Baza je ažurirana 17.04.2024.
zaključno sa NN 43/24
Ministarstvo financija
170
Na temelju članka 52. stavka 6. a u vezi s člankom 15. stavkom 1. točkom 1. Zakona o sprječavanju pranja novca i financiranja terorizma (»Narodne novine«, br. 108/17., 39/19. i 151/22.) ministar financija donosi
PRAVILNIK
O UVOĐENJU STRANKE NA DALJINU I MINIMALNIM UVJETIMA KOJE MORA ISPUNJAVATI RJEŠENJE KOJIM SE UTVRĐUJE I PROVJERAVA IDENTITET STRANKE NA DALJINU
Predmet Pravilnika
Članak 1.
(1) Ovim Pravilnikom propisuju se:
1. uvjeti za uvođenje stranke na daljinu
2. sadržaj politika, kontrola i postupaka koje je dužan donijeti obveznik
3. procjena rješenja za utvrđivanje i provjeru identiteta stranke na daljinu
4. utvrđivanje i provjera identiteta fizičke osobe
5. utvrđivanje i provjera identiteta pravne osobe
6. uvjeti pod kojima obveznik može prepustiti postupak utvrđivanja i provjere identiteta stranke na daljinu trećoj osobi, vanjskom suradniku ili zastupniku obveznika.
(2) Ovaj Pravilnik sadrži odredbe koje su u skladu sa Smjernicom o korištenju rješenja za uvođenje stranaka na daljinu prema članku 13. stavku 1. Direktive (EU) 2015/849 Europskog nadzornog tijela za bankarstvo (EBA/GL/2022/15) od 22. studenoga 2022.
Značenje pojedinih pojmova
Članak 2.
(1) Pojedini pojmovi u ovome Pravilniku imaju sljedeće značenje:
1) automatizirani postupak jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji se provodi bez prisutnosti ili interakcije sa zaposlenikom obveznika ili treće osobe
2) biometrijski podatci jesu osobni podatci koji se odnose na fizičke, fiziološke i bihevioralne karakteristike fizičke osobe koje se pribavljaju i obrađuju tehničkim sredstvima, a koji omogućavaju ili potvrđuju jedinstvenu identifikaciju stranke
3) država članica jest država članica Europske unije ili država potpisnica Sporazuma o osnivanju Europskoga gospodarskog prostora
4) obveznik jest obveznik iz članka 9. Zakona o sprječavanju pranja novca i financiranja terorizma (dalje u tekstu: Zakon)
5) reprodukcija službenog osobnog dokumenta jest prikaz fotografije ili videozapisa izvornog službenog osobnog dokumenta prikazana na strani obveznika na temelju koje se utvrđuje autentičnost službenog osobnog dokumenta
6) Smjernica EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima jest Smjernica Europskog nadzornog tijela za bankarstvo o upravljanju rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima, EBA/GL/2019/04 od 28. studenoga 2019.
7) video konferencija jest postupak utvrđivanja i provjere identiteta stranke na daljinu koji provodi zaposlenik obveznika ili treća osoba u stvarnom vremenu.
(2) Ostali pojmovi korišteni u ovome Pravilniku imaju isto značenje kao u Zakonu.
Politike, kontrole i postupci
Članak 3.
(1) Obveznik je dužan donijeti politike, kontrole i postupke za postupak utvrđivanja i provjere identiteta stranke na daljinu.
(2) Politike, kontrole i postupci moraju minimalno sadržavati:
1. opis rješenja kojim se utvrđuje i provjerava identitet stranke na daljinu koji sadržava opis značajki i funkcionalnosti rješenja
2. uvjete pod kojima obveznik u skladu s odredbama članka 39. Zakona može prepustiti postupak utvrđivanja i provjere identiteta stranke na daljinu trećoj osobi, vanjskom suradniku ili zastupniku obveznika
3. okolnosti u kojima se može koristiti rješenje, analizu rizika od pranja novca i financiranja terorizma u skladu s odredbama članka 12. Zakona koja sadržava opis kategorije stranaka, proizvoda, usluga koji su prihvatljivi za uvođenje postupka utvrđivanja i provjere identiteta stranke na daljinu
4. opis koraka postupka koji su automatizirani te opis koraka postupka koji zahtijevaju ljudsku intervenciju
5. opis kontrola kojima se osigurava da se prva transakcija s novouvedenom strankom provede nakon što su provedene mjere dubinske analize iz članka 15. Zakona
6. opis edukacija koje se provode s ciljem podizanja razine svijesti i znanja zaposlenika obveznika o provođenju postupka utvrđivanja i provjere identiteta stranke na daljinu povezanih s rizicima te politikama, postupcima i kontrolama usmjerenima na umanjenje rizika
7. način čuvanja podataka koji uključuje, ali nije ograničen na slike, videozapise i dokumente prikupljene u postupku utvrđivanja i provjere identiteta stranke na daljinu
8. upravljanje rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima.
