 8. Zakona o sprječavanju pranja novca i financiranja terorizma (»Narodne novine«, broj 108/17, dalje u tekstu: Zakon) ministar financija donosi
PRAVILNIK
O MINIMALNIM TEHNIČKIM UVJETIMA KOJE MORAJU ISPUNJAVATI SREDSTVA VIDEOELEKTRONIČKE IDENTIFIKACIJE
I. OPĆE ODREDBE
Sadržaj Pravilnika
Članak 1.
Ovim Pravilnikom propisuju se minimalni tehnički uvjeti koje moraju ispunjavati sredstva videoelektroničke identifikacije iz članka 52. stavka 6. Zakona u svrhu utvrđivanja i provjere identiteta fizičke osobe, obrtnika ili osobe koja se bavi drugom samostalnom djelatnošću te fizičke osobe koja zastupa pravnu osobu osnovanu u državi članici, od strane obveznika provedbe mjera sprječavanja pranja novca i financiranja terorizma iz članka 9. stavka 2., 3., 4. i 5. Zakona.
Značenje pojedinih pojmova
Članak 2.
Pojedini pojmovi u ovome Pravilniku imaju sljedeće značenje:
1) biometrijska fotografija jest fotografija koja se nalazi na službenom osobnom dokumentu, a koja vjerno prikazuje osobu, bez pokrivala za glavu osim ako se pokrivalo nosi zbog vjerskih ili medicinskih razloga i pod uvjetom da pokrivalo ne prekriva obraze, bradu i čelo, te na kojoj fotografiji je glava osobe pravilno pozicionirana uz korištenje neutralne pozadine s ravnomjernom rasvjetom i zadovoljavajućom oštrinom fotografije
2) država članica jest država članica Europske unije ili država potpisnica Sporazuma o osnivanju Europskoga gospodarskog prostora
3) Jednokratni identifikacijski broj jest broj koji je automatski generiran isključivo u svrhu obavljanja videoelektroničke identifikacije
4) obveznik jest obveznik iz članka 9. stavka 2., 3., 4. i 5. Zakona
5) OIB jest osobni identifikacijski broj obveznika osobnoga identifikacijskog broja određenoga zakonom kojim se uređuje osobni identifikacijski broj
6) osoba jest fizička osoba, obrtnik ili osoba koja se bavi drugom samostalnom djelatnošću te fizička osoba koja zastupa pravnu osobu osnovanu u državi članici
7) osobni identifikacijski podaci jesu skup podataka koji omogućavaju da se utvrdi identitet osobe
8) službeni osobni dokument je:
a. osobna iskaznica izdana u Republici Hrvatskoj na temelju zakona koji uređuje osobnu iskaznicu
b. putna isprava koja je izdana na temelju zakona koji uređuje putne isprave hrvatskih državljana
c. službeni osobni dokument izdan u drugoj državi članici ili u trećoj državi koja provodi mjere dubinske analize stranke i vodi propisane evidencije sa svrhom sprječavanja pranja novca i financiranja terorizma, jednake ili jednakovrijedne onima navedenima u Direktivi (EU) 2015/849, a koji sadrži ime i prezime, državljanstvo, datum rođenja, podatak o spolu, oznaku za vrstu dokumenta, oznaku države, broj dokumenta, datum izdavanja i datum isteka valjanosti dokumenta, tijelo koje je dokument izdalo i fotografiju osobe
9) snimka sadržaja zaslona (engl. »print screen«) jest grafički prikaz sadržaja zaslona u trenutku videoelektroničke identifikacije koji je elektronički proizveden i pohranjen kod obveznika te osigurava zadržavanje, čuvanje i provjeru podataka prikupljenih elektroničkim putem
10) snimka videoelektroničke identifikacije jest snimka koja sadrži zvučni i vizualni zapis postupka videoelektroničke identifikacije, a koja je je elektronički proizvedena i pohranjena kod obveznika ili kod treće osobe te osigurava zadržavanje, čuvanje i provjeru podataka prikupljenih elektroničkim putem
11) sredstva videoelektroničke identifikacije jesu sredstva koja omogućavaju vizualno utvrđivanje i provjeru identiteta osobe na daljinu, korištenjem osobnih identifikacijskih podataka u elektroničkom obliku, a koji podaci na nedvojben način predstavljaju osobu čiji se identitet utvrđuje i provjerava
12) treća država jest država koja nije članica Europske unije ili potpisnica Sporazuma o osnivanju Europskoga gospodarskog prostora
13) Ured jest Ministarstvo financija – Ured za sprječavanje pranja novca
14) videoelektronička identifikacija jest postupak utvrđivanja i provjere identiteta osobe od strane obveznika ili od strane treće osobe korištenjem sredstava videoelektroničke identifikacije.
