2023. aasta maikuus jõustus krüptovara turge käsitlev määrus (EL) 2023/1114 (edaspidi MiCA määrus), mis kehtestas Euroopa Liidu turuosalistele ühtsed reeglid krüptovaraturul tegutsemiseks.1
MiCA määruse riigitasandil nõuetekohaseks rakendamiseks võeti 5.06.2024 vastu krüptovaraturu seadus2 (edaspidi KrüTS). Eelmainitud seadus tõi kaasa ka muudatusi rahapesu ja terrorismi rahastamise tõkestamise seaduses (edaspidi RahaPTS). Ühe sellise muudatusena leevendati alates 1.07.2024 krediidi- ja finantseerimisasutustele ning virtuaalvääringu teenuse pakkujatele (RahaPTS § 2 lg 5) kohaldatavat kaugtuvastamise eriregulatsiooni, mis on sätestatud RahaPTS §-s 31.
Uue muudatusena sätestab RahaPTS, et isikusamasuse tuvastamiseks ja andmete kontrollimiseks isikuga samas kohas viibimata peab kohustatud isik enne hoolsusmeetmete rakendamist kehtestama3 protseduurireeglid, mis võimaldavad maandada kaugtuvastamisega seotud riske (RahaPTS § 14 lg 11).
Nimetatud protseduurireeglitega kooskõlas kohaldab kohustatud isik hoolsusmeetmeid isikuga samas kohas viibimata juhul, kui:
- kliendi elu- või asukoht4 on Euroopa Majanduspiirkonna välises riigis või (RahaPTS § 31 lg 1 p 1)
- tehinguga või teenuse osutamise lepinguga seotud väljaminevate maksete kogusumma ühes kalendrikuus ületab 15 000 eurot füüsilisest isikust kliendi puhul või 25 000 eurot juriidilisest isikust kliendi puhul (RahaPTS § 31 lg 1 p 2).
Kohustatud isik on kohustatud RahaPTS § 31 lg 1 p-des 1-2 nimetatud olukordades isikusamasuse tuvastamiseks ja andmete kontrollimiseks kasutama RahaPTS § 31 lg 3 nimetatud süsteemi või teenust.5
Protseduurireeglid peavad sisaldama kasutatava vahendi ja teenuse nimetust ning asjakohasel juhul selle kirjeldust. Kasutatav(ad) vahend(id) peavad olema protseduurireeglites ära märgitud. Isikusamasuse tuvastamiseks ja andmete kontrollimiseks võib kasutada Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 (eIDAS määrus) sätestatud e-identimise vahendit, millel on kõrge või märkimisväärne usaldusväärsuse tase (RahaPTS § 31 lg 3).6 Lisaks sobib kasutamiseks ka kvalifitseeritud usaldusteenus, mis vastab määruses (EL) nr 910/2014 sätestatud turvalisust ja kvaliteeti tagavatele nõuetele.
Kui aga ei ole võimalik RahaPTS § 31 lg-s 3 nimetatud süsteemi või teenust kasutada, loob seadus alternatiivi (RahaPTS § 31 lg 31) kasutada vahendit või teenust, mis vastab järgnevatele tingimustele:
- esiteks peavad isikusamasuse tuvastamiseks ja andmete kontrollimiseks kasutatav vahend ja teenus tagama, et hoolsusmeetmete kohaldamisel kogutud andmed ja dokumendid on õiged ja ajakohased (RahaPTS § 31 lg 31 p 1). See tähendab, et kasutatav vahend või teenus integreerituna kohustatud isiku hoolsusmeetmete raamistikku tagab piisava kindlusega, et esitatud andmed ja dokumendid on õiged (sh ka piisavad) ja ajakohased ning hoolsusmeetmeid on võimalik kohaldada. Vahendi või teenuse nõuetelevastavus sõltub ka riskidest, millega kohustatud isik kokku puutub ja protseduurireeglitest, mida ta rakendab. Muuhulgas peab vahend või teenus suutma tuvastada, kas klient või juhuti tehingut teostav isik osaleb hoolsusmeetmetes isiklikult ja et ei kasutataks kolmanda isiku lubamatut abi, ning kontrollida, kas esitatud andmed ja dokumendid on kooskõlas teisest allikast saadud informatsiooni või andmetega;
- teiseks peab kasutatav vahend tagama kujutise, video, heli ja andmete kogumise ja säilitamise7 turvaliselt, arusaadavas vormis ja piisava kvaliteediga, et tagada isiku ühene äratuntavus (RahaPTS § 31 lg 31 p 2);
- kolmandaks tuleb tagada, et ühenduse ootamatul katkemisel või muude tehniliste puuduste ilmnemisel loetakse isikusamasuse tuvastamine ebaõnnestunuks (RahaPTS § 31 lg 31 p 3). Infotehnoloogilise lahenduse puhul, eriti automatiseeritud lahenduse puhul, peaks tehniline lahendus seirama ühenduse kvaliteeti ja tundma ära, kui kvaliteet langeb liialt madalaks.
