zákon č. 49/2020 Sb.

Část první: Změna zákona o bankách Současný stav a cíle navržené úpravy:

Podle současného znění ZoB banka nesmí vykonávat jiné podnikatelské činnosti než ty, které má povoleny v licenci, s výjimkou (i) činnosti vykonávané pro jiného, pokud souvisí se zajištěním provozu banky a provozu jí ovládaných jiných bank, spořitelních a úvěrních družstev, obchodníků s cennými papíry, pojišťoven, zajišťoven, finančních institucí a podniků pomocných služeb; (ii) působnosti kontaktního místa veřejné správy, je-li banka držitelem autorizace podle zvláštního zákona; a (iii) činnosti akreditované osoby podle zákona upravujícího činnost akreditovaných osob na finančním trhu, je-li akreditovanou osobou podle takového zákona. Je zřejmé, že ZoB nyní umožňuje bankám vykonávat určité podnikatelské činnosti související s jejich hlavními činnostmi uvedenými v licenci nebo s činnostmi k nim komplementárními, pokud banky splní požadavky příslušné sektorové či produktové regulace (např. požadavek na akreditaci či autorizaci podle příslušného zákona). Rozsah nyní povolených činností bank v ZoB je však formálně relativně úzký a zavdává důvod k možnému vyloučení jakýchkoli činností v souvislosti s elektronickou identifikací podle eIDAS, jejichž obsahem by mohlo být vydávání prostředků pro elektronickou identifikaci, poskytování identifikačních a dalších údajů o klientovi třetím osobám (identifikace) nebo potvrzování identity jejich klienta třetí osobě (autentizace), byť by se věcně mohlo jednat o (nyní přípustné) poskytování bankovních informací nebo jinou součást povolených činností banky, zejména v souvislosti s realizací bankovních obchodů a plateb. Současné znění ZoB také neumožňuje bankám vykonávat činnosti související s elektronickými podpisy, pečetěmi nebo certifikáty (tj. služby vytvářející důvěru a služby s nimi související), ačkoliv jsou komplementární k činnostem v oblasti zabezpečení elektronických dokumentů a elektronické identifikace a velmi úzce na ně navazují. Banky již dnes disponují daty (zejm. identifikačními a dalšími údaji o klientech), která lze efektivně využít nejen k poskytnutí úzce vymezených služeb podle eIDAS (elektronická identifikace a služby vytvářející důvěru), ale lze je využít i k dalším službám v širším rozsahu, založeným na práci s uvedenými daty (se souhlasem klienta a při zachování bezpečnostních standardů a obecně závazných platných předpisů, zejména nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES a zákona č. 110/2019 Sb., o zpracování osobních údajů). Bankovní data, bezpečná a důvěryhodná technická infrastruktura, vyspělé technologie a bezpečnostní standardy tak dnes fakticky dávají bankám možnost poskytovat řadu služeb nad rámec (nařízením eIDAS) úzce vymezeného provádění elektronické identifikace a poskytování služeb vytvářejících důvěru. Takové služby naplňují deklarovaný účel navržené právní úpravy a rozšiřují spektrum služeb pro klienty, ale oprávnění bank k jejich poskytování nelze nyní dovodit jinak než relativně úzce definovaným „poskytováním bankovních informací“ podle § 1 odst. 3 písm. l) ZoB. Rozsah a obsah služby „poskytování bankovních informací“ je však aktuálně nejasný. Zejména proto, že v některých jazykových verzích směrnice Evropského parlamentu a Rady 2013/36/EU o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a

2006/49/ES (dále jen „CRD IV“) naznačuje spíše, že má jít o informace pro účely hodnocení

kreditního rizika klientů (analogie poskytování informací pro účely úvěrových registrů), nežli o obecné informace o účtech klientů apod. Navržená úprava tak nemá nahrazovat úpravu „poskytování bankovních informací“ podle CRD IV, ale úmyslně vedle této směrnicové úpravy doplňuje rozsah specifických činností českých bank při poskytování identifikačních služeb (které by bez poskytování bankovních informací nebyly úplné). Ačkoli obsah poskytovaných informací se může fakticky překrývat, účel každého ustanovení (poskytování bankovních informací podle § 1 odst. 3 písm. l) ZoB a poskytování identifikačních služeb podle nového § 1 odst. 4 ZoB) je zcela jiný. Poskytování bankovních informací v rámci identifikačních služeb je jejich nezbytnou složkou, ale nelze jej směšovat s „poskytováním bankovních informací“ podle CRD IV, které může být vnímáno jen úzce jako poskytování informací pro účely kreditního rizika – viz výše. Poskytování identifikačních služeb s sebou samozřejmě nese pro banku určitá dodatečná operační rizika. Navrhovanou úpravou nejsou nijak dotčeny povinnosti bank tato rizika identifikovat, hodnotit, řídit a omezovat podle CRD IV a souvisejících předpisů (zejm. vyhláška č. 163/2014 Sb., o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry, ve znění pozdějších předpisů, a nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013, o obezřetnostních požadavcích na úvěrové instituce a investiční podniky a o změně nařízení (EU) č. 648/2012). V souvislosti s novým oprávněním v podobě poskytování identifikačních služeb navrhovaná úprava upravuje specifické otázky jejich poskytování v kontextu ZoEI, jakož i zakotvuje oprávnění bank přistupovat k údajům vedeným v informačních systémech veřejné správy, včetně základních registrů – viz níže.

Dopady navržené úpravy na postavení České národní banky jako orgánu dohledu: Navržená úprava nezakládá České národní bance („ČNB“) žádnou novou oblast dohledu ani

žádnou novou specifickou dohledovou agendu. Banka při poskytování identifikačních služeb (jak jsou vymezeny níže) bude dle okolností plnit podmínky a povinnosti stanovené zejména: (a) ZoEI (v roli kvalifikovaného správce kvalifikovaného systému elektronické identifikace)

– dohled nad povinnostmi banky jako kvalifikovaného správce (akreditované osoby) podle ZoEI vykonává ministerstvo vnitra (§ 19 odst. 1 písm. c) ZoEI); (b) ZoAML (v roli vydavatele prostředku pro elektronickou identifikaci mimo kvalifikovaný systém elektronické identifikace a mimo rámec národního identitního prostoru) – dohled nad povinnostmi banky jako povinné osoby podle ZoAML vykonává Finanční analytický úřad a Česká národní banka (§ 35 odst. 1 věta první a písm. a) tohoto odstavce); a (c) eIDAS (v roli poskytovatele služeb vytvářejících důvěru) – dohled nad povinnostmi banky jako poskytovatele služeb vytvářejících důvěru podle eIDAS a prováděcího zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů vykonává ministerstvo vnitra (§ 13 odst. 1 citovaného zákona). V souvislosti se změnou ZoAML se bance nestanoví žádné nové specifické povinnosti v této oblasti – viz níže. Při poskytování identifikačních služeb budou bankám vznikat určitá dodatečná operační rizika, jak je uvedeno výše (např. riziko zneužití identity, riziko úniku dat obecně, riziko poskytnutí nesprávných dat nebo riziko technické nedostupnosti služby). Navrhovanou úpravou nejsou nijak dotčeny povinnosti bank tato rizika identifikovat, hodnotit, řídit a omezovat podle CRD IV a souvisejících předpisů. ČNB již nyní v rámci svého současného rozsahu dohledu podle zákona č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů dohlíží mj. na řízení rizik bankami, včetně různorodých operačních rizik. Navržená úprava by tak neměla vyžadovat organizační změny ČNB, vynaložení podstatných dodatečných finančních prostředků na výkon dohledu, ani potřebu podstatných dodatečných lidských zdrojů ze strany ČNB.

