Infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja kontrollimise tehnilised nõuded ja kord

Määrus kehtestatakse rahapesu ja terrorismi rahastamise tõkestamise seaduse § 15 lõike 1² ja § 30 lõike 6 alusel.

1. peatükk Üldsätted 

§ 1.   Reguleerimisala

  Määrusega reguleeritakse krediidiasutuse ja finantseerimisasutuse (edaspidi teenusepakkuja) teabe avaldamise nõudeid, infotehnoloogiliste vahendite abil ärisuhte loomisel ja tehingu tegemisel rakendatavaid protseduurireegleid, nõudeid tehingu osapoolte tahteavaldustega seotud tegevustele, ankeetküsitluste ja ärisuhte loomisel kohustusliku protseduurireeglina läbiviidava reaalajas intervjuu korraldamist, isiku näokujutise töötlemise tingimusi, samuti sooritatud protseduure sünkroniseeritud heli ja kujutisega kajastava infovoo kvaliteedi ning salvestamise ja salvestise taasesitatavuse nõudeid.

§ 2.   Isikusamasuse tuvastamise ja kontrollimise eeltingimused

  (1) Teenusepakkuja peab infotehnoloogiliste vahendite abil isikusamasuse tuvastamisel ja kontrollimisel kasutama kõrge usaldusväärsuse tasemega tehnilisi vahendeid, mis tagavad tõsikindla isikusamasuse tuvastamise ning võimaldavad ära hoida edastatavate andmete muutmise või väärkasutamise.

  (2) Isikusamasuse tuvastamisel ja kontrollimisel peab kontot avada või muud teenust kasutada sooviv füüsiline isik või juriidilise isiku seaduslik esindaja kasutama isikut tõendavate dokumentide seaduse alusel väljaantud digitaalseks isiku tõendamiseks ettenähtud dokumenti ja infotehnoloogilist vahendit, millel on toimiv kaamera, mikrofon ja digitaalseks tuvastamiseks vajalik riist- ja tarkvara ning piisava kvaliteediga internetiühendus.

  (3) Lõikes 2 nimetatud isikusamasuse tuvastamisel ja kontrollimisel võib teenusepakkuja kasutada sellist infotehnoloogilist vahendit, millel on biomeetriliste andmete digitaalseks tuvastamiseks vajalik riist- ja tarkvara.

  (4) Füüsiline isik või juriidilise isiku seaduslik esindaja tuvastab end teenusepakkuja määratud infosüsteemi sisenedes ning kinnitab ärisuhte loomisel ja tehingu juhuti tegemisel, et on tutvunud teenusepakkuja veebilehel või määratud infosüsteemis teabega infotehnoloogiliste vahendite kasutamise kohta ja nõustub infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja kontrollimise tingimustega.

  (5) Füüsiline isik või juriidilise isiku seaduslik esindaja kinnitab ärisuhte loomisel ja tehingu juhuti tegemisel digitaalallkirjaga, et:
  1) ta on nõus läbiviidavate protseduuride käigus isikuandmete töötlemisega ja nende salvestamisega;
  2) ta sooritab käesolevas määruses nimetatud protseduurid isiklikult, välja arvatud § 10 lõikes 3 ja § 11 lõikes 3 sätestatud juhtudel;
  3) paragrahvis 10 nimetatud ankeetküsitluses ja §-s 11 nimetatud intervjuu käigus tema poolt esitatud andmed on õiged ja täielikud ning ta on teadlik tagajärgedest, mis kaasnevad ärisuhte loomisel väära, eksitava või puuduliku teabe esitamisega;
  4) ta täidab teenusepakkuja kehtestatud ärisuhte loomiseks ning tehingu tegemiseks vajalikke tingimusi.

  (6) E-residendi digitaalset isikutunnistust kasutav füüsiline isik või juriidilise isiku seaduslik esindaja on lisaks lõikes 5 nimetatule kohustatud:
  1) nõustuma Eesti õigusnormide kohaldamisega, kinnitades seda digitaalallkirjaga;
  2) näitama kaamera ees teenusepakkujale välisriigi poolt välja antud kehtiva reisidokumendi isikuandmete lehekülge.

