Na podlagi petega odstavka 34. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22) minister za finance izdaja
o tehničnih pogojih, ki jih morajo izpolnjevati videoelektronska identifikacijska sredstva
S tem pravilnikom se določajo minimalni tehnični pogoji, ki jih morajo izpolnjevati videoelektronska identifikacijska sredstva, ter način njihove uporabe za namen ugotavljanja in preverjanja istovetnosti strank pri izvajanju pregleda stranke kot ukrepa za preprečevanje pranja denarja in financiranja terorizma, ki ga izvajajo zavezanci iz 4. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22; v nadaljnjem besedilu: ZPPDFT-2).
Posamezni izrazi, uporabljeni v tem pravilniku, pomenijo:
1. »videoelektronska identifikacija« je postopek ugotavljanja in preverjanja istovetnosti stranke pri izvajanju pregleda stranke z videoelektronskim identifikacijskim sredstvom;
2. »uradni identifikacijski dokument« za potrebe izvajanja videoelektronske identifikacije je uradni osebni dokument, ki je opremljen s fotografijo, s katere je jasno prepoznavna slika obraza stranke in v katerem so navedeni podatki vsaj o njenem osebnem imenu in datumu rojstva.
(usposobljenost izvajalca)
(1) Oseba, ki za zavezanca izvede videoelektronsko identifikacijo, mora biti ustrezno usposobljena in zanesljiva.
(2) Ustrezna usposobljenost predpostavlja najmanj:
1. poznavanje predpisov s področja preprečevanja pranja denarja in financiranja terorizma ter varstva osebnih podatkov;
2. razumevanje tehničnih zahtev in delovanja naprav, s katerimi se izvede videoelektronska identifikacija;
3. poznavanje značilnosti uradnih identifikacijskih dokumentov;
4. poznavanje praktične izvedbe videoelektronske identifikacije, vključno s preverjanjem zaščitnih znakov uradnega identifikacijskega dokumenta oziroma uporabo ustrezne programske podpore za njihovo preverjanje, z ugotavljanjem verodostojnosti podatkov ter zaznavo nelogičnih ali nedoslednih odzivov stranke v postopku izvedbe videoelektronske identifikacije.
(3) Zavezanec ali oseba, ki jo zavezanec pooblasti za izvajanje videoelektronske identifikacije, dokumentira izvedbo usposabljanja tako, da je mogoče ugotoviti njegovo ustreznost.
(1) Videoelektronska identifikacija se izvede v posebnem prostoru, ki je ločen od drugih prostorov zavezanca oziroma izvajalca videoelektronske identifikacije.
(2) Dostop do prostora, v katerem se izvaja videoelektronska identifikacija, mora biti ves čas nadzorovan in omogočen izključno osebam, ki sodelujejo pri izvedbi videoelektronske identifikacije.
(predhodna privolitev stranke)
(1) Na začetku postopka videoelektronske identifikacije se stranko, ki je začela postopek takega načina pregleda, pozove, da poda izrecno privolitev k izvedbi celotnega postopka.
(2) Za veljavnost privolitve iz prejšnjega odstavka veljajo določbe o pogojih za veljavnost privolitve, kot jih opredeljuje 7. člen Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št. 119 z dne 4. 5. 2016, str. 1), zadnjič popravljene s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 2; v nadaljnjem besedilu: Splošna uredba).
(3) Če stranka na začetku postopka ne poda privolitve po določbah tega člena, se videoelektronska identifikacija prekine in stranka se napoti na drug način ugotavljanja in preverjanja njene istovetnosti, ki je v skladu z ZPPDFT-2.
(osebni podatki in hramba podatkov)
(1) Osebni podatki in dokumentacija, ki se zbirajo in obdelajo z videoelektronsko identifikacijo na podlagi 34. člena ZPPDFT-2, se v skladu s prvim odstavkom 17. člena ZPPDFT-2 zbirajo in obdelajo za namene preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter zanje v celoti veljajo določbe tega zakona, s katerimi je določena uporaba pridobljenih podatkov, dokumentacije in posnetkov ter obveščanje posameznika o obdelavi osebnih podatkov.