K § 1 odst. 4 ZoB:

Aby bylo dosaženo cíle navrhované úpravy, navrhuje se doplnit § 1 odst. 4 ZoB tak, aby banky mohly vykonávat podnikatelskou činnost spočívající v (i) poskytování elektronické identifikace a autentizace; (ii) poskytování služeb vytvářejících důvěru; a (iii) poskytování služeb souvisejících s elektronickou identifikací, autentizací a se službami vytvářejícími důvěru (dále

jen „identifikační služby“).

Banky by tak měly mít možnost vykonávat následující podnikatelské činnosti: (a) úzce vymezené provádění elektronické identifikace osob a vydávání prostředků pro elektronickou identifikaci (tj. vlastní poskytování tzv. elektronické identity v roli kvalifikovaného správce podle ZoEI nebo jiného poskytovatele elektronické identity podle eIDAS); (b) úzce vymezené provádění autentizace osob (tj. potvrzení elektronické identifikace fyzické či právnické osoby nebo původu a integrity dat v elektronické podobě, jak je vymezuje eIDAS);

(c) úzce vymezené poskytování služeb vytvářejících důvěru (tj. vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a služeb souvisejících s certifikáty, jak jsou vymezeny v eIDAS); a (d) činnosti a služby, které souvisí s prováděním elektronické identifikace, autentizace a se službami vytvářejícími důvěru (vždy při dodržení bankovního tajemství, tedy za podmínky výslovného souhlasu klienta s konkrétním poskytnutím či potvrzením konkrétní informace, a podmínek ochrany osobních údajů), tj. zejména (i) poskytování nebo potvrzování osobních identifikačních údajů klienta

(např. poskytnutí či potvrzení informace o bydlišti klienta);

(ii) poskytování nebo potvrzování informace o klientovi související s jeho osobními

identifikačními údaji (např. potvrzení věku osoby pro účely loterijních společností);

(iii) poskytování nebo potvrzování informace o bankovních obchodech klienta

(např. poskytnutí či potvrzení informace, že osoba má v bance vedený účet); a

(iv) vytváření a uchování elektronických dokumentů (jak jsou definovány v eIDAS)

využívající elektronickou identifikaci anebo související se službami vytvářejícími důvěru (tj. služby umožňující „práci“ s bankovními daty v kombinaci s elektronickou identifikací a službami vytvářejícími důvěru a dodávající klientům bank přidanou hodnotu, jako např. služby spočívající v uzavírání elektronických smluv s využitím elektronické identifikace nebo s využitím elektronického podpisu, nebo uchování takových smluv pro klienta v elektronických úložištích banky apod.); v rámci těchto služeb se nepředpokládá vytváření nového (předem vnitřními procesy banky nebo třetí strany využívající identifikačních služeb bank neschváleného) obsahu elektronických dokumentů, zejména se nepředpokládá, že by banky poskytovaly právní služby.

Činnosti uvedené v písm. (d) výše nejsou přímo zakotveny jako specifické služby podle eIDAS, resp. nejde o tam definované relativně úzce vymezené služby. Obsah těchto služeb ale věcně přímo souvisí se službami podle eIDAS (souvislost je dána fakticky) a pro dosažení cíle navržené úpravy je vhodné, aby banky takové činnosti mohly vykonávat. Z obecné úpravy bankovního tajemství v ZoB plyne, že informace pro účely poskytování identifikačních služeb mohou banky poskytnout třetím osobám (např. i poskytovateli identifikačních služeb – viz dále) pouze se souhlasem svého klienta a v rámci takového souhlasu. Proto není třeba tuto oblast specificky upravovat pro účely navržených nových povolených činností bank. Stejně jako v jiných případech povolených činností banky (§ 1 odst. 4 ZoB) by podmínkou výkonu každé identifikační služby bylo buď splnění případných formálních podmínek (např. povolení, registrace či akreditace) anebo splnění materiálních a technických podmínek (např. na technické zařízení a systémové programové vybavení či technické a organizační postupy), které plynou z příslušné právní úpravy poskytování takové služby. Výslovné uvedení této podmínky vyhovuje dosavadnímu znění pozměňovaného ustanovení. Banka bude muset především splňovat veškeré podmínky stanovené celoevropsky přímo použitelným nařízením eIDAS a jeho prováděcími předpisy.Ty obsahují zejména velice detailní standardizovanou technickou specifikaci podoby služeb elektronické identity. Banka bude mít i veškeré povinnosti vyplývající z českých vnitrostátních právních předpisůa jejich případných upřesnění příslušnými orgány veřejné moci.Druhá část poslední věty pro zjednodušení používá obecný pojem oprávnění, který zahrnuje různé formy povolení, ohlášení, licencí, akreditací, koncesí či registrací. Pobočky zahraničních bank z členských států v režimu jednotné licence mohou vykonávat bankovní činnosti vzájemně uznávané podle CRD IV vždy v souladu s jejich domácí bankovní licencí. Jde o bankovní služby podle § 5d ZoB. Pobočky zahraničních bank z jiných než členských států mohou vykonávat bankovní činnosti v rozsahu licence udělené jim ČNB (viz § 1 odst. 6 písm. b) ZoB). Jiné činnosti (např. poskytování identifikačních služeb) pak může pobočka zahraniční banky vykonávat podle obecných pravidel pro přeshraniční poskytování služeb či poskytování služeb prostřednictvím poboček (právo usazení) v rámci Evropské unie nebo pravidel pro podnikání zahraničních osob obecně, případně specifickými pravidly, pokud v dané oblasti existují (v tomto případě typicky pravidly eIDAS). Vzhledem k výše uvedenému není třeba upravovat znění ZoB a zakotvovat specifické oprávnění poboček zahraničních bank poskytovat identifikační služby.