§ 3.   Ebaõnnestunud isikusamasuse tuvastamine ja kontrollimine

  (1) Isikusamasuse tuvastamine ja kontrollimine ärisuhte loomisel infotehnoloogiliste vahendite abil loetakse ebaõnnestunuks, kui:
  1) füüsiline isik või juriidilise isiku seaduslik esindaja on tahtlikult esitanud andmeid, mis ei vasta isikut tõendavate dokumentide andmekogusse kantud isiku tuvastamise andmetele või ei lange kokku muude protseduuridega saadud info või andmetega;
  2) isikusamasuse tuvastamise, ankeetküsitluse või intervjuu käigus sessioon aegub või sünkroniseeritud heli ja kujutist edastav infovoog ei vasta §-s 5 esitatud nõuetele;
  3) füüsiline isik või juriidilise isiku seaduslik esindaja ei ole kinnitanud § 2 lõigetes 4–6 sätestatut;
  4) füüsiline isik või juriidilise isiku seaduslik esindaja keeldub §-s 7 nimetatud teenusepakkuja juhiste täitmisest;
  5) füüsiline isik või juriidilise isiku seaduslik esindaja kasutab teenusepakkuja loata teise isiku abi;
  6) on tegemist asjaoludega, mis viitavad rahapesu või terrorismi rahastamise kahtlusele.

  (2) Lõike 1 punktis 2 nimetatud sessioon aegub, kui füüsiline isik või juriidilise isiku seaduslik esindaja ei ole 15 minuti jooksul teenusepakkuja infosüsteemis lõpule viinud ühtegi tegevust.

  (3) Lõike 1 punktides 1–6 nimetatud asjaolude puhul ei rahulda teenusepakkuja füüsilise isiku või juriidilise isiku seadusliku esindaja taotlust konto avamiseks või tehingu tegemiseks.

  (4) Lõike 1 punktides 1 ja 6 nimetatud asjaolude puhul edastab teenusepakkuja teate rahapesu andmebüroole.

§ 4.   Teabe avaldamine infotehnoloogiliste vahendite kasutamise kohta

  Teenusepakkuja peab oma veebilehel või määratud infosüsteemis avaldama teabe tehniliste võimaluste kohta isikusamasuse tuvastamiseks ja kontrollimiseks infotehnoloogiliste vahendite abil. Avaldatud teabes tuleb välja tuua vähemalt järgmised asjaolud:
  1) viide kohaldatavatele õigusnormidele;
  2) teave, et isikule ja teenusepakkujale laienevad infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja kontrollimise korral samasugused õigused ja kohustused kui isikusamasuse tuvastamisel ja kontrollimisel isikuga või tema esindajaga samas kohas viibides rahapesu ja terrorismi rahastamise tõkestamise seaduse § 15 lõike 1 mõistes;
  3) hoiatus selle kohta, et isikusamasuse tuvastamine ja kontrollimine ei kohusta teenusepakkujat ärisuhet looma ega teenuste kättesaadavust tagama;
  4) tingimused, mille korral isikusamasuse tuvastamine ja kontrollimine infotehnoloogiliste vahendite abil loetakse ebaõnnestunuks.

2. peatükk Teenusepakkuja infosüsteemile esitatavad tehnilised nõuded 

§ 5.   Sünkroniseeritud heli ja kujutist kajastava infovoo kvaliteedi miinimumnõuded

  (1) Teenusepakkuja infosüsteem peab võimaldama digitaalset isiku tuvastamist ja digitaalset allkirjastamist.

  (2) Teenusepakkuja peab kontrollima, kas infosüsteem tagab selge, kvaliteetse, salvestatava ja taasesitatava sünkroniseeritud heli ja kujutise edastamise, mis on piisav, et üheselt ja usaldusväärselt edastatavast aru saada.

§ 6.   Salvestamise ja salvestise taasesitatavuse nõuded

  (1) Kujutist ja heli sisaldav infovoog tuleb teenusepakkujal salvestada viisil, mis võimaldab selle taasesitamist samaväärse kvaliteediga kui algselt toimunud sünkroniseeritud heli ja kujutise edastamine.

