Teksti suurus:

Infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja andmete kontrollimise tehnilised nõuded ja kord

Väljaandja:Rahandusminister
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:28.05.2018
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge:RT I, 25.05.2018, 17

Infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja andmete kontrollimise tehnilised nõuded ja kord

Vastu võetud 23.05.2018 nr 25

Määrus kehtestatakse rahapesu ja terrorismi rahastamise tõkestamise seaduse § 14 lõike 8 ja § 31 lõike 6 alusel.

1. peatükk Üldsätted 

§ 1.  Reguleerimisala

  Määrusega kehtestatakse infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja andmete kontrollimise tehnilised nõuded ja kord, sealhulgas täpsustatakse krediidiasutuse ja finantseerimisasutuse (edaspidi teenusepakkuja) teabe avaldamise nõudeid, infotehnoloogiliste vahendite abil ärisuhte loomisel ja tehingu juhuti tegemisel rakendatavaid protseduurireegleid, nõudeid tehingu osapoolte tahteavaldustega seotud tegevustele, ankeetküsitluse ja ärisuhte loomisel kohustusliku protseduurireeglina läbi viidava reaalajas intervjuu korraldamist, isiku foto töötlemise tingimusi, samuti protseduure sünkroniseeritud heli ja kujutisega kajastava infovoo kvaliteedi ning salvestamise ja salvestise taasesitatavuse nõudeid.

§ 2.  Isikusamasuse tuvastamise ja andmete kontrollimise eeltingimused

 (1) Teenusepakkuja peab infotehnoloogiliste vahendite abil isikusamasuse tuvastamisel ja kontrollimisel kasutama kõrge usaldusväärsuse tasemega tehnilisi vahendeid, mis tagavad tõsikindla isikusamasuse tuvastamise ning võimaldavad ära hoida edastatavate andmete muutmise või väärkasutamise.

 (2) Infotehnoloogiliste vahendite abil isikusamasuse tuvastamisel ja kontrollimisel peab ärisuhet luua ja tehingut juhuti teha sooviv rahapesu ja terrorismi rahastamise tõkestamise seaduse § 31 lõigetes 1 ja 2 nimetatud füüsiline isik või juriidilise isiku seaduslik esindaja kasutama isikut tõendavate dokumentide seaduse alusel välja antud digitaalseks isiku tõendamiseks ette nähtud dokumenti või muud kõrge usaldusväärsuse tasemega e-identimise süsteemi, mis on kantud Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114) artikli 9 alusel Euroopa Liidu Teatajas avaldatud nimekirja, ja infotehnoloogilist vahendit, millel on toimiv kaamera, mikrofon ja digitaalseks tuvastamiseks vajalik riist- ja tarkvara ning piisava kvaliteediga internetiühendus.

 (3) Isikusamasuse tuvastamisel ja kontrollimisel võib teenusepakkuja kasutada sellist infotehnoloogilist vahendit, mis võimaldab biomeetriliste andmete võrdlemist.

 (4) Füüsiline isik või juriidilise isiku seaduslik esindaja tuvastab end teenusepakkuja määratud infosüsteemi sisenedes ning kinnitab ärisuhte loomisel ja tehingu juhuti tegemisel, et on tutvunud teenusepakkuja veebilehel või määratud infosüsteemis teabega infotehnoloogiliste vahendite kasutamise kohta ning nõustub infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja kontrollimise tingimustega.

 (5) Füüsiline isik või juriidilise isiku seaduslik esindaja kinnitab ärisuhte loomisel ja tehingu juhuti tegemisel, et:
 1) ta sooritab määruses nimetatud protseduurid isiklikult, välja arvatud § 10 lõikes 3 ja § 11 lõikes 3 sätestatud juhtudel;
 2) paragrahvis 10 nimetatud ankeetküsitluses ja §-s 11 nimetatud intervjuu käigus tema esitatud andmed on õiged ja täielikud ning ta on teadlik tagajärgedest, mis kaasnevad ärisuhte loomisel väära, eksitava või puuduliku teabe esitamisega;
 3) ta täidab teenusepakkuja kehtestatud ärisuhte loomiseks ja tehingu juhuti tegemiseks vajalikke tingimusi.