(3) Obveznik je dužan politike, kontrole i postupke iz stavka 1. ovoga članka redovito pratiti i preispitivati njihovu djelotvornost, prema potrebi ih mijenjati i dopunjavati, te nadzirati njihovu pravilnu provedbu.
Procjena rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu
Članak 4.
(1) Prije uvođenja i inicijalne uporabe rješenja za provođenje postupka utvrđivanja i provjere identiteta stranke na daljinu, obveznik je dužan provesti i dokumentirati procjenu i testiranje rješenja.
(2) Procjena rješenja iz stavka 1. ovoga članka mora sadržavati:
1. procjenu primjerenosti rješenja u pogledu potpunosti i točnosti podataka i dokumenata koji se prikupljaju kao i pouzdanosti i neovisnosti izvora informacija
2. procjenu utjecaja rješenja na rizike na razini cjelokupnog poslovanja, uključujući rizik pranja novca i financiranja terorizma te poslovne, reputacijske i pravne rizike
3. mjere ublažavanja i korektivne mjere za svaki rizik utvrđen u točki 2. ovoga stavka
4. postupak testiranja radi procjene rizika od prijevare, uključujući rizike od prijevare lažnim predstavljanjem, rizik informacijske i komunikacijske tehnologije, te sigurnosne rizike i
5. sveobuhvatno testiranje funkcioniranja rješenja usmjerenog na stranku, proizvod i uslugu.
(3) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti rezultate o provedenoj procjeni rješenja uključujući rezultate provedenih testiranja, te dokaz da je rješenje prikladno u odnosu na rizik od pranja novca i financiranja terorizma koji je povezan sa strankom, državom ili geografskim područjem, proizvodom, uslugom ili transakcijom.
(4) Obveznik može početi koristiti rješenje kada se uvjeri da se rješenje može uključiti u sustav unutarnjih kontrola u cilju upravljanja rizikom od pranja novca i financiranja terorizma koji može proizaći iz uporabe rješenja za uvođenje stranke na daljinu.
(5) Obveznik nije dužan primijeniti mjere propisane u stavku 2. točkama 1., 4. i 5. ovoga članka kada koristi sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev »značajne« ili »visoke« razine sigurnosti u skladu s člankom 8. Uredbe (EU) br. 910/2014, ili kada koristi kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlja III. odjeljka 3.
Kontinuirano praćenje
Članak 5.
(1) Obveznik je dužan kontinuirano pratiti rješenje kako bi se uvjerio da je funkcionalnost rješenja u skladu s njegovim očekivanjima.
(2) Politike, kontrole i postupke iz članka 3. ovoga Pravilnika obveznik je dužan mijenjati i/ili dopunjavati:
1. postupcima koje poduzima kako bi osigurao kvalitetu, cjelovitost, točnost i primjerenost podataka prikupljenih tijekom postupka utvrđivanja i provjere identiteta stranke na daljinu, a koji su proporcionalni riziku pranja novca i financiranja terorizma
2. odlukom o opsegu i učestalosti praćenja rješenja
3. okolnostima koje pokreću izvanrednu trenutnu kontrolu rješenja, a koje uključuju:
– promjene u izloženosti rizika od pranja novca i financiranja terorizma
– nedostatke u funkcionalnosti rješenja otkrivenih tijekom stalnoga praćenja, revizije ili nadzora
– porast pokušaja prijevara ili
– promjene zakonodavnog ili regulatornog okvira.
(3) Obveznik je dužan uspostaviti i primijeniti najučinkovitiji način praćenja primjerenosti i pouzdanosti rješenja koji uključuje:
– ispitivanje osiguranja kvalitete rješenja
– automatizirana upozorenja i obavijesti
– redovita automatizirana izvješća o kvaliteti
– ispitivanje uzorka ili
– ručni pregled rješenja.