II. MINIMALNI TEHNIČKI UVJETI KOJE MORAJU ISPUNJAVATI SREDSTVA VIDEOELEKTRONIČKE IDENTIFIKACIJE
Osposobljenost zaposlenika obveznika koji obavlja videoelektroničku identifikaciju stranke
Članak 3.
(1) Obveznik je dužan osigurati da poslove koji uključuju obavljanje videoelektroničke identifikacije stranke obavlja isključivo zaposlenik obveznika koji istodobno ispunjava sljedeće uvjete:
1. dobro poznaje propise koji uređuju sprječavanje pranja novca i financiranja terorizma te propise koji uređuju zaštitu osobnih podataka
2. razumije tehničke zahtjeve i rad uređaja kojima se obavlja videoelektronička identifikacija stranke
3. dobro poznaje obilježja službenih osobnih dokumenata
4. razumije praktičnu provedbu videoelektroničke identifikacije stranke, uključujući provjeru zaštitnih obilježja službenog osobnog dokumenta ili korištenje relevantne programske podrške za njihovu provjeru, provjere vjerodostojnosti prikupljenih podataka te uočavanje nelogičnih ili nedosljednih odgovora stranaka u postupku videoelektroničke identifikacije stranke.
(2) Obveznik je dužan dokumentirati provedbu obveza redovitog stručnog osposobljavanja i izobrazbe zaposlenika u svrhu ispunjenja uvjeta iz stavka 1. ovoga članka.
Prostor u kojem se obavlja videoelektronička identifikacija
Članak 4.
(1) Videoelektronička identifikacija obavlja se u posebnom prostoru koji je odvojen od ostalih prostorija obveznika.
(2) Pristup prostoru u kojem se obavlja videoelektronička identifikacija mora biti nadziran i omogućen samo zaposlenicima obveznika koji obavljaju poslove povezane s videoelektroničkom identifikacijom.
Prethodna privola osobe koja pristupa postupku videoelektroničke identifikacije
Članak 5.
(1) Na početku postupka videoelektroničke identifikacije, osoba koja pristupa postupku videoelektroničke identifikacije daje svoju izričitu privolu obvezniku za provođenje toga postupka te posebnu privolu za:
1. izradu, pohranu i čuvanje snimke videoelektroničke identifikacije
2. izradu, pohranu i čuvanje ispisa sadržaja zaslona iz članka 8. ovoga Pravilnika
3. pohranu i čuvanje biometrijske fotografije.
(2) Na valjanost privole iz stavka 1. ovoga članka primjenjuju se odredbe Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Opća uredba o zaštiti podataka).
(3) Ako osoba koja pristupa postupku videoelektroničke identifikacije nije obvezniku dala privolu iz stavka 1. ovoga članka, obveznik je dužan prekinuti postupak i stranku uputiti na odredbe Zakona koje propisuju utvrđivanje i provjeru identiteta stranke.
Prikupljanje i čuvanje osobnih podataka
Članak 6.
(1) Prikupljanje, zaštita i obrada osobnih podataka, isprava i snimki prikupljenih i obrađenih videoelektroničkom identifikacijom od strane obveznika u svrhu provedbe mjera i radnji koje se poduzimaju radi sprječavanja i otkrivanja pranja novca i financiranja terorizma obavlja se na temelju i u skladu s odredbama Zakona i ovoga Pravilnika.