 (6) E-residendi digitaalset isikutunnistust kasutav või muud lõikes 2 nimetatud kõrge usaldusväärsuse tasemega e-identimise süsteemi kasutav füüsiline isik või juriidilise isiku seaduslik esindaja on lisaks lõikes 5 nimetatule kohustatud:
 1) nõustuma Eesti õigusnormide kohaldamisega;
 2) näitama kaamera ees teenusepakkujale välisriigi välja antud kehtiva reisidokumendi isikuandmete lehekülge.

§ 3.  Ebaõnnestunud isikusamasuse tuvastamine ja andmete kontrollimine

 (1) Isikusamasuse tuvastamine ja kontrollimine ärisuhte loomisel infotehnoloogiliste vahendite abil loetakse ebaõnnestunuks, kui:
 1) füüsiline isik või juriidilise isiku seaduslik esindaja on tahtlikult esitanud andmeid, mis ei vasta isikut tõendavate dokumentide andmekogusse kantud isiku tuvastamise andmetele või ei lange kokku muude protseduuridega saadud info või andmetega;
 2) isikusamasuse tuvastamise, ankeetküsitluse või intervjuu käigus sessioon aegub või katkeb või sünkroniseeritud heli ja kujutist edastav infovoog ei vasta §-s 5 sätestatud nõuetele;
 3) füüsiline isik või juriidilise isiku seaduslik esindaja ei ole kinnitanud § 2 lõigetes 4–6 sätestatut;
 4) füüsiline isik või juriidilise isiku seaduslik esindaja keeldub § 7 lõigetes 2 ja 3 nimetatud teenusepakkuja juhiste täitmisest;
 5) füüsiline isik või juriidilise isiku seaduslik esindaja kasutab teenusepakkuja loata teise isiku abi;
 6) on tegemist asjaoludega, mis viitavad rahapesu või terrorismi rahastamise kahtlusele.

 (2) Lõike 1 punktis 2 nimetatud sessioon aegub, kui füüsiline isik või juriidilise isiku seaduslik esindaja ei ole 15 minuti jooksul teenusepakkuja infosüsteemis lõpule viinud ühtegi tegevust.

 (3) Lõikes 1 nimetatud asjaolude puhul ei rahulda teenusepakkuja füüsilise isiku või juriidilise isiku seadusliku esindaja taotlust konto avamiseks või tehingu tegemiseks.

 (4) Lõike 1 punktides 1 ja 6 nimetatud asjaolude puhul edastab teenusepakkuja teate rahapesu andmebüroole.

§ 4.  Teabe avaldamine infotehnoloogiliste vahendite kasutamise kohta

  Teenusepakkuja peab oma veebilehel või määratud infosüsteemis avaldama teabe tehniliste võimaluste kohta isikusamasuse tuvastamiseks ja kontrollimiseks infotehnoloogiliste vahendite abil. Avaldatud teabes tuleb välja tuua vähemalt järgmised asjaolud:
 1) viide kohaldatavatele õigusnormidele;
 2) teave, et infotehnoloogiliste vahendite abil isikusamasuse tuvastamine ja kontrollimine toimub rahapesu ja terrorismi rahastamise tõkestamise seaduse §-s 31 sätestatud korras;
 3) hoiatus selle kohta, et isikusamasuse tuvastamine ja kontrollimine ei kohusta teenusepakkujat ärisuhet looma ega teenuste kättesaadavust tagama;
 4) tingimused, mille korral isikusamasuse tuvastamine ja kontrollimine infotehnoloogiliste vahendite abil loetakse ebaõnnestunuks.

2. peatükk Teenusepakkuja infosüsteemile esitatavad tehnilised nõuded 

§ 5.  Sünkroniseeritud heli ja kujutist kajastava infovoo kvaliteedi miinimumnõuded

 (1) Teenusepakkuja infosüsteem peab võimaldama digitaalset isiku tuvastamist ja digitaalset allkirjastamist.

 (2) Teenusepakkuja peab kontrollima enda ja võimaluse piires kliendi infovoo kvaliteeti ja kindlustama, et oleks tagatud selge, salvestatav ja taasesitatav sünkroniseeritud heli ja kujutise edastamine viisil, mis võimaldab üheselt ja usaldusväärselt edastatavast aru saada.

§ 6.  Salvestamise ja salvestise taasesitatavuse nõuded

 (1) Kujutist ja heli sisaldav infovoog salvestatakse viisil, mis võimaldab selle taasesitamist samaväärse kvaliteediga kui algselt toimunud sünkroniseeritud heli ja kujutise edastamine.