K § 38aa ZoB: K odst. 1:

S ohledem na zahraniční zkušenosti (např. Švédsko) a s ohledem na vhodné synergické efekty vykonávaných nových činností pro občany a korporace (zejm. dostupnost identifikačních služeb více bank a poboček zahraničních bank na jednom místě, jednotnost systému a nástrojů identifikace a zajištění jednotné vysoké úrovně bezpečnostních standardů nakládání s informacemi) se navrhuje umožnit bankám a pobočkám zahraničních bank, aby v této oblasti spolupracovaly s právnickou osobou poskytující identifikační služby občanům a korporacím

(dále jen „poskytovatel identifikačních služeb“). Poskytovatel identifikačních služeb může

poskytování těchto služeb občanům a korporacím sloučit „pod jednu střechu“ a dosáhnout uvedených vhodných synergických efektů, kterých by jednotlivé banky a pobočky zahraničních bank samostatně dosáhnout nemohly. Majetková účast v poskytovateli identifikačních služeb by však měla být dovolena pouze bankám, příp. pobočkám zahraničních bank, pro zachování jejich kontroly nad kvalitou služeb a bezpečností nakládání s informacemi. Jde o úpravu analogickou k oprávnění banky a pobočky zahraniční banky podle § 38a ZoB sdílet informace o bankovním spojení, identifikačních údajích o majitelích účtů a záležitostech, které vypovídají o bonitě a důvěryhodnosti klientů prostřednictvím třetí osoby (tzv. úvěrové

Zejména prováděcí nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu. Zejména ZoEI, ale i zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů. Například ministerstvem vnitra vydaný Dokument konkretizující minimální požadavky na kvalifikované systémy elektronické identifikace a na prostředky pro elektronickou identifikaci v rámci nich vydávané a používané [DKP IDP], dostupný z: https://www.mvcr.cz/clanek/ministerstvo-vnitra-zverejnuje-dokument-konkretizujici- minimalni-pozadavky-na-kvalifikovane-eid-systemy-a-eid-prostredky.aspx.

registry), ve které mají majetkovou účast pouze banky. Návrh zákona úmyslně nestanoví, jakou formou by spolupráce mezi bankami nebo pobočkami zahraničních bank a poskytovatelem identifikačních služeb měla probíhat, neboť jeho cílem je pouze vytvoření právního prostředí, která by takovou spolupráci umožňovala. Lze si představit zejména spolupráci formou vzájemných dodávek (subdodávek) jednotlivých prvků identifikačních služeb mezi bankami nebo pobočkami zahraničních bank a poskytovateli identifikačních služeb. Nastavení konkrétních právních vztahů mezi bankami nebo pobočkami zahraničních bank a poskytovatelem identifikačních služeb je soukromoprávní záležitostí a není třeba jej v ZoB specificky upravovat. Stejně tak návrh nestanoví, že by spolupráce mezi bankami nebo pobočkami zahraničních bank a poskytovatelem identifikačních služeb byla jakýmkoli způsobem povinná. Je tak zachována možnost nezávislého tržního působení jednotlivých bank a poboček zahraničních bank, kdy každá banka a pobočka zahraniční banky má možnost nabízet a poskytovat identifikační a související služby samostatně přímo jejich koncovým zákazníkům, bez využití služeb či jiné formy spolupráce s poskytovatelem identifikačních služeb. V každém případě bude muset poskytovatel identifikačních služeb (a banky, resp. pobočky zahraničních bank) splnit podmínky a plnit povinnosti při poskytování identifikačních služeb, jak plynou z právních předpisů (viz výše). Jak je uvedeno výše, nedotčena zůstává povinnost bank a poboček zahraničních bank nakládat s informacemi podléhajícími bankovnímu tajemství způsobem stanoveným právními předpisy. Informace podléhající bankovnímu tajemství tak budou moci banky a pobočky zahraničních bank v rámci poskytování identifikačních služeb předávat a nakládat s nimi pouze na základě souhlasu klienta banky a v jeho rozsahu (viz výše), a to včetně jejich předávání a nakládání s nimi ve vztahu k poskytovateli identifikačních služeb. Ze stejného důvodu se nenavrhuje ani specifické omezení případných dalších aktivit poskytovatele identifikačních služeb v oblasti elektronické identifikace a služeb vytvářejících důvěru na pouhou podporu bank nebo poboček zahraničních bank, ale rozsah aktivit se ponechává bez podrobné úpravy v ZoB. Návrh neomezuje ani eventuální možnost paralelního založení a fungování více poskytovatelů identifikačních služeb. Navrhuje se výslovně umožnit bankám (jako povolenou činnost) a pobočkám zahraničních bank nabízet a zprostředkovávat služby poskytovatele identifikačních služeb třetím osobám, včetně uzavírání smluv o poskytování identifikačních služeb jménem a na účet poskytovatele identifikačních služeb. Důvodem je opět dosahování vhodných synergických efektů činností bank, resp. poboček zahraničních bank a poskytovatele identifikačních služeb při poskytování identifikačních služeb občanům a korporacím (zejm. banky mají již existující distribuční kanály a prodejní sítě a není zde věcný důvod, aby si poskytovatel identifikačních služeb budoval vlastní). Zároveň bude tímto podpořena hospodářská soutěž na úrovni jednotlivých bank a poboček zahraničních bank, když příslušné identifikační služby nemusí být nutně nabízeny za jednotných podmínek jedním poskytovatelem identifikačních služeb, ale mohou být předmětem soutěže mezi bankami a pobočkami zahraničních bank i v případě, kdy dochází ke spolupráci s jedním poskytovatelem identifikačních služeb.

K odst. 2 a 3:

Jak již bylo uvedeno v části A. Obecná část výše, ZoEI upravuje podmínky, za nichž je možné prokázání totožnosti s využitím elektronické identifikace v případech, kdy je totožnost prokazována na základě požadavku právního předpisu nebo při výkonu působnosti. Elektronická identifikace by měla fyzickým a právnickým osobám umožnit snadnější a komfortnější přístup ke službám veřejné správy a rovněž k regulovaným službám soukromého sektoru, přičemž tento přístup by se měl realizovat za použití jak státních prostředků pro elektronickou identifikaci (např. pomocí elektronických občanských průkazů), tak komerčních prostředků pro elektronickou identifikaci (např. pomocí prostředků pro přístup do internetového bankovnictví). Nicméně, jak je uvedeno v části A. Obecná část výše, účel a smysl elektronické identifikace je v současné době naplňován pouze ve velice omezeném rozsahu, a to mimo jiné v důsledku skutečnosti, že podmínky upravené ZoEI, zejména povinnost zpřístupnit kvalifikovaný systém elektronické identifikace dle § 3 ZoEI všem potenciálním příjemcům elektronické identifikace (kvalifikovaným poskytovatelům) prostřednictvím NIA, významně ztěžují řízení rizik na straně bank. To platí především pro neomezené zpřístupnění kvalifikovaného systému elektronické identifikace těm kvalifikovaným poskytovatelům, kteří jsou soukromoprávními subjekty a jejichž množina je v současné době obtížně určitelná. Z tohoto důvodů se navrhuje úprava, která by měla současný stav změnit a umožnit participaci bank, resp. poboček zahraničních bank jakožto komerčních subjektů na elektronické identifikaci v režimu ZoEI – a tím i naplnit účel a cíle elektronické identifikace. Konkrétně se v odstavci 2 navrhuje úprava, kterou bude přístup ke službám bank a poboček zahraničních bank jakožto komerčních kvalifikovaných správců prostřednictvím NIA omezen pouze na státní orgány a územní samosprávné celky v postavení kvalifikovaných poskytovatelů. Navrhovaná úprava tak jinými slovy zakotvuje situaci, kdy státní orgány a územní samosprávné celky budou moci zdarma a bez omezení skrze NIA využít prostředky bank pro elektronickou identifikaci dostupné v NIA. Ostatní kvalifikovaní poskytovatelé v NIA, kteří nejsou státním orgánem nebo územním samosprávným celkem, nebudou jakkoli dotčeni v možnosti i nadále využívat veškeré dostupné prostředky pro elektronickou identifikaci, zejména elektronický občanský průkaz. Jak uvádí důvodová zpráva k ZoEI, „zvláštní právní předpisy mohou upravovat také vlastní způsoby prokazování totožnosti na dálku.“ Navrhovaná úprava v odstavci 3 poté představuje tento „vlastní“ způsob prokazování totožnosti na dálku, když výslovně stanoví, že prostředek pro elektronickou identifikaci vydaný bankou, pobočkou zahraniční banky nebo poskytovatelem identifikačních služeb lze využít pro účely prokázání totožnosti, které vyžaduje právní předpis nebo výkon působnosti, a to i v případě, že takovýto prostředek pro elektronickou identifikaci není vydáván v rámci kvalifikovaného systému podle ZoEI. Podmínkou nicméně je, aby takový prostředek pro elektronickou identifikaci splňoval technické specifikace, normy a postupy pro alespoň značnou úroveň záruky dle eIDAS a prováděcího nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na

vnitřním trhu (dále jen „Prováděcí nařízení“).

