Jak by měla povinná osoba podle AMLZ provádět pravidelnou aktualizaci údajů, které drží o klientovi?
V návaznosti na AML vyhlášku musí povinná osoba stanovit postupy k aktualizaci údajů o klientech. Frekvence a rozsah prováděné aktualizace vychází z identifikovaného rizika.
Povinnost průběžně aktualizovat informace držené o klientovi vychází z § 8 odst. 7 AML zákona1.
Ustanovení § 8 odst. 1 a odst. 2 písm. b) AML vyhlášky dále požaduje, aby povinná osoba zavedla postupy, na jejichž základě bude v návaznosti na rizikový profil klienta vůči tomuto klientovi uplatňovat opatření, která zajistí účinné řízení rizik spojených s tímto klientem, mj. i četnost a rozsah provádění kontroly klienta. Konkrétněji k aktualizaci údajů pak § 7 odst. 3 AML vyhlášky stanoví povinnost, aby povinná osoba v případě obchodního vztahu pravidelně kontrolovala platnost a úplnost údajů o klientovi a případně aktualizovala tyto informace i rizikový profil klienta. Ustanovení dále požaduje, aby postupy pro tuto aktualizaci povinná osoba rozvedla ve svém systému vnitřních zásad a určila skutečnosti, na jejichž základě bude aktualizace vždy provedena. Zároveň však musí být stanoveny maximální intervaly, v nichž bude aktualizace provedena vždy. Tyto postupy by měly vycházet z identifikovaného rizika spojeného s obchodním vztahem.
V návaznosti na AML vyhlášku SVZ povinné osoby musí obsahovat postupy, na jejichž základě bude povinná osoba aktualizovat údaje, které drží o klientovi, a příhodnost stanoveného rizikového profilu; jednak:
1. pravidelně,
2. na ad hoc bázi v důvodných případech.
Aktualizace údajů musí probíhat způsobem, který vychází a je v souladu s hodnocením rizik instituce. Lze tedy předpokládat, že stanovené postupy se budou lišit mezi jednotlivými rizikovými kategoriemi. U jednotlivých rizikových kategorií lze například nastavit jiným způsobem frekvenci provádění aktualizací, ale identifikovanému riziku je zároveň vhodné přizpůsobit i rozsah zjišťovaných informací. Zde zdůrazňujeme, že nastavené postupy musí zajistit účinné řízení identifikovaných či možných rizik zneužití činnosti povinné osoby pro praní peněz či financování terorismu a s ohledem na toto hledisko je tedy nezbytné k nastavování postupů přistoupit.
K řízení rizika zneužití činnosti povinné osoby k praní peněz a financování terorismu je klíčové, aby instituce měla všechny platné, aktuální a relevantní informace nezbytné k uplatňování odpovídajících opatření řídících rizika (mj. rizikové kategorizaci klienta) a dostatečné k identifikaci a posouzení případného podezření (tímto není dotčena povinnost vždy zjistit a aktualizovat informace, u kterých to vyžaduje zákon).
V návaznosti na § 15 AML zákona nesmí povinná osoba provést transakci či musí ukončit obchodní vztah v případě, že nelze provést identifikaci nebo kontrolu klienta. Toto by tedy v krajním případě měl být finální krok, i pokud povinná osoba není schopna provést aktualizaci držených informací o klientovi (neboť se jedná o součást kontroly klienta). Lze však předpokládat, že tomuto kroku budou předcházet jiné kroky, např. omezení druhu a rozsahu poskytovaných služeb za účelem snížení rizika (za současného vyzvání klienta k doložení požadovaných informací).
Závěrem dodáváme, že podle § 10 odst. 1 AML vyhlášky musí povinná osoba dále vždy ověřit bez zbytečného odkladu informace, které drží o klientovi, pokud má pochybnosti o správnosti nebo pravdivosti dříve získaných informací. Podle odstavce 2 téhož ustanovení musí povinná osoba rovněž doplnit chybějící informace v případě změny právní úpravy (tedy v případě, že by nová právní úprava rozšířila rozsah požadovaných informací, pak musí povinné osoby zajistit, aby stejné druhy informací držely i o klientech, s nimiž byl obchodní vztah navázán již před vstupem v účinnost nových předpisů).
Zatímco při pochybnosti o správnosti či pravdivosti držených informací musí povinná osoba tyto informace ověřit bez zbytečného odkladu, u doplnění informací po změně právní úpravy požaduje AML vyhláška, aby k revizi došlo v termínech stanovených s ohledem na rizikový profil klienta (tedy povinná osoba si může pro jednotlivé rizikové kategorie odstupňovat lhůty, ve kterých tuto aktualizaci provede).
--------
1 § 8 odst. 7 stanoví, že "V době trvání obchodního vztahu nebo při dalších obchodech povinná osoba kontroluje platnost a úplnost identifikačních údajů klienta, informací získaných v rámci kontroly klienta (§ 9), důvodnost zjednodušené kontroly klienta (§ 13) nebo výjimky z kontroly klienta (§ 13a) a zaznamenává jejich změny."
2 Jako příklad prostoru pro uvážení povinné osoby lze uvést např. číslo průkazu totožnosti, které povinná osoba může aktualizovat, pokud to uzná za vhodné a účelné. Nejedná se však o zákonný požadavek, neboť zákon požaduje pouze aktualizaci identifikačních údajů, nikoliv informací souvisejících s identifikací.