(2) Obveznik je dužan čuvati podatke iz stavka 1. ovoga članka sukladno odredbama članka 79. Zakona.
(3) Obveznik je dužan čuvati podatke iz stavka 1. ovoga članka korištenjem odgovarajućih kriptografskih metoda koje onemogućavaju naknadno neovlašteno mijenjanje prikupljenih podataka.
Organizacija i tehnički zahtjevi za provedbu
videoelektroničke identifikacije
Članak 7.
(1) Videoelektronička identifikacija obavlja se korištenjem sredstava videoelektroničke identifikacije koja omogućavaju elektronički prijenos slike i zvuka u realnom vremenu (engl. streaming) i bez prekida.
(2) Obveznik je dužan osigurati zvučno i vizualno snimanje i pohranu cjelokupnog razgovora zaposlenika s osobom, ili dijela razgovora s osobom u kojem se obavlja videoelektronička identifikacija.
(3) Videoelektronička identifikacija obavlja se korištenjem odgovarajuće tehničke opreme koja osigurava zaštićeni elektronički prijenos slike i zvuka kriptiranjem cjelokupnog komunikacijskog kanala između krajnjih točaka (engl. end to end) na način da nije moguće presresti podatke koji se prenose. Za kriptiranje potrebno je koristiti općepriznate kriptografske algoritme i postupke upravljanja kriptografskim ključevima, s time da kriptografski ključevi moraju biti odgovarajuće duljine kako bi se osigurala adekvatna razina sigurnosti.
(4) Svi podatci prikupljeni videoelektroničkom identifikacijom moraju biti na odgovarajući način zaštićeni od neovlaštenog pristupa i zlouporabe.
(5) Obveznik je dužan osigurati da su elektronički prijenos slike i zvuka odgovarajuće kvalitete na način da nedvojbeno omogućavaju utvrđivanje i provjeru identiteta osobe.
Način provjere
Članak 8.
(1) Prije uspostavljanja sustava za obavljanje videoelektroničke identifikacije obveznik je dužan donijeti detaljne postupke i procedure koje najmanje uključuju:
1. moguće opcije za provjeru zaštitnih obilježja službenog osobnog dokumenta, odnosno dinamičnosti videoelektroničke identifikacije
2. postavljanje pitanja kojima se provjerava logička konzistentnost dobivenih podataka
3. bilježenje identifikatora koji mogu ukazivati na sumnjivo ponašanje osobe
4. obveze obustavljanja započetog postupka videoelektroničke identifikacije u slučaju određenog broja pozitivnih indikatora sumnjivog ponašanja.
(2) Tijekom obavljanja videoelektroničke identifikacije zaposlenik obveznika izrađuje i pohranjuje nekoliko snimki sadržaja zaslona koji prikazuju:
1. lice osobe čiji identitet zaposlenik obveznika utvrđuje i provjerava
2. prednju stranu službenog osobnog dokumenta osobe čiji identitet zaposlenik obveznika utvrđuje i provjerava
3. stražnju stranu službenog osobnog dokumenta osobe čiji identitet zaposlenik obveznika utvrđuje i provjerava.
(3) Snimka sadržaja zaslona iz stavka 2. ovoga članka mora biti takva da je moguće nedvojbeno:
1. utvrditi i provjeriti identitet osobe čiji identitet zaposlenik obveznika utvrđuje i provjerava korištenjem sredstava videoelektroničke identifikacije
2. utvrditi ime i prezime zaposlenika obveznika koji je obavio videoelektroničku identifikaciju te
3. utvrditi datum i vrijeme kada je videoelektronička identifikacija obavljena.
(4) Zaposlenik obveznika koji obavlja videoelektroničku identifikaciju dužan je najmanje, u svrhu utvrđivanja i provjere identiteta, od osobe čiji identitet utvrđuje i provjerava sukladno odredbama ovoga Pravilnika zatražiti da ta osoba nagne glavu u različitim smjerovima (lijevo-desno, gore-dolje) te od osobe zatražiti da osoba izgovori puni broj službenog osobnog dokumenta.