Dostatečná důvěryhodnost prováděné elektronické identifikace je zajištěna tím, že příslušný prostředek pro elektronickou identifikaci bude vždy muset naplňovat minimální technické specifikace, normy a postupy alespoň pro značnou úroveň záruky, stanovené Prováděcím nařízením, a tato skutečnost musí být potvrzena nezávislou třetí osobou. Samotný proces akreditace podle ZoEI by pak již neposkytoval dodatečné záruky o důvěryhodnosti prováděné

Viz zejména čl. 8 odst. 2 písm. b) eIDAS a kapitola 2.1.2. Přílohy Prováděcího nařízení.

elektronické identifikace, neboť výkon činnosti banky, resp. zahraniční banky je vždy podmíněn veřejnoprávním povolením (bankovní licencí) a požadavek dalšího veřejnoprávního povolení dle ZoEI by tak byl redundantní. Právní úpravou navrhovanou v odstavci 3 je zajištěno, že kvalifikovaným poskytovatelům bude zachována možnost využít prostředky bank nebo poboček zahraničních bank pro elektronickou identifikaci v případech, kde je identifikace vyžadována právním předpisem, i na základě přímé dohody a připojení k systému elektronické identifikace banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb. Možnost vyjednávat s kvalifikovanými poskytovateli o podmínkách připojení ke kvalifikovanému systému umožní bankám a pobočkám zahraničních bank řízení rizik, které současný stav, řídící se pouze obecnými pravidly dle ZoEI, neumožňuje.

K § 38ab a § 38ac ZoB:

ZZR upravuje obecně podmínky, za kterých mohou vybrané subjekty přistupovat k údajům vedeným v základních registrech nebo agendových informačních systémech. Zákonem č. 192/2016 Sb., kterým se mění zákon č. 111/2009 Sb., o základních registrech, ve znění

pozdějších předpisů, a některé další zákony (dále jen „Novela ZZR“), došlo k úpravě ZZR

a rozšíření množiny těchto subjektů, když bylo odstraněno do té doby platné obecné vyloučení soukromoprávních subjektů z této možnosti. ZZR tak v současnosti umožňuje, aby k údajům v základních registrech nebo agendových informačních systémech přistupovali také tzv. soukromoprávní uživatelé údajů. Soukromoprávním uživatelem údajů je podle § 2 písm. d) ZZR podnikající fyzická nebo právnická osoba, která není orgánem veřejné moci a je podle jiného právního předpisu oprávněna využívat údaje ze základních registrů nebo z agendového informačního systému. Nezbytnou podmínkou pro přístup k údajům v základních registrech nebo agendových informačních systémech ze strany soukromoprávních subjektů je tak existence potřebného zmocnění v právním předpise. Z důvodové zprávy k Novele ZZR dále vyplývá, že smyslem přístupu soukromoprávních subjektů k údajům v základních registrech nebo agendových informačních systémech je umožnění plnění úkolů/povinností, které těmto subjektům vyplývají ze zvláštních právních předpisů. Důvodová zpráva k Novele ZZR zároveň výslovně zmiňuje, že do budoucna lze očekávat umožnění přístupu např. pojišťovnám nebo bankám. Pojišťovnám toto oprávnění bylo již legislativně založeno,v případě bank však tato úprava doposud chybí, a to i přesto, že banky jsou povinny plnit mnohé právní povinnosti (zejm. podle ZoAML, ale též dle ZoB), které předpokládají a jejichž splnění je závislé na využití správných a aktuálních údajů o klientech.

Viz důvodová zpráva k Novele ZZR: „Platné znění zákona o základních registrech nepočítá, co se týče využívání údajů ze základních registrů či agendových informačních systémů, s jinými subjekty než s orgány veřejné moci. Taková zákonná dikce limituje přístup dalším subjektům, které de lege lata mohou nebo by mohly de lege ferenda tyto údaje také využívat. (De lege lata jsou takovými subjekty poskytovatelé zdravotních služeb podle § 47b zákona č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů. De lege ferenda by se mohlo jednat např. o pojišťovny, banky, atd.) Využívání údajů ze základních registrů či agendových informačních systémů je tak omezeno na orgány veřejné moci, a to brání některým soukromoprávním subjektům v plnění úkolů vyplývajících ze zvláštních právních předpisů.“ Viz § 129 zákona č. 277/2009 Sb., o pojišťovnictví, ve znění zákona č. 304/2016 Sb., kterým se mění zákon č. 277/2009 Sb., o pojišťovnictví, ve znění pozdějších předpisů, a další související zákony.

S ohledem na výše uvedené se proto navrhuje založit bance, pobočce zahraniční banky a poskytovateli identifikačních služeb oprávnění v dále stanovených případech a dále stanoveným způsobem přistupovat k vybraným údajům v základních registrech a agendových informačních systémech (souhrnně tzv. informačních systémech veřejné správy). Předkládaná úprava společně s platným zněním ZZR umožní bance, pobočce zahraniční banky a poskytovateli identifikačních služeb přístup k těmto údajů, aniž by byla závislá na dalších legislativních změnách připravovaných ve vztahu k ZZR. Navrhované oprávnění poté směřuje především k lepší možnosti bank, poboček zahraničních bank a případně také poskytovatele identifikačních služeb plnit povinnosti dle ZoAML, a celkově účinnějšího boje proti legalizaci výnosů z trestné činnosti a financování terorismu, při němž hrají banky a pobočky zahraničních bank stěžejní úlohu ze své pozice základní instituce finančního systému. Navrhované oprávnění zároveň dále sníží případné riziko zneužití prostředků pro elektronickou identifikaci banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb ze strany neoprávněné osoby, ale díky možnosti porovnat on-line shodu podoby fyzicky přítomné osoby sníží také četnost neoprávněného „podsunutí“ cizí identity při návštěvě pobočky. Návrh konečně nijak nerozšiřuje možnost přístupu k údajům v základních registrech nebo agendových informačních systémech dalším osobám. Důvodem je, že banky jsou systémově významné instituce podléhající přísné regulaci, sofistikovaně řídí rizika a zachovávají nejvyšší míru bezpečnostních standardů a opatření při nakládání s informacemi (zejména bankovního tajemství).