(2) Zavezanca glede hrambe podatkov iz prvega odstavka prejšnjega člena zavezuje določba 142. člena ZPPDFT-2 o hrambi podatkov pri zavezancu.
(organizacijsko-tehnične zahteve)
(1) Videoelektronska identifikacija se izvaja z videoelektronskim identifikacijskim sredstvom na način, ki zagotavlja videoprenos slike in zvoka v realnem času brez prekinitev.
(2) Videoelektronska identifikacija se izvaja z uporabo ustrezne tehnične strojne in programske opreme, ki zagotavlja varen videoprenos s šifriranjem celotne komunikacijske poti (šifriranje med končnimi točkami), tako da videoprenosa ni mogoče prestreči. Za šifriranje je potrebno uporabiti šifrirne algoritme in postopek upravljanja s ključi, za katere niso znane varnostne pomanjkljivosti, in šifrirne ključe temu ustreznih dolžin.
(3) Vsi podatki, pridobljeni med videoelektronsko identifikacijo, morajo biti ustrezno zaščiteni pred neupravičeno obdelavo.
(4) Kakovost slike in zvoka videoprenosa morata ustrezati namenu nedvomne ugotovitve in preveritve istovetnosti stranke.
(1) Stranka na zahtevo osebe, ki izvede videoelektronsko identifikacijo, zaradi ugotavljanja verodostojnosti slike in podatkov med videoelektronsko identifikacijo nagiba svojo glavo v različne smeri ter ustno sporoči celotno serijsko številko uradnega identifikacijskega dokumenta.
(2) Oseba, ki izvede videoelektronsko identifikacijo, se mora prepričati o pristnosti uradnega identifikacijskega dokumenta in ujemanju podatkov na naslednje načine:
1. vidno preverjanje obstoja optičnih zaščitnih znakov, vključno s holografskimi ali drugimi enakovrednimi zaščitnimi elementi (na primer varnostne nitke, variabilne barve in podobno), ki morajo biti jasno prepoznavni tudi ob horizontalnem in vertikalnem nagibu uradnega identifikacijskega dokumenta;
2. preverjanje formalnih znakov uradnega identifikacijskega dokumenta in njihovo ujemanje glede na vrsto uradnega identifikacijskega dokumenta (grafična zasnova, velikost znakov, razmik med znaki, tipografija in podobno);
3. preverjanje ujemanja že pridobljenih podatkov s podatki, ki so razvidni iz uradnega identifikacijskega dokumenta;
4. preverjanje veljavnosti uradnega identifikacijskega dokumenta in pravilnosti alfanumeričnih znakov njegove serijske številke;
5. vidno preverjanje morebitne naknadne namestitve fotografije, nepoškodovanosti laminacije, ki obdaja uradni identifikacijski dokument, ali drugih zaščitnih znakov, ki izkazujejo njegovo nepoškodovanost;
6. preverjanje logične doslednosti podatkov, ki izhajajo iz dokumenta (na primer pravilnost datuma izdaje in poteka veljavnosti, pravilnost rojstnega datuma, njihovo medsebojno ujemanje in podobno).
(3) Preverjanje optičnih zaščitnih znakov in formalnih znakov uradnega identifikacijskega dokumenta iz 1. in 2. točke prejšnjega odstavka se lahko izvede tudi z uporabo ustrezne programske podpore.
(4) Oseba, ki izvede videoelektronsko identifikacijo, se prepriča o tem, da fotografija, morebitni osebni opis in podatki iz uradnega identifikacijskega dokumenta potrjujejo istovetnost stranke, ki je začela videoelektronsko identifikacijo, ter preveri logično doslednost vseh razpoložljivih podatkov (na primer ujemanja videza stranke v videoprenosu s podatki in njeno fotografijo iz uradnega identifikacijskega dokumenta ali z drugimi podatki, s katerimi zavezanec že razpolaga, in podobno).