(4) Obveznik je dužan na zahtjev nadležnog nadzornog tijela iz članka 81. Zakona dostaviti dokaz o provedenim kontrolama i poduzetim mjerama radi otklanjanja nedostataka uočenih tijekom provedbe rješenja.
Mjere otklanjanja utvrđenih pogrešaka
Članak 6.
(1) Obveznik je dužan u politikama, kontrolama i postupcima propisati mjere otklanjanja ako je rizik materijaliziran ili ako su utvrđene pogreške koje utječu na učinkovitost i djelotvornost rješenja.
(2) Mjere iz stavka 1. ovoga članka moraju uključiti analizu zahvaćenih poslovnih odnosa, te u skladu s utvrđenom kategorijom rizika dati prednost poslovnom odnosu koji nosi potencijalno viši rizik od pranja novca i financiranja terorizma.
(3) Uzimajući u obzir rezultate analize zahvaćenih poslovnih odnosa iz stavka 2. ovoga članka, obveznik je dužan procijeniti je li potrebno poduzeti neku od sljedećih mjera:
– provesti dodatne mjere dubinske analize propisane člankom 44. Zakona i podzakonskim aktom nadležnog nadzornog tijela
– odbiti obavljanje transakcije u skladu s člankom 19. Zakona
– raskinuti poslovni odnos u skladu s člankom 19. Zakona
– obavijestiti Ured za sprječavanje pranja novca o sumnjivim transakcijama, sredstvima i osobama u skladu s člankom 56. i članka 57. Zakona ili
– kategorizirati poslovni odnos u skladu s procijenjenom razinom rizika od pranja novca i financiranja terorizma.
Prikupljanje podataka i informacija potrebnih za utvrđivanje i provjeru identiteta stranke
Članak 7.
(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta stranke, vrstu dokumenta te način provjere prikupljenih podataka i informacija.
(2) Obveznik je dužan osigurati da:
1. su podatci i informacije pribavljene korištenjem rješenja ažurni i točni i u skladu s propisanim mjerama dubinske analize pod uvjetima propisanima u Glavi III. Poglavlju III. NAČIN PROVOĐENJA MJERA DUBINSKE ANALIZE STRANKE Zakona
2. su audio-vizualni podatci snimljeni u čitljivom formatu i dovoljne kvalitete te da je osoba čiji se identitet utvrđuje i provjerava nedvojbeno prepoznatljiva
3. se postupak utvrđivanja i provjere identiteta osobe na daljinu prekine u slučaju tehničkih nedostataka ili neočekivanog prekida veze.
(3) Podatci, informacije i dokumentacija prikupljena tijekom postupka utvrđivanja i provjere identiteta na daljinu moraju sadržavati vremensku oznaku njihovog kreiranja ili prikupljanja te se moraju čuvati u skladu s odredbama članka 79. Zakona.
Utvrđivanje i provjera identiteta fizičke osobe
Članak 8.
(1) Politike, kontrole i postupci iz članka 3. ovoga Pravilnika moraju sadržavati podatke i informacije potrebne za utvrđivanje i provjeru identiteta na daljinu u skladu sa Zakonom i podzakonskim aktima prema vrsti podataka i informacija koje:
– ručno unosi stranka
– se automatski preuzimaju iz dostavljene dokumentacije i
– koje se prikupljaju korištenjem drugih unutarnjih ili vanjskih izvora.
(2) Obveznik je dužan uspostaviti odgovarajuće kontrolne mehanizme kojima se osigurava pouzdanost podataka i informacija automatski preuzetih iz dostavljene dokumentacije, te osigurati mjere za ublažavanje rizika od lažnog predstavljanja koje mogu uključivati i prikrivanje podataka o stvarnoj lokaciji stranke.
(3) Odredbe stavaka 1. i stavka 2. ovoga članka ne primjenjuju se na obveznika koji koristi sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev »značajne« ili »visoke« razine sigurnosti u skladu s člankom 8. navedene Uredbe (EU) br. 910/2014, ili kada koristi kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlja III. odjeljka 3.
Utvrđivanje i provjera identiteta pravne osobe
Članak 9.
(1) Obveznik je dužan u politikama, kontrolama i postupcima iz članka 3. ovoga Pravilnika utvrditi za koji će pravni oblik pravne osobe uspostaviti poslovni odnos na daljinu, uzimajući u obzir rizik od pranja novca i financiranja terorizma povezan sa svakim oblikom pravne osobe.