K § 38ab ZoB:

S ohledem na výše uvedené se v prvé řadě stanoví způsob, kterým banka, pobočka zahraniční banky a poskytovatel identifikačních služeb mohou přistupovat k údajům vedeným v informačních systémech veřejné správy. V odstavci 1 se s ohledem na preference ministerstva vnitra konkrétně zakládá bance, pobočce zahraniční banky a poskytovateli identifikačních služeb oprávnění zřídit a spravovat (agendový) informační systém, který umožní přístup banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb do základních registrů po technické stránce. Jiné možnosti technického zajištění přístupu k údajům v základních registrech a agendových informačních systémech (např. prostřednictvím informačního systému kontaktních míst veřejné správy – CzechPOINT – jako v případě pojišťoven) nejsou připuštěny. Navrhovaná úprava záměrně výslovně nespecifikuje konkrétní technické podmínky, které bude bankovní informační systém muset splňovat, aby jej bylo možné připojit k informačním systémům veřejné správy a realizovat příslušnou výměnu údajů. Tyto technické podmínky určí příslušný orgán veřejné správy odpovědný za zprostředkování přístupu k údajům vedeným v základních registrech, tj. Správa základních registrů (§ 6 a násl. ZZR). Závěrem odstavec 1 pro vyloučení případných pochybností výslovně stanoví, že banka, pobočka zahraniční banky a poskytovatel identifikačních služeb jsou oprávněni příslušný informační systém využít také za účelem přístupu k údajům vedeným v těch informačních systémech veřejné správy, které jsou tzv. základními registry (§ 3 ZZR). Jelikož současná právní úprava stanoví jako podmínku pro přístup k údajům vedeným v základních registrech to, aby tak bylo činěno při výkonu agendy (§ 2 písm. e) ZZR), zakládá odstavec 2 oprávnění banky, pobočky zahraniční banky a poskytovatele identifikačních služeb ministerstvu vnitra oznámit vykonávání takové agendy. Při oznámení vykonávání agendy a dalších aktivitách postupuje banka, pobočka zahraniční banky a poskytovatel identifikačních služeb, resp. ministerstvo vnitra podle § 55 až 57 ZZR, obdobně jako by toto oznámení učinil příslušný orgán veřejné moci. Při ohlášení výkonu se přitom bude muset jednat o agendu již zapsanou v registru práv a povinností, a zároveň o agendu, která je z hlediska svého obsahu v souladu s právy a povinnostmi banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb podle ZoB nebo jiných právních předpisů (např. ZoAML, vůči němuž je v registru práv a povinností zapsána agenda č. A386 „Opatření proti legalizaci výnosů z trestné činnosti“). Oznámí-li banka, pobočka zahraniční banky nebo poskytovatel identifikačních služeb agendu splňující podmínky podle odstavce 2, je ministerstvo vnitra povinno banku, pobočku zahraniční banky nebo poskytovatele identifikačních služeb pro výkon příslušné agendy registrovat ve lhůtě do 30 dnů ode dne obdržení oznámení.

K § 38ac ZoB:

Z hlediska rozsahu přístupu banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb k údajům v informačních systémech veřejné správy – tj. základních registrech nebo vybraných agendových informačních systémech – se s ohledem na praktické zkušenosti bank (resp. poboček zahraničních bank), a to zejména v souvislosti s řízením rizik v oblasti legalizace výnosů z trestné činnosti, a po diskuzích s Finančním analytickým úřadem, navrhuje tento přístup umožnit v rozsahu zahrnujícím údaje identifikované jako podporující efektivní plnění povinností v oblasti identifikace a kontroly klienta podle ZoAML, a dále údaje umožňující bránit neoprávněným dispozicím s prostředky klientů, jako je údaj o datu úmrtí, popř. údaj o omezení způsobilosti k právnímu jednání. S ohledem na výše uvedený způsob vymezení rozsahu údajů se tak v odstavci 1 navrhuje bance, pobočce zahraniční banky nebo poskytovateli identifikačních služeb umožnit přistupovat k těmto údajům, jsou-li vedeny v základním registru obyvatel, informačním systému evidence obyvatel, informačním systému cizinců, agendovém informačním systému evidence občanských průkazů a agendovém informačním systému evidence cestovních dokladů. Odstavce 2 až 6 poté upravují konkrétní rozsah údajů, k nimž se v rámci jednotlivých základních registrů, resp. agendových informačních systémů, navrhuje bance, pobočce zahraniční banky a poskytovateli identifikačních služeb v souvislosti s plněním jejich právních povinností umožnit přistupovat. Navrhovaná úprava dále v odstavci 7 předpokládá, že údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z informačního systému evidence obyvatel, informačního systému cizinců, agendového informačního systému evidence občanských průkazů nebo agendového informačního systému evidence cestovních dokladů, pouze pokud jsou ve tvaru předcházejícím současný stav. Pokud bude vyžadován aktuální údaj, který je jako referenční údaj zapsán do základního registru obyvatel, poskytne se ze základního registru obyvatel. V odstavci 8 se konečně výslovně stanoví, že banka, pobočka zahraniční banky a poskytovatel identifikačních služeb jsou oprávněni přistupovat toliko k takovým údajům, které jsou v dané věci nezbytné.

Část druhá: Změna zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu

Viz https://rpp-ais.egon.gov.cz/gen/agendy-detail/.

ZoAML aktuálně předpokládá v § 11 odst. 8 ZoAML oprávnění povinné osoby provést identifikaci klienta bez jeho fyzické přítomnosti (vzdáleně), je-li totožnost klienta ověřena s využitím služeb kvalifikovaného poskytovatele služeb vytvářejících důvěru (viz § 11 odst. 8 písm. b) ZoAML). Tato možnost má však omezený praktický význam, jelikož poskytovatelé služeb vytvářejících důvěru dle čl. 4 bodu 16 eIDAS zpravidla pouze uchovávají údaje o identifikaci klienta (pokud vůbec) a mezi jejich služby nepatří potvrzování identity pro účely autentizace a autorizace. Vyjma této možnosti identifikace klienta bez jeho fyzické přítomnosti neobsahuje ZoAML jiné obecné oprávnění povinné osoby provést identifikaci klienta vzdáleně bez ohledu na povahu obchodu mezi povinnou osobou a klientem.ZoAML nepředpokládá možnost identifikace klienta s využitím služeb kvalifikovaného správce kvalifikovaného systému elektronické identifikace ve smyslu ZoEI. ZoAML nebyl při přijetí ZoEI novelizován, a to i přes původně navrhované obecné ustanovení ZoEI o možnosti nahrazení fyzického ztotožnění elektronickou identifikací, které však bylo z finálního textu ZoEI vypuštěno. Absentující úprava v ZoAML aktuálně vytváří stav právní nejistoty, když na jedné straně ZoEI obecně umožňuje využití elektronické identifikace pro účely prokázání totožnosti jednající osoby v případech, kdy je prokázání totožnosti vyžadováno právním předpisem (jako je tomu typicky právě dle ZoAML), avšak ZoAML ověření totožnosti prostřednictvím kvalifikovaného správce kvalifikovaného systému elektronické identifikace podle ZoEI neumožňuje. Současně pak aktuální znění ZoAML plně nevyužívá možností, které poskytuje směrnice Evropského parlamentu a Rady (EU) 2018/843 ze dne 30. května 2018, kterou se mění směrnice (EU) 2015/849 o předcházení využívání finančního systému k praní peněz nebo financování