(5) Zaposlenik obveznika koji obavlja videoelektroničku identifikaciju dužan je provjeriti vjerodostojnost službenog osobnog dokumenta na sljedeći način:
1. vizualno provjeriti postojanje optičkih zaštitnih obilježja službenog osobnog dokumenta, uključujući holografska obilježja ili druga jednakovrijedna zaštitna obilježja (kao što su sigurnosne niti, promjenjive boje i slično) koji moraju biti jasno prepoznatljivi prilikom pomicanja službenog osobnog dokumenta, uključujući i nagib dokumenta u smjeru lijevo-desno i gore-dolje
2. provjeriti izgled službenog osobnog dokumenta i utvrditi izgleda li službeni osobni dokument jednako kao drugi istovrsni službeni osobni dokumenti u pogledu grafičkog dizajna, veličine znakova, razmaka između znakova fonta i dr.
3. provjeriti istovjetnost već zaprimljenih podataka od osobe s podatcima prikazanima u službenom osobnom dokumentu
4. provjeriti valjanost službenog osobnog dokumenta i ispravnost brojčanih i slovnih znakova broja toga službenog osobnog dokumenta
5. vizualno provjeriti je li fotografija na službenom osobnom dokumentu bila mijenjana i postoje li oštećenja službenog osobnog dokumenta te jesu li na dokumentu naknadno dodana druga zaštitna obilježja na dokument
6. provjeriti logičku konzistentnost podataka koje prikuplja iz dokumenta (npr. ispravnost datuma izdavanja i isteka valjanosti dokumenta, datum rođenja) i uzajamno podudaranje tih podataka.
(6) Provjeru optičkih znakova i izgleda službenog osobnog dokumenta iz stavka 5. točaka 1. i 2. ovoga članka zaposlenik obveznika koji obavlja videoelektroničku identifikaciju može obaviti pomoću odgovarajuće programske podrške (engl. software).
(7) Pored provjere iz stavka 6. ovoga članka, u postupcima i procedurama iz članka 6. stavka 1. ovoga Pravilnika, obveznik može propisati korištenje odgovarajuće programske podrške i za druge vrste provjera vjerodostojnosti službenog osobnog dokumenta te je pri tome dužan odrediti odnos korištenja manualnih i automatiziranih kontrola prilikom obavljanja postupka videoelektroničke identifikacije.
(8) Zaposlenik obveznika koji obavlja videoelektroničku identifikaciju dužan je uvjeriti se da fotografija, sva osobna obilježja i podaci sadržani u službenom osobnom dokumentu odgovaraju osobi čiji identitet utvrđuje i provjerava sukladno odredbama ovoga Pravilnika te potvrditi logičku konzistentnost svih dostupnih podataka (npr. podudaranje izgleda osobe s fotografijom osobe koja se nalazi na službenom osobnom dokumentu, istovjetnost prikupljenih podataka s prethodno prikupljenim podacima o osobi ako je osoba već prethodno uspostavila poslovni odnos s obveznikom i dr.).
(9) Zaposlenik obveznika koji obavlja videoelektroničku identifikaciju dužan je provjeriti odgovara li namjera stranke svrsi postupka videoelektroničke identifikacije te isključiti mogući utjecaj drugih osoba na izraženu volju stranke. Pri tome uzima u obzir ponašanje osobe i odgovore osobe na pojedina pitanja koja zaposlenik obveznika postavlja osobi tijekom obavljanja videoelektroničke identifikacije.
Jednokratni identifikacijski broj
Članak 9.
(1) Nakon obavljanja provjere iz članka 8. ovoga Pravilnika zaposlenik obveznika elektroničkim putem osobi čiji identitet je utvrđen i provjeren korištenjem sredstava videoelektroničke identifikacije dostavlja Jednokratni identifikacijski broj.