  (2) Kujutist ja heli sisaldav infovoog tuleb salvestada koos ajatempliga, kliendi IP-aadressi, tuvastatava isiku nime ning tuvastatava isiku isikukoodiga, kusjuures ajatempel peab olema seotud seda puudutavate andmetega sellisel viisil, et iga hilisem andmemuudatus, selle muudatuse tegija, aeg, viis ja põhjus on tuvastatavad.

  (3) Teenusepakkuja on kohustatud lõikes 2 nimetatud viisil salvestama ankeetküsitlusega kogutud andmed ja järgmised protseduurid:
  1) isikusamasuse tuvastamine;
  2) paragrahvi 2 lõigetes 4–6 nimetatud kinnitused ja nõusolekud ning nende andmine;
  3) reaalajas kohustusliku intervjuu läbiviimine.

  (4) Salvestamine algab isikusamasuse tuvastamisega ja lõpeb, kui lõikes 3 nimetatud andmed on kogutud ja protseduurid läbi viidud.

  (5) Lõikes 3 nimetatud andmeid ja protseduure sisaldavad salvestised peavad olema taasesitatavad viie aasta jooksul pärast ärisuhte lõppemist.

  (6) Teenusepakkujal on õigus §-s 10 nimetatud protseduuri salvestada kujutist ja heli sisaldava infovoona.

§ 7.   Isiku näo ja dokumendi kadreerimise nõuded

  (1) Isiku pea ja õlad peavad olema nähtaval ja kadreeritud ning nägu peab olema varjudeta ja katmata ning taustast ja muudest objektidest selgelt eristatav ja äratuntav.

  (2) Teenusepakkuja võib anda juhiseid isiku asendi muutmiseks ning isiku ja dokumendi kaadrisse paigutamiseks, et isikusamasust oleks võimalik tuvastada ja kontrollida, sealhulgas vaadelda dokumendile kantud andmeid või kujutisi.

  (3) Teenusepakkujal on õigus nõuda pea- või näokatte ja prillide eemaldamist või muude teenuspakkuja juhiste täitmist, mille eesmärgiks on isikusamasuse tuvastamise ja kontrollimise tagamine.

3. peatükk Ärisuhte loomisel ja tehingu tegemisel rakendatavad protseduurireeglid 

§ 8.   Ärisuhte loomisel ja tehingu tegemisel rakendatavad protseduurireeglid

  (1) Lähtudes teenuse riskidest ja juhindudes rahandusministri 3. aprilli 2008. a määrusest nr 10 „Nõuded krediidi- ja finantseerimisasutuse poolt kehtestatavatele protseduurireeglitele ning nende rakendamisele ja täitmise kontrollimisele”, koostab ja rakendab teenusepakkuja hoolsusmeetmete kohaldamiseks ärisuhte loomisel ja tehingu tegemisel tegevusjuhendeid.

  (2) Paragrahvides 2 ja 10 ettenähtud protseduure viib läbi teenusepakkuja töötaja või automatiseeritud süsteem.

  (3) Teenusepakkuja on kohustatud vältima automatiseeritud süsteemiga manipuleerimise riske.

§ 9.   Kliendi- ja riskiprofiili kindlaksmääramine

  (1) Paragrahvi 8 lõikes 1 nimetatud tegevusjuhendite ja protseduurireeglite alusel ning ankeetküsitluse, intervjuu ja muu kättesaadava informatsiooni ning andmete süstematiseeritud kogumise, analüüsimise ja asjaolude selgitamise põhjal koostab teenusepakkuja kliendiprofiili ja selle ühe osana riskiprofiili.

  (2) Lõikes 1 nimetatud kliendi- ja riskiprofiili peab teenusepakkuja koostama kirjalikku taasesitamist võimaldavas vormis.

§ 10.   Ankeetküsitlus

  (1) Ankeetküsitlusega selgitatakse välja füüsilise isiku elukoha aadress, tegevusprofiil, tegevusala, ärisuhte loomise eesmärk ja iseloom, isiku majanduslike või perekondlike huvide seos Eestiga, asjakohasel juhul isiku poolt kasutatavate teenuste prognoositavad mahud, tegelik kasusaaja, samuti see, kas tegemist on riikliku taustaga isikuga, ja muu oluline informatsioon.