 (2) Kujutist ja heli sisaldav infovoog tuleb salvestada koos ajatempliga, kliendi IP-aadressi, tuvastatava isiku, tuvastatava isiku isikukoodiga, isikukoodi puudumisel sünniaeg ja –koht ning elukohariik, kusjuures ajatempel peab olema seotud seda puudutavate andmetega sellisel viisil, et iga hilisem andmemuudatus, selle muudatuse tegija, aeg, viis ja põhjus on tuvastatavad.

 (3) Teenusepakkuja on kohustatud lõikes 2 nimetatud viisil salvestama ankeetküsitlusega kogutud andmed ja järgmised protseduurid:
 1) isikusamasuse tuvastamine;
 2) paragrahvis 3 sätestatud ebaõnnestunud isikusamasuse tuvastamine ja andmete kontrollimine;
 3) reaalajas kohustusliku intervjuu läbiviimine.

 (4) Salvestamine algab isikusamasuse tuvastamisega ja lõpeb, kui lõikes 3 nimetatud andmed on kogutud ja protseduurid läbi viidud.

 (5) Lõikes 3 nimetatud andmeid ja protseduure sisaldavad salvestised peavad olema taasesitatavad viie aasta jooksul pärast ärisuhte lõppemist.

 (6) Teenusepakkujal on õigus §-s 10 nimetatud ankeetküsitlus salvestada kujutist ja heli sisaldava infovoona.

§ 7.  Isiku näo ja dokumendi kadreerimise nõuded

 (1) Infotehnoloogiliste vahendite abil isikusamasuse tuvastamisel ja kontrollimisel peavad isiku pea ja õlad olema nähtaval ja kadreeritud. Nägu peab olema varjudeta ja katmata ning taustast ja muudest objektidest selgelt eristatav ja äratuntav.

 (2) Teenusepakkuja võib anda juhiseid isiku kehaasendi muutmiseks ning isiku ja dokumendi kaadrisse paigutamiseks, et isikusamasust oleks võimalik tuvastada ja kontrollida, sealhulgas vaadelda dokumendile kantud andmeid või kujutisi.

 (3) Teenusepakkujal on õigus nõuda pea- või näokatte ja prillide eemaldamist või tema esitatud isikusamasuse tuvastamise ja kontrollimise tagamisega seotud juhiste täitmist.

3. peatükk Ärisuhte loomisel ja tehingu juhuti tegemisel rakendatavad protseduurireeglid 

§ 8.  Ärisuhte loomisel ja tehingu juhuti tegemisel rakendatavad protseduurireeglid

 (1) Lähtudes teenuse riskidest ja juhindudes rahapesu ja terrorismi rahastamise tõkestamise seaduse § 14 alusel kehtestatud protseduurireeglitest, koostab teenusepakkuja hoolsusmeetmete kohaldamiseks ärisuhte loomisel ja tehingu juhuti tegemisel tegevusjuhendid ning rakendab neid.

 (2) Paragrahvides 2 ja 10 nimetatud isikusamasuse tuvastamise ja kontrollimise eeltingimuste täitmise ning ankeetküsitluse viib läbi teenusepakkuja töötaja, teenusepakkuja koostööpartner või automatiseeritud süsteem.

 (3) Teenusepakkuja on kohustatud kasutusele võtma meetmed, et vältida automatiseeritud süsteemiga manipuleerimise riske.

§ 9.  Kliendi- ja riskiprofiili kindlaksmääramine

 (1) Teenusepakkuja koostab § 8 lõikes 1 nimetatud tegevusjuhendite ja protseduurireeglite alusel ning ankeetküsitluse, intervjuu ja muu kättesaadava informatsiooni ning andmete süstematiseeritud kogumise, analüüsimise ja asjaolude selgitamise põhjal kliendiprofiili ja selle ühe osana riskiprofiili.

 (2) Kliendi- ja riskiprofiili koostab teenusepakkuja kirjalikku taasesitamist võimaldavas vormis.

§ 10.  Ankeetküsitlus

 (1) Ankeetküsitlusega selgitatakse välja füüsilise isiku elukoha aadress, tegevusprofiil, tegevusala, ärisuhte loomise eesmärk ja iseloom, isiku majanduslike või perekondlike huvide seos Eestiga, asjakohasel juhul isiku kasutatavate teenuste prognoositavad mahud, tegelik kasusaaja, samuti see, kas tegemist on riikliku taustaga isikuga, ja muu oluline informatsioon.