(5) Oseba, ki izvede videoelektronsko identifikacijo, preveri ustreznost podanega namena stranke v zvezi z opravljanjem videoelektronske identifikacije in izključi morebitni vpliv tretjih oseb na izraženo voljo stranke. Pri tem upošteva tudi odziv stranke na posamezna vprašanja in njeno vedenje med izvajanjem videoelektronske identifikacije.
(enkratna identifikacijska številka)
(1) Oseba, ki izvede videoelektronsko identifikacijo, stranki po elektronski pošti ali sporočilu SMS pošlje posebno enkratno identifikacijsko številko, ki je centralno določena izključno za namen posameznega postopka videoelektronske identifikacije.
(2) Stranka med videoelektronsko identifikacijo številko iz prejšnjega odstavka neposredno po videoelektronski identifikaciji sporoči osebi, ki izvede videoelektronsko identifikacijo.
(3) Z uspešnim prejemom pravilne enkratne identifikacijske številke je postopek videoelektronske identifikacije končan.
(obveznost prekinitve videoelektronske identifikacije)
(1) Z izjemo primerov, ki so opisani v drugem odstavku tega člena, je treba postopek videoelektronske identifikacije prekiniti vedno, ko:
1. slabe svetlobne ali zvočne razmere pri stranki ali slaba kakovost prenosa slike ali zvoka ne omogočajo ugotavljanja in preverjanja istovetnosti stranke;
2. se ugotovi kakršno koli neujemanje ali nedoslednost pri preverjanju pristnosti uradnega identifikacijskega dokumenta;
3. obstaja negotovost glede istovetnosti stranke;
4. obstaja verjetnost morebitnega vpliva tretjih oseb na izraženo voljo stranke in posledično veljavnost privolitve.
(2) Če nastopijo okoliščine iz 4. ali 5. točke prvega odstavka 22. člena ZPPDFT-2, zavezanec nadaljuje izvedbo videoelektronske identifikacije in po končani izvedbi prouči, ali so nastopile okoliščine, ki določajo obvezno sporočanje podatkov Uradu Republike Slovenije za preprečevanje pranja denarja po 76. členu ZPPDFT-2.
(izvedba videoelektronske identifikacije po zunanjem izvajalcu)
(1) Če zavezanec izvedbo videoelektronske identifikacije naroči pri zunanjem izvajalcu, je odgovoren za to, da zunanji izvajalec izvede vse zaščitne ukrepe tako, da po obsegu in kakovosti ustrezajo določbam tega pravilnika. Končno odgovornost za izpolnjevanje določb tega pravilnika nosi zavezanec, za katerega videoelektronsko identifikacijo izvede zunanji izvajalec.
(2) Zavezanec mora pri sklenitvi naročila pri zunanjem izvajalcu, med trajanjem in pri odpovedi tega naročila ravnati kot dober gospodar s potrebno skrbnostjo ter pisno določiti obveznosti, ki izhajajo iz naročila za izvedbo videoelektronske identifikacije pri zunanjem izvajalcu. Pri tem mora zavezanec za ustrezno ureditev pogodbene obdelave osebnih podatkov upoštevati tudi določbe o obdelavi osebnih podatkov s strani obdelovalcev, kot so opredeljene v 28. členu Splošne uredbe.
(3) Okoliščina, da za zavezanca videoelektronsko identifikacijo izvede zunanji izvajalec, ne sme vplivati na kakovost izvedbe notranjih kontrol ali ovirati izvedbe nadzora s strani nadzornih organov.
(4) Zavezanec, ki izvaja videoelektronsko identifikacijo, je odgovoren za škodo, ki je namenoma ali iz malomarnosti povzročena fizični ali pravni osebi zaradi neizpolnjevanja obveznosti po tem pravilniku.
Ta pravilnik začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. IPP 007-515/2022
Ljubljana, dne 16. maja 2023
EVA 2022-1611-0070