(2) Rješenje za utvrđivanje i provjeru identiteta pravne osobe na daljinu mora omogućiti prikupljanje:
– podataka i dokumentacije za utvrđivanje i provjeru identiteta pravne osobe
– relevantnih podataka i dokumentacije za utvrđivanje i provjeru je li fizička osoba koja djeluje u ime pravne osobe zakonski zastupnik ili punomoćnik pravne osobe i
– podatka o stvarnom vlasniku (stvarnim vlasnicima).
(3) Utvrđivanje i provjera identiteta fizičke osobe koja djeluje u ime pravne osobe kao zakonski zastupnik ili punomoćnik pravne osobe, utvrđuje se i provjerava na način propisan člankom 8. ovoga Pravilnika.
Prikupljanje podatka o namjeni i predviđenoj prirodi poslovnog odnosa
Članak 10.
Obveznik je dužan prije završetka postupka utvrđivanja i provjere identiteta stranke na daljinu prikupiti podatak o namjeni i predviđenoj prirodi poslovnog odnosa.
Autentičnost i cjelovitost službenog osobnog dokumenta
Članak 11.
(1) Ako obveznik prilikom utvrđivanja i provjere identiteta stranke na daljinu prihvaća prikaz fotografije (reprodukciju službenog osobnog dokumenta) ili videozapis službenog osobnog dokumenta, dužan je:
1. provjeriti sadržava li reprodukcija službenog osobnog dokumenta sigurnosne značajke ugrađene u službeni osobni dokument, te jesu li svojstva službenog osobnog dokumenta koja se reproduciraju valjana i prihvatljiva posebice vrsta, veličina znakova i struktura dokumenta, uvidom u pouzdanu bazu podataka kao što je Javni internetski registar vjerodostojnih putnih i osobnih isprava Vijeća Europske unije (PRADO)
2. provjeriti jesu li u reprodukciji službenog osobnog dokumenta promijenjeni osobni identifikacijski podatci (npr. provjerom u Evidenciju o osobnim identifikacijskim brojevima koju vodi tijelo nadležno za upis u službene evidencije osobnih identifikacijskih brojeva) i je li fotografija stranke koja je ugrađena u službeni osobni dokument zamijenjena i
3. provjeriti je li reprodukcija službenog osobnog dokumenta primjerene kvalitete kako bi se uvjerio da su podatci sadržani u reprodukciji službenog osobnog dokumenta nedvojbeni.
(2) Obveznik koji koristi automatsko čitanje podataka i informacija iz službenog osobnog dokumenta kao što su algoritmi za optičko prepoznavanje znakova ili strojno čitljivog dijela, dužan je poduzeti potrebne mjere kojima osigurava prikupljanje podataka i informacija na točan način.
(3) U slučaju kada stranka čiji se identitet utvrđuje i provjerava koristi službeni osobni dokument koji sadrži elektronički nosač podataka, obveznik mora koristiti dobivene podatke i informacije radi provjere njihove autentičnosti.
Provjera podudaranja identiteta stranke
Članak 12.
(1) Rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu mora omogućiti provjeru:
1. podudarnosti fizičke osobe s fotografijom osobe na službenom osobnom dokumentu
2. podudarnosti između podataka pravne osobe i podataka u sudskom ili drugom javnom registru
3. je li fizička osoba koja djeluje ili tvrdi da djeluje u ime pravne osobe za to i ovlaštena.
(2) Ako rješenje uključuje upotrebu biometrijskih podataka za provjeru identiteta, obveznik je dužan osigurati da biometrijski podatci budu dovoljno jedinstveni kako bi se nedvosmisleno povezali s fizičkom osobom čiji se identitet utvrđuje.
(3) Rješenje iz stavka 1. ovoga članka mora koristiti snažne i pouzdane algoritme za provjeru podudarnosti između biometrijskih podataka sadržanih u osobnom službenom dokumentu i stranke čiji se identitet utvrđuje i provjerava.
(4) Kada dostavljena dokumentacija ili okolnosti dovode do dvosmislenosti ili neodređenosti, obveznik je dužan prekinuti postupak utvrđivanja i provjere identiteta na daljinu te isti postupak ponovno pokrenuti ili se preusmjeriti na fizičku provjeru.