terorismu a směrnice 2009/138/ES a 2013/36/EU (dále jen „AMLD5“). Dle čl. 13 odst. 1

písm. a) směrnice (EU) 2015/849 o předcházení využívání finančního systému k praní peněz nebo financování terorismu a směrnice 2009/138/ES a 2013/36/EU ve znění AMLD5 je dovoleno zjištění a ověření totožnosti klienta na základě jakéhokoli „bezpečného postupu identifikace na dálku nebo elektronické identifikace, regulovaného, uznaného, schváleného nebo přijatého příslušnými vnitrostátními orgány“. Právní úprava ZoAML je tak zastaralá a významně restriktivní, aniž by pro to byl objektivní důvod. Cílem navrhované úpravy ZoAML je proto rozšířit způsoby vzdálené identifikace podle ZoAML a podpořit (v sousedních státech již částečně dosažený) pokrok v digitalizaci finančního sektoru. Nově navrhované ustanovení § 11a po vzoru současného § 11 odst. 8 ZoAML výslovně upravuje možnost identifikace klienta povinnou osobou bez jeho fyzické přítomnosti. Konkrétně jsou v navrhovaném § 11a odst. 1 ZoAML upraveny čtyři možné postupy identifikace s použitím prostředků pro elektronickou identifikaci v písm. a) až d). V odst. 2 až 5 jsou pak navrhována dodatečná omezení a další opatření zajišťující důvěryhodnost a ověřitelnost postupů elektronické identifikace. V kontextu úpravy ZoEI potom platí, že tato dodatečná omezení a opatření pro elektronickou identifikaci obsažená v ZoAML představují zvláštní oborovou úpravu předvídanou v důvodové

Jakkoli je identifikace klienta bez jeho fyzické přítomnosti možná i jiným než v § 11 odst. 8 ZoAML předpokládaným postupem (např. podle § 11 odst. 7 ZoAML, nebo § 13 ZoAML), tyto ostatní postupy identifikace jsou aktuálně spojeny s významnými omezeními, a to zejména co do množiny povinných osob oprávněných postupovat daným způsobem či typů klientů, u nichž je možné takovýto postup zvolit.

zprávě k § 2 ZoEI (viz výše), tj. obecnou úpravu ZoEI nemění, ale pouze doplňují pro zde uvedené specifické případy.

K odst. 1 písm. a):

Toto ustanovení upravuje možnost identifikace v rámci NIA pomocí prostředku pro elektronickou identifikaci, který splňuje technické specifikace, normy a postupy pro vysokou úroveň záruky dle eIDAS a Prováděcího nařízení(v textu ustanovení je použita shodná legislativní zkratka jako v § 3 odst. 1 písm. b) ZoEI), a který je vydáván a používán v rámci kvalifikovaného systému elektronické identifikace podle ZoEI. Tato úprava umožnuje identifikovat klienta ve smyslu ZoAML s využitím prostředků pro elektronickou identifikaci s vysokou úrovní záruky, např. pomocí elektronických občanských průkazů, a to bez ohledu na to, zda tyto byly oznámeny Evropské komisi postupem podle eIDAS (viz komentář k odst. 1 písm. b) níže). Důvodem této samostatné úpravy je délka procesu oznámení Evropské komisi

– jakkoli elektronické občanské průkazy budou podléhat tomuto procesu do nabytí účinnosti tohoto návrhu, nemusí být tento proces dokončen v horizontu účinnosti navrhované úpravy.

K odst. 1 písm. b):

Ustanovení zakotvuje možnost identifikace pomocí prostředku pro elektronickou identifikaci, který splňuje technické specifikace, normy a postupy pro vysokou úroveň záruky dle eIDAS a Prováděcího nařízení, a který byl platně oznámen Evropské komisi postupem podle eIDAS. Tato úprava umožní v rámci NIA identifikovat klienta ve smyslu ZoAML pomocí unijních (českých nebo zahraničních) prostředků pro elektronickou identifikaci s vysokou úrovní záruky, avšak pouze za předpokladu, že prošly procesem notifikace k Evropské komisi podle eIDAS. Typicky se bude jednat o notifikované zahraniční prostředky pro elektronickou identifikaci, které jsou analogií českých elektronických občanských průkazů a které musí Česká republika při poskytování elektronických služeb tak jako tak uznávat. Ačkoli současná architektura NIA neumožňuje kvalifikovanému poskytovateli služeb rozlišit, zda byl k elektronické identifikaci využit prostředek dle písm. a) nebo b), takový stav nebrání praktickému postupu dle citovaných ustanovení, neboť se při využití prostředků pro elektronickou identifikaci existujících v rámci NIA bude zkoumat pouze naplnění vysoké úrovně záruky prostředku.

K odst. 1 písm. c):

V tomto ustanovení je upravena možnost identifikace pomocí prostředku pro elektronickou identifikaci, který splňuje technické specifikace, normy a postupy pro alespoň značnou úroveň

záruky dle eIDAS a Prováděcího nařízení(dále jen „uznaný prostředek“) a který byl vydán

bankou nebo pobočkou zahraniční banky. Naplnění příslušných technických specifikací, norem a postupů dle eIDAS pro alespoň značnou úroveň záruky a ověření této skutečnosti pověřenou osobou dle ZoEI je stěžejní, neboť tímto je zajištěna nezbytná technická kvalita a důvěryhodnost prostředku. Potvrzení jejího splnění je svěřeno pověřené osobě podle § 11 ZoEI, čímž je zajištěno oficiální potvrzení o naplnění technických standardů prostředku pro elektronickou identifikaci. Naopak požadavek ZoEI na prokázání totožnosti pouze prostřednictvím kvalifikovaného systému se v souladu s § 38aa

Viz zejména čl. 8 odst. 2 písm. c) eIDAS a kapitola 2.1.2. Přílohy Prováděcího nařízení. Viz zejména čl. 8 odst. 2 písm. c) eIDAS a kapitola 2.1.2. Přílohy Prováděcího nařízení. Viz zejména čl. 8 odst. 2 písm. b) eIDAS a kapitola 2.1.2. Přílohy Prováděcího nařízení.