 (2) Ankeetküsitlusega selgitatakse välja juriidilise isiku ärinimi, registrikood, asukoht ja tegevuskohad, sealhulgas välisriigis asuvad filiaalid, isiku õiguslik vorm, õigusvõime, seadusjärgsed ja lepingulised esindajad, tegelik(ud) kasusaaja(d) ja asjakohasel juhul, kas tegelik kasusaaja on riikliku taustaga isik, majanduslikud seosed Eesti, Euroopa Majanduspiirkonna lepinguriikide ja kolmandate riikidega, olulisemad äripartnerid, juriidilise isiku tegevusprofiil, põhi- ja kõrvaltegevusalad, ärisuhte loomise eesmärk ja iseloom ning muu oluline informatsioon.

 (3) Teenusepakkuja loal võib füüsiline isik või juriidilise isiku seaduslik esindaja ankeetküsitluse läbiviimisel tekkinud tehniliste probleemide kõrvaldamiseks kasutada teise isiku kaasabi.

 (4) Teenusepakkuja töötaja on kohustatud hindama ankeetküsitluse vastuseid ja kajastama nii hinnangu kui ka selle aluseks olevad asjaolud §-s 9 nimetatud kliendi- ja riskiprofiilis.

 (5) Teenusepakkuja võib eraldiseisvast ankeetküsitlusest loobuda, kui lõigetes 1 ja 2 nimetatud informatsioon kogutakse ning lõikes 4 nimetatud nõuded täidetakse intervjuu käigus. Eraldiseisvast ankeetküsitlusest loobumise tingimused peab teenusepakkuja kehtestama § 12 kohaselt koostatavates teenusepakkuja protseduurireeglites.

§ 11.  Intervjuu

 (1) Kliendiprofiili kindlaksmääramiseks vajaliku informatsiooni ja andmete kogumiseks ja kontrollimiseks viib teenusepakkuja töötaja läbi intervjuu, mille käigus esitab osaliselt struktureeritud küsimusi, lähtudes ankeetküsitluse tulemustest.

 (2) Teenusepakkuja töötaja peab ärisuhte loomisel kohustusliku intervjuu läbi viima reaalajas.

 (3) Teenusepakkuja loal võib füüsiline isik või juriidilise isiku seaduslik esindaja intervjuu ajal tekkinud tehniliste probleemide kõrvaldamiseks kasutada teise isiku kaasabi.

 (4) Teenusepakkuja töötaja on kohustatud hindama intervjuu käigus kliendi reageeringut, saadud info ja andmete usaldusväärsust ja kooskõla muude protseduuridega saadud informatsiooni või andmetega ning kajastama nii hinnangu kui ka selle aluseks olevad asjaolud §-s 9 nimetatud kliendi- ja riskiprofiilis.

§ 12.  Infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja andmete kontrollimise protseduurireeglid

 (1) Teenusepakkuja peab kehtestama infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja andmete kontrollimise protseduurireeglid, mis sisaldavad vähemalt:
 1) tegevusjuhendit isikusamasuse tuvastamise protseduuri läbiviimiseks infotehnoloogiliste vahendite abil, sealhulgas nõudeid isikusamasuse tuvastamiseks ja esitatud andmete kontrollimiseks;
 2) tegevusjuhendit ankeetküsitluse koostamiseks;
 3) tegevusjuhendit teenusepakkujale reaalajas kohustusliku intervjuu küsimuste koostamiseks ja läbiviimiseks;
 4) tehnilisi nõudeid sünkroniseeritud heli ja kujutist kajastava infovoo kvaliteedile ja selle kontrollimisele;
 5) nõudeid esitatud andmete kogumisele ja ajakohastamisele ning andmete ja salvestiste säilitamisele;
 6) meetmeid punktides 1–5 nimetatud tegevusjuhendite täitmise kontrollimiseks.

 (2) Teenusepakkuja töötaja peab andma hinnangu §-des 2, 10 ja 11 nimetatud protseduuride tulemustele ja tegema ettepaneku kliendi suhtes rakendatava ärisuhte jälgimise režiimi kohta. Teenusepakkuja töötaja hinnang on aluseks ärisuhte loomise otsuse tegemisel.

Toomas Tõniste
Rahandusminister

Veiko Tali
Kantsler

/otsingu_soovitused.json