  (2) Ankeetküsitlusega selgitatakse välja juriidilise isiku ärinimi, registrikood, asukoht ja tegevuskohad, sealhulgas välisriigis asuvad filiaalid, isiku õiguslik vorm, õigusvõime, seadusjärgsed ja lepingulised esindajad, tegelik(ud) kasusaaja(d) ja asjakohasel juhul, kas tegelik kasusaaja on riikliku taustaga isik, majanduslikud seosed Eestiga, Euroopa Majanduspiirkonna lepinguriikidega ja kolmandate riikidega, olulisemad äripartnerid, juriidilise isiku tegevusprofiili, põhi- ja kõrvaltegevusalad, ärisuhte loomise eesmärk ja iseloom ning muu oluline informatsioon.

  (3) Teenusepakkuja loal võib füüsiline isik või juriidilise isiku seaduslik esindaja ankeetküsitluse läbiviimisel kasutada teise isiku kaasabi.

  (4) Teenusepakkuja töötaja on kohustatud hindama ankeetküsitluse vastuseid ja kajastama nii hinnangu kui ka selle aluseks olevad asjaolud §-s 9 nimetatud kliendi- ja riskiprofiilis.

  (5) Teenusepakkuja võib eraldiseisvast ankeetküsitlusest loobuda, kui lõigetes 1, 2 ja 4 nimetatud nõuded täidetakse intervjuu käigus. Eraldiseisvast ankeetküsitlusest loobumist peab teenusepakkuja selgitama § 12 kohaselt koostatavates teenusepakkuja protseduurireeglites.

§ 11.   Intervjuu

  (1) Kliendiprofiili kindlaksmääramiseks vajaliku informatsiooni ja andmete kogumiseks ja kontrollimiseks esitab teenusepakkuja töötaja intervjuu käigus osaliselt struktureeritud küsimusi, lähtudes ankeetküsitluse tulemustest.

  (2) Teenusepakkuja töötaja peab ärisuhte loomisel kohustusliku intervjuu läbi viima reaalajas.

  (3) Teenusepakkuja loal võib füüsiline isik või juriidilise isiku seaduslik esindaja intervjuu ajal kasutada teise isiku kaasabi.

  (4) Teenusepakkuja töötaja on kohustatud hindama intervjuu käigus kliendi reageeringut, saadud info ja andmete usaldusväärsust ja kooskõla muude protseduuridega saadud informatsiooni või andmetega ja kajastama nii hinnangu kui selle aluseks olevad asjaolud §-s 9 nimetatud kliendi- ja riskiprofiilis.

§ 12.   Teenusepakkuja protseduurireeglid

  (1) Teenusepakkuja peab kehtestama infotehnoloogiliste vahendite abil isikusamasuse tuvastamise ja kontrollimise protseduurireeglid, mis sisaldavad vähemalt:
  1) tegevusjuhendit isikusamasuse tuvastamise protseduuri läbiviimiseks infotehnoloogiliste vahendite abil, sealhulgas nõudeid isikusamasuse tuvastamiseks ja esitatud andmete kontrollimiseks;
  2) tegevusjuhendit ankeetküsitluse koostamiseks;
  3) tegevusjuhendit teenusepakkujale reaalajas kohustusliku intervjuu küsimuste koostamiseks ja läbiviimiseks;
  4) tehnilisi nõudeid sünkroniseeritud heli ja kujutist kajastava infovoo kvaliteedile ja selle kontrollimisele;
  5) nõudeid esitatud andmete kogumisele ja ajakohastamisele ning andmete ja salvestiste säilitamisele;
  6) meetmed punktides 1–5 nimetatud tegevusjuhendite täitmise kontrollimise kohta.

  (2) Teenusepakkuja töötaja peab andma hinnangu §-des 2, 10 ja 11 nimetatud protseduuride tulemustele ja tegema ettepaneku kliendi suhtes rakendatava ärisuhte jälgimise režiimi kohta. Teenusepakkuja töötaja hinnang on aluseks ärisuhte loomise otsuse tegemisel.