(5) Kada obveznik koristi automatizirani postupak, dužan je osigurati:
1. da su fotografije ili videozapisi stranke snimljeni u odgovarajućim uvjetima osvjetljenja i s potrebnom jasnoćom kako bi se omogućila pravilna provjera identiteta stranke
2. da su fotografije ili videozapisi stranke snimljeni u trenutku kada se provodi postupak utvrđivanja i provjere identiteta
3. provjeru autentičnosti službenog osobnog dokumenta stranke kako bi se nedvojbeno utvrdilo da se radi o originalnom službenom osobnom dokumentu, a u skladu s člankom 11. ovoga Pravilnika
4. provjeru živosti stranke kako bi se nedvojbeno utvrdilo da se radi o stvarnoj fizičkoj osobi koja trenutno sudjeluje u automatiziranom postupku
5. pouzdane algoritme za provjeru podudara li se fotografija ili videozapis s fotografijom preuzetom iz službenog osobnog dokumenata.
(6) Pored uvjeta propisanih u stavku 5. točke 1., 2., 3. i točke 4. ovoga članka, obveznik koji koristi video konferenciju za utvrđivanje i provjeru identiteta stranke na daljinu, dužan je:
1. osigurati kvalitetu slike i zvuka koja je dovoljna da omogući pravilnu provjeru identiteta stranke korištenjem pouzdanih tehnoloških sustava
2. osigurati da zaposlenik koji sudjeluje u postupku posjeduje znanja u području sprječavanja pranja novca i financiranja terorizma, da je osposobljen za procjenu i sprječavanje namjerne uporabe tehnika obmane, te za otkrivanje i reagiranje u slučaju njihovih pojava
3. donijeti uputu za intervju kojom se određuju koraci postupka utvrđivanja i provjere identiteta provjere na daljinu, kao i radnje koje se zahtijevaju od zaposlenika obveznika
4. donijeti smjernice za promatranje i utvrđivanje psiholoških čimbenika ili drugih značajki koje mogu karakterizirati sumnjivo ponašanje stranke tijekom postupka video konferencije
5. u skladu s procjenom rizika, osigurati nasumičnost u redoslijedu radnji koje stranka mora obaviti kako bi se otežala priprema za provođenje napada koji uključuje lažno predstavljanje
6. kada je u mogućnosti osigurati nasumičnu dodjelu zaposlenika odgovornog za postupak provjere na daljinu kako bi se izbjeglo tajno dogovaranje između stranke i zaposlenika.
(7) U skladu s utvrđenim rizikom od pranja novca i financiranja terorizma u vezi s poslovnim odnosom, obveznik je dužan provesti jednu ili više mjera za povećanje pouzdanosti postupka provjere koje uključuju, ali se ne ograničavaju na sljedeće mjere:
1. prvo plaćanje ili provjera korištenjem usluge informiranja o računu u skladu s odredbama zakona koji uređuje platni promet provodi se s računa koji glasi na ime stranke kod obveznika u državi članici ili trećoj državi koja provodi mjere, radnje i postupke sa svrhom sprječavanja pranja novca i financiranja terorizma, jednake ili jednakovrijedne onima propisanim u Direktivi (EU) 2015/849 i čija se usklađenost nadzire od strane nadležnog nadzornog tijela na način jednak ili jednakovrijedan onima propisanim u Direktivi (EU) 2015/849
2. slanje nasumično generiranog koda stranci radi potvrde prisutnosti tijekom postupka koja je jednokratna i vremenski ograničena
3. uzimanje biometrijskih podataka radi usporedbe s podatcima prikupljenima iz drugih neovisnih i pouzdanih izvora
4. telefonsko kontaktiranje stranke ili
5. slanje pošte (elektronička i zemaljska pošta) stranci.
(8) Obveznik nije dužan primijeniti mjere propisane u stavcima 1., 2., 3., 4., 5., i 6. ovoga članka kada koristi sredstvo elektroničke identifikacije u skladu s člankom 9. Uredbe (EU) br. 910/2014, a koje ispunjava zahtjev »značajne« ili »visoke« razine sigurnosti u skladu s člankom 8. navedene Uredbe (EU) br. 910/2014, te kvalificirane usluge povjerenja koje ispunjavaju zahtjeve Uredbe (EU) br. 910/2014, poglavlja III. odjeljka 3.
Oslanjanje na treću osobu i vanjskog suradnika
Članak 13.
(1) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti trećoj osobi pod uvjetima propisanima u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.