odst. 2 ZoB ve vztahu k uznaným prostředkům neuplatní. Navrhovaná úprava elektronické identifikace v § 11a ZoAML je natolik komplexní, že představuje vlastní způsob prokazování totožnosti na dálku, jak předvídá ZoEI. Aplikace požadavku § 2 ZoEI by tak v tomto případě byla nadbytečná a neumožňovala by existenci komerčního identitního prostoru vhodně doplňující národní identitní prostor zřízený dle eIDAS a ZoEI. Nepředpokládá se, že by povinná osoba, která provádí identifikaci, musela při ověřování splnění podmínek uvedených v navrhovaném § 11a odst. 1 písm. c) vyžadovat od banky nebo pobočky zahraniční banky, která vydala uznávaný prostředek, předložení příslušného prohlášení pověřené osoby dle § 11 ZoEI prokazujícího splnění příslušných technických specifikací, norem a postupů dle eIDAS pro alespoň značnou úroveň záruky. V závislosti na okolnostech konkrétního případu tak může povinné osobě např. postačovat prohlášení banky nebo pobočky zahraniční banky, která vydala uznávaný prostředek, že tyto podmínky splňuje, neboť banka je obecně důvěryhodnou a vysoce regulovanou entitou. Obdobně jako v § 11 odst. 1 ZoAML je však tento méně přísný režim identifikace bez fyzické přítomnosti identifikovaného dovolen pouze bankám a pobočkám zahraničních bank, u nichž je jak při identifikaci klienta za jeho fyzické přítomnosti, tak bez ní, možné očekávat vysokou důvěryhodnost nastavených procesů, mj. s ohledem na přísné požadavky sektorové regulace na jejich řídící a kontrolní systém a současně na vysoké bezpečnostní standardy v daném sektoru. V odstavci 2 se navíc stanoví nezbytné podmínky pro vydání takového prostředku pro elektronickou identifikaci bankami, pobočkami zahraničních bank (nebo poskytovatelem identifikačních služeb – viz komentář k odstavci 1 písm. b) a odstavci 3 níže), aby bylo zabráněno nežádoucímu tzv. řetězení prostředků pro elektronickou identifikaci. Úprava je dále doplněna podmínkou ověření identifikačních údajů klienta v informačních systémech veřejné správy před vydáním uznávaného prostředku. Pro vydávání uznávaných prostředků tak bude nezbytné využít přístup do informačních systémů veřejné správy, pro který se zakládá oprávnění v § 38ac ZoB. Veškerá výše uvedená omezení poté mají za cíl zajistit maximální možnou bezpečnost a důvěryhodnost identifikace klienta prostřednictvím uznaného prostředku v režimu dle navrhovaného § 11a odst. 1 písm. c) ZoAML. V této souvislosti je potřeba doplnit, že banky, pobočky zahraničních bank, případně také poskytovatelé identifikačních služeb dle navrhovaného § 38aa ZoB v důsledku navrhované úpravy ZoB získají přístup k údajům evidovaným v základních registrech o klientech, a to v rozsahu navrhovaného § 38ac ZoB. Díky tomuto přístupu budou banky a pobočky zahraničních bank (resp. poskytovatel identifikačních služeb) moci bez zbytečného odkladu evidovat veškeré změny těchto údajů včetně jejich nových hodnot, což doposud nebylo možné a banky se musely spokojit pouze s nefunkčním smluvním ujednáním o aktualizaci údajů ze strany jejich klientů. Tato skutečnost podpoří bezpečnost a důvěryhodnost uznaných prostředků jako jednoho z možných prostředků pro identifikaci klienta dle navrhovaného § 11a ZoAML. Současně bude mít tento aspekt také nepřímý pozitivní dopad na možnost efektivního boje proti legalizaci výnosů z trestné činnosti a financování terorismu, když bude zajištěna schopnost bank a poboček zahraničních bank (resp. poskytovatele identifikačních služeb) pracovat pro tyto účely vždy s aktuálními informacemi o klientovi.

K odst. 1 písm. d):

Jde o obdobnou možnost identifikace jako v předchozím písmenu s tím, že uznaný prostředek pro identifikaci vydala specifická osoba definovaná v novém § 38aa odst. 1 ZoB, tzv. poskytovatel identifikačních služeb (viz Část první).

K odst. 2 a 3:

Pro zamezení nežádoucího tzv. řetězení prostředků pro elektronickou identifikaci se navrhuje omezit možnosti použití uznaných prostředků pro účely identifikace dle ZoAML jen na případy, kde je na začátku řetězu vždy fyzická identifikace nebo identifikace podle § 11a odst. 1 písm. a). Uznaný prostředek tedy bude moci banka nebo pobočka zahraniční banky vydat jen tehdy, pokud sama identifikovala klienta fyzicky nebo pokud jej identifikovala prostřednictvím prostředku pro elektronickou identifikaci s vysokou úrovní záruky podle eIDAS nebo prostřednictvím uznaného prostředku jiné banky nebo pobočky zahraniční banky, který však splňuje požadavek na počáteční identifikaci klienta za fyzické přítomnosti identifikované osoby (klienta v případě fyzických osob nebo jeho zástupce v případě právnických osob) či prostřednictvím prostředku pro elektronickou identifikaci. Povinná osoba využívající uznaný prostředek k identifikaci klienta pak nebude sama muset zkoumat, zda banka nebo pobočka zahraniční banky splnila podmínky pro vydání prostředku, ale bude se spoléhat na samotný prostředek (odpovědnost za řádně vydaný uznaný prostředek a splnění podmínek pro jeho vydání ponese banka nebo pobočka zahraniční banky). V opačném případě (kdyby povinná osoba musela sama zkoumat splnění podmínek), by se vytratil smysl elektronické identifikace, který spoléhá právě na povahu použitého nástroje (uznaný prostředek), a režim identifikace by byl v zásadě stejný jako § 11 odst. 1 (tedy jako „obyčejné“ převzetí identifikace). Totožná úprava se v § 11a odst. 3 navrhuje i pro vydávání uznaných prostředků poskytovatelem identifikačních služeb ve smyslu § 38aa odst. 1 ZoB. Ustanovení § 11a odst. 3 se odlišuje od § 11a odst. 2 pouze terminologicky, když zohledňuje skutečnost, že sám poskytovatel identifikačních služeb nebude povinnou osobou podle ZoAML. Dále uložená povinnost bank, poboček zahraničních bank a poskytovatele identifikačních služeb podle ZoB služeb čerpat údaje z informačních systémů veřejné moci na základě § 38ac ZoB by měla dostatečným způsobem přispět k omezení případů zneužití identity. K omezení její použitelnosti srov. odst. 6 a jeho odůvodnění níže. Výše popsanými omezeními je zachována vysoká úroveň důvěryhodnosti identifikace v rámci systému uznaných prostředků vydávaných bankou, pobočkou zahraniční banky, příp. poskytovatelem identifikačních služeb podle ZoB. Návrh výslovně neomezuje samotné řetězení prostředků pro elektronickou identifikaci, které je ale pro prostředky uvedené v písm. a) a b) řešeno v Prováděcím nařízení.

K odst. 4:

S ohledem na navrhované změny v ZoB v podobě zakotvení tzv. poskytovatele identifikačních služeb (viz Část první), s nímž mohou banky a pobočky zahraničních bank při poskytování identifikačních služeb spolupracovat, se navrhuje výslovně umožnit identifikaci klienta s využitím uznaného prostředku vydaného bankou nebo pobočkou zahraniční banky ve smyslu § 11a odst. 1 písm. c) nejen přímo u příslušné banky nebo pobočky zahraniční banky, ale i nepřímo u poskytovatele identifikačních služeb.

Na prostředky dle písm. a) se Prováděcí nařízení použije s ohledem na § 3 odst. 1 písm. e) ZoEI.

Cílem navrhované úpravy je neomezovat možné budoucí modely fungování systémů identifikace založených na uznaných prostředcích ve smyslu § 11a odst. 1 písm. c). Navrhovaná úprava tak bude umožňovat nejen model, kdy povinná osoba při provádění identifikace klienta „komunikuje“ s bankou nebo pobočkou zahraniční banky přímo (tj. informační systém povinné osoby se pro účely identifikace klienta propojuje přímo s informačním systémem banky nebo pobočky zahraniční banky, která potvrzuje identifikaci klienta), ale i situaci, kdy banka nebo pobočka zahraniční banky potvrzuje identifikaci klienta prostřednictvím poskytovatele identifikačních služeb (tj. povinná osoba „komunikuje“ přímo pouze s poskytovatelem identifikačních služeb, který z pokynu této povinné osoby ověřuje identitu u banky nebo pobočky zahraniční banky, která příslušný uznaný prostředek vydala). Poskytovatel identifikačních služeb by se v takovém případě nacházel v obdobném postavení jako NIA v národním identitním prostoru zřízeném dle eIDAS a ZoEI.