(2) Osoba iz stavka 1. ovoga članka dužna je zaprimljeni Jednokratni identifikacijski broj:
1. izgovoriti tijekom obavljanja videoelektroničke identifikacije ili
2. elektroničkim putem dostaviti zaposleniku obveznika iz stavka 1. ovoga članka.
(3) Videoelektronička identifikacija dovršena je uspješnim zaprimanjem i pohranom zvučnog ili elektroničkog zapisa Jednokratnog identifikacijskog broja iz stavka 2. ovoga članka.
Obveza prekidanja postupka videoelektroničke identifikacije
Članak 10.
(1) Zaposlenik obveznika koji obavlja videoelektroničku identifikaciju dužan je prekinuti obavljanje videoelektroničke identifikacije kada:
1. postoji slaba rasvjeta ili nedovoljna jačina glasa osobe ili loša kvaliteta prijenosa slike i zvuka koji ne omogućavaju utvrđivanje i provjeru identiteta osobe
2. nije moguća izrada i pohrana snimki sadržaja zaslona iz članka 8. stavka 2. ovoga Pravilnika
3. utvrdi nekonzistentnost ili drugu nepravilnost priliko provjere vjerodostojnosti službenog osobnog dokumenta sukladno članku 8. stavku 5. ovoga Pravilnika
4. nije nedvojbeno utvrđen identitet osobe
5. utvrdi da postoji vjerojatnost mogućeg utjecaja drugih osoba na izraženu volju stranke, uključujući posljedično i valjanost privole iz članka 5. ovoga Pravilnika
6. utvrdi da postoji određeni broj pozitivnih indikatora sumnjivoga ponašanja propisan postupcima i procedurama iz članka 8. stavka 1. ovoga Pravilnika.
(2) U slučajevima iz stavka 1. obveznik je dužan u skladu s člankom 19. stavkom 1. Zakona razmotriti treba li Uredu dostaviti obavijest o sumnjivoj transakciji, sredstvima i osobama.
Obavljanje videoelektroničke identifikacije putem vanjskog suradnika ili zastupnika obveznika
Članak 11.
(1) Vanjski suradnik ili zastupnik obveznika koji za obveznika na temelju ugovornoga odnosa (eksternalizacija ili zastupnički odnosi) obavlja videoelektroničku identifikaciju smatra se dijelom obveznika, a ne trećom osobom.
(2) U slučajevima iz stavka 1. ovoga članka obveznik je odgovoran za obavljanje videoelektroničke identifikacije te je dužan:
1. uspostaviti odgovarajuće procedure kako bi osigurao da se vanjski suradnik ili zastupnik obveznika iz stavka 1. ovoga članka pridržava odredbi ovoga Pravilnika te nadzirati vanjskog suradnika ili zastupnika obveznika u pogledu provedbe odredbi ovoga Pravilnika
2. brinuti se o provedbi odredbi ovoga Pravilnika pažnjom dobrog gospodarstvenika te pisanim putem obavijestiti vanjskog suradnika ili zastupnika obveznika iz stavka 1. ovoga članka o obvezama koje proizlaze iz Zakona, ovoga Pravilnika te iz propisa koji uređuju zaštitu osobnih podataka
3. prilikom ugovaranja s vanjskim suradnikom ili zastupnikom obveznika iz stavka 1. ovoga članka primijeniti odredbe propisane člankom 28. Opće uredbe o zaštiti podataka.
(3) Činjenica da videoelektroničku identifikaciju obavlja vanjski suradnik ili zastupnik obveznika iz stavka 1. ovoga članka ne smije utjecati na provedbu unutarnjih kontrola iz članka 13. stavka 1. Zakona niti ometati provedbu nadzora obveznika od strane nadležnih nadzornih tijela iz članka 81. Zakona.
III. ZAVRŠNE ODREDBE
Članak 12.
Ovaj Pravilnik stupa na snagu prvoga dana od dana objave u »Narodnim novinama«.
Klasa: 470-00/15-001/1
Urbroj: 513-12-2/027-18-209
Zagreb, 17. prosinca 2018.
Ministar financija
dr. sc. Zdravko Marić, v. r.