(2) Obveznik je dužan:
1. poduzeti potrebne korake kako bi se uvjerio da su postupci koje provodi treća osoba prilikom obavljanja mjera dubinske analize u skladu s ovim Pravilnikom i
2. osigurati nastavak poslovnog odnosa sa strankom u svrhu zaštite od događaja koji bi mogao otkriti nedostatke u postupku utvrđivanja i provjere identiteta stranke na daljinu kojega je provela treća osoba.
(3) Obveznik može postupak utvrđivanja i provjeru identiteta stranke na daljinu prepustiti vanjskom suradniku i zastupniku obveznika (eksternalizacija ili zastupnički odnos) pod uvjetima propisanim u Glavi III. Poglavlju VIII. DUBINSKA ANALIZA STRANKE PREKO TREĆE OSOBE Zakona i na temelju njega donesenih podzakonskih akata.
(4) Obveznik je dužan prije i tijekom poslovnog odnosa:
1. osigurati da vanjski suradnik i zastupnik obveznika učinkovito provodi i pridržava se politika, kontrola i postupaka obveznika u skladu s ugovornim odnosom
2. provesti procjenu kako bi se osiguralo da je vanjski suradnik i zastupnik dovoljno opremljen i sposoban provesti postupak utvrđivanja i provjere identiteta stranaka na daljinu, procjenu osposobljavanja i izobrazbe zaposlenika, procjenu tehnološke sposobnosti, procjenu čuvanja i evidentiranja podataka i
3. osigurati da vanjski suradnik i zastupnik obveznika izvještava obveznika o svim predloženim promjenama u postupku utvrđivanja i provjere identiteta stranke na daljinu ili svim promjenama rješenja.
(5) Obveznik je dužan provjeriti čuva li vanjski suradnik i zastupnik obveznika samo potrebne podatke, informacije i dokumentaciju o stranci u skladu sa Zakonom, te je li pristup podatcima, informacijama i dokumentaciji ograničen uz provođenje sigurnosnih mjera zaštite i čuvanja podataka.
Upravljanje rizicima informacijske i komunikacijske tehnologije i sigurnosnim rizicima
Članak 14.
(1) Obveznik je dužan utvrditi rizike i upravljati rizicima informacijske i komunikacijske tehnologije te sigurnosnim rizicima koji su povezani s provođenjem postupka utvrđivanja i provjere identiteta stranke na daljinu.
(2) Obveznik je dužan koristiti sigurne komunikacijske kanale za interakciju sa strankom tijekom postupka utvrđivanja i provjere identiteta na daljinu korištenjem sigurnih protokola i kriptografskih algoritama u skladu s najboljim praksama i industrijom u svrhu zaštite povjerljivosti, autentičnosti i cjelovitosti razmijenjenih podataka i informacija.
(3) Obveznik je dužan osigurati sigurnu pristupnu točku za pokretanje postupka utvrđivanja i provjere identiteta stranaka na daljinu na temelju kvalificiranog certifikata za elektroničke pečate kako je propisano u članku 3. stavku 30. Uredbe (EU) br. 910/2014 ili za autentifikaciju mrežnih mjesta kako je propisano u članku 3. stavku 39. Uredbe (EU) br. 910/2014 te obavijestiti stranku o primjenjivim sigurnosnim mjerama koje se poduzimaju za osiguranje sigurnog korištenja sustava.
(4) Kada postupak utvrđivanja i provjere identiteta stranke na daljinu uključuje korištenje višenamjenskog uređaja stranke, tada obveznik treba poduzeti dodatne mjere, ako je to moguće, a kako bi se osiguralo provođenje postupka unutar sigurne i pouzdane okoline te osigurala sigurnost rješenja i prikupljenih podataka u skladu s procjenom sigurnosnog rizika propisanog Smjernicama EBA-e o upravljanju rizicima IKT-a i sigurnosnim rizicima.
Učinci stupanja Pravilnika na snagu
Članak 15.
(1) Stupanjem na snagu ovoga Pravilnika prestaje važiti Pravilnik o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije (»Narodne novine« br. 1/19.).
(2) Obveznik koji koristi postupak videoelektroničke identifikacije u skladu s Pravilnikom o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije (»Narodne novine« br. 1/19.), dužan je uskladiti se s odredbama ovoga Pravilnika u roku šest mjeseci od stupanja na snagu ovoga Pravilnika.
Stupanje na snagu Pravilnika
Članak 16.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
Klasa: 470-06/23-04/1
Urbroj: 513-12-2/027-24-26
Zagreb, 15. siječnja 2024.
Ministar financija dr. sc. Marko Primorac, v. r.