K odst. 5:

Z hlediska boje proti praní špinavých peněz je velmi důležitá informace o tom, která banka nebo pobočka zahraniční banky (příp. poskytovatel identifikačních služeb podle ZoB) provedla fyzickou identifikaci klienta, příp. identifikaci za pomoci prostředku pro elektronickou identifikaci s vysokou úrovní záruky vydaného státním orgánem České republiky (viz důvodová zpráva k odstavci 1 písm. a)), na jejímž základě byl vydán prostředek pro elektronickou identifikaci využívaný v systému elektronické identifikace dle navrhovaného § 11a odst. 1 písm. c) a d). U elektronické identifikace pomocí uznaných prostředků však bude docházet (z technických důvodů) k situaci, kdy sám uznaný prostředek s sebou takovou informací neponese. Proto se navrhuje, aby povinná osoba identifikující klienta uznaným prostředkem měla povinnost zajistit si přístup k takové informaci pro případ potřeby. Účelem tohoto ustanovení je zajistit, aby Finanční analytický úřad v případě oznámení podezřelého obchodu ze strany povinné osoby mohl snadno získat informaci o tom, kdo provedl identifikaci klienta za jeho fyzické přítomnosti nebo podle § 11a odst. 1 písm. a). Formulací „mít zajištěno“ se zde má na mysli, že povinná osoba nemusí touto informací přímo disponovat, ale toliko mít v případě potřeby možnost ji (např. díky smluvnímu závazku banky, jíž byla fyzická identifikace provedena, resp. závazku poskytovatele identifikačních služeb) získat. Zároveň se v této souvislosti vylučuje aplikace § 16 odst. 1 písm. c) ZoAML, který aktuálně ukládá povinné osobě uchovávat po dobu 10 let od uskutečnění obchodu nebo od ukončení obchodního vztahu s klientem údaj o tom, kdo a kdy provedl první identifikaci klienta.

K odst. 6:

Ve vztahu k povinnosti ověření identifikačních údajů klienta v informačních systémech veřejné správy před vydáním uznávaného prostředku se dále stanoví výjimka z této povinnosti, a to po dobu, po kterou bance, pobočce zahraniční banky nebo poskytovateli identifikačních služeb není umožněn přístup do příslušných informačních systémů veřejné správy dle § 38ac odst. 1 ZoB způsobem předvídaným v § 38ab ZoB (např. z důvodu technické nepřipravenosti rozhraní příslušných informačních systémů veřejné správy). Dále se stanoví přechodné období jednoho roku od okamžiku, kdy tento přístup bude umožněn poprvé, po které se příslušná povinnost ověření identifikačních údajů klienta v informačních systémech veřejné správy rovněž nebude aplikovat. Toto přechodné období je nezbytné pro vybudování technického napojení banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb na rozhraní příslušných informačních systémů veřejné správy.

K bodu 2:

S ohledem na nově navrhované ustanovení v podobě § 11a se dále navrhuje dílčí doplnění § 28 písm. a) ZoAML.

V Praze 10.07.2019

Adámková Věra v.r. Babiš Andrej v.r. Babka Ondřej v.r. Bělica Josef v.r. Berkovec Stanislav v.r. Bláha Jiří v.r. Brázdil Milan v.r. Brzobohatá Andrea v.r. Bžoch Jaroslav v.r. Červíčková Monika v.r. Dostálová Klára v.r. Dražilová Lenka v.r. Farhan Kamal v.r. Feranec Milan v.r. Fialová Eva v.r. Hnilička Milan v.r. Janulík Miroslav v.r. Juchelka Aleš Kalous Adam v.r. Kořanová Barbora v.r. Kott Josef v.r. Králíček Robert v.r. Kubíček Roman v.r. Kytýr Jaroslav v.r. Malá Taťána Malá v.r. Mašek Jiří v.r. Matyášová Eva v.r. Melková Marcela v.r. Mračková Vildumetzová Jana v.r. Nacher Patrik v.r. Novák Marek v.r. Oborná Monika v.r. Okleštěk Ladislav v.r. Ožanová Zuzana v.r. Petrtýl František v.r. Pour Milan v.r. Procházková Věra v.r. Pustějovský Pavel v.r. Ratiborský Michal v.r. Richter Jan v.r. Rutová Miroslava v.r.

Růžička Pavel v.r. Řehounek Jan v.r. Sadovský Petr v.r. Schiller Jan v.r. Staněk Pavel v.r. Strýček Jiří v.r. Šlechtová Karla v.r. Špičák Julius v.r. Štolpa David v.r. Vojtěch Adam v.r. Vyzula Rostislav v.r. Zlesák Radek v.r. Adamec Ivan v.r. Bauer Jan v.r. Baxa Martin v.r. Beitl Petr v.r. Benda Marek v.r. Bendl Petr v.r. Blažek Pavel v.r. Janda Jakub v.r. Krejza Karel v.r. Kupka Martin v.r. Martinů Jaroslav v.r. Mauritzová Ilona v.r. Munzar Vojtěch v.r. Němcová Miroslava v.r. Skopeček Jan v.r. Zbyněk Stanjura v.r. Svoboda Bohuslav v.r. Ventruba Jiří v.r. Zahradník Jan v.r. Žáček Pavel v.r. Bartoň Lukáš v.r. Bartoš Ivan v.r. Černohorský Lukáš v.r. Elfmark František v.r. Ferjenčík Mikuláš v.r. Holomčík Radek v.r. Jiránek Martin v.r. Kolářík Lukáš v.r. Kopřiva František v.r. Kozlová Lenka v.r. Martínek Tomáš v.r. Michálek Jakub v.r. Navrkal František v.r. Pikal Vojtěch v.r. Polanský Ondřej v.r. Pošvář Jan v.r. Richterová Olga v.r. Třešňák Petr v.r.

Vymazal Tomáš v.r. Dvořák Jaroslav v.r. Fiala Radim v.r. Holík Jaroslav v.r. Hrnčíř Jan v.r. Hyťhová Tereza v.r. Jarošová Monika v.r. Jelínek Pavel v.r. Maříková Karla v.r. Okamura Tomio v.r. Podal Zdeněk v.r. Rozner Miroslav v.r. Šafránková Lucie v.r. Španěl Lubomír v.r. Dolínek Petr v.r. Gajdůšková Alena v.r. Chvojka Jan v.r. Sklenák Roman v.r. Votava Václav v.r. Kováčík Pavel v.r. Luzar Leo v.r. Bartošek Jan v.r. Čižinský Jan v.r. Golasowská Pavla v.r. Juránek Stanislav v.r. Výborný Marek v.r. Langšádlová Helena v.r. Farský Jan v.r. Gazdík Petr v.r. Kovářová Věra v.r. Krutáková Jana v.r. Rakušan Vít v.r.