Kõik kolmes punktis sätestatud nõuded peavad olema üheaegselt täidetud, et saaks toimuda edukas seaduse nõuetele vastav isikusamasuse tuvastamine ja andmete kontrollimine. Valitud süsteem, vahend või teenus peab tagama hoolsusmeetmete kohaldamisel kogutud andmete ja dokumentide õigsuse ning ajakohasuse. See tähendab, et kasutatav süsteem, vahend või teenus integreerituna kohustatud isiku hoolsusmeetmete raamistikku peab tagama piisava kindlusega esitatud andmete ja dokumentide õigsuse (sh ka piisavuse) ning ajakohasuse.
Kui isikusamasuse tuvastamiseks ja andmete kontrollimiseks kasutatakse e-residendi digitaalset isikutunnistust, tuleb kasutada samaaegselt ka mõnda teist RahaPTS § 21 lg-s 3 nimetatud dokumenti (RahaPTS § 31 lg 4).
RahaPTS § 31 lg-s 31 nimetatud tuntumate teenuste ja vahendite8 puhul pole reeglina vaja nende kirjeldust lisada, kuna järelevalveasutus tunneb teenust ja vahendit. Kui aga on tegemist kohustatud isiku poolt välja töötatud teenuse või vahendiga või Eestis RahaPTS-ist tulenevate kohustuste täitmise kontekstis vähest kasutust leidva teenuse või vahendiga, siis on vaja lisada ka kirjeldus. Protseduurireeglites peab olema kirjeldatud, kuidas teenus või vahend vastab RahaPTS § 31 lg-s 31 sätestatud nõuetele. Kasutatav vahend peab koosmõjus teiste meetmetega tagama piisava rahapesu ja terrorismi rahastamise riski maandamise ja seda saavutatakse läbi tervikliku protseduuri rakendamise.
Kui kliendi või juhuti tehingut tegeva isiku elu või asukoht on suure riskiga kolmandas riigis9 või riigis või jurisdiktsioonis, mis vastab RahaPTS § 37 lg 4 punktis 4 sätestatule peavad käesolevas märgukirjas nimetatud kohustatud isikud andmete kontrollimiseks ja isikusamasuse tuvastamiseks kohaldama RahaPTS § 31 lg-s 3 toodud süsteemi või teenust (RahaPTS § 31 lg 11).
Täiendatud protseduurireeglid peavad tagama kogutud andmete ja dokumentide õigsuse ja ajakohasuse, kogutud andmete turvalise, arusaadava ja kvaliteetse säilitamise ning isiku üheselt äratuntavuse. Isikusamasuse kaugtuvastamise protseduur tervikuna peab tagama tõsikindla isikusamasuse tuvastamise, mistõttu ei piisa üksnes usaldusväärse vahendi kasutamisest, vaid on vaja rakendada täiendavaid kogutavate andmete õigsust, piisavust ja ajakohasust tagavaid meetmeid koos võimalusega neid andmeid ka hiljem kontrollida ja säilitada.
Eelnevast tulenevalt palume kohustatud isikutel vastavalt RahaPTS § 14 lg-tele 11 ja 4 täiendada oma protseduurireegleid ja hoolsusmeetmete rakendamist, võttes arvesse uusi RahaPTS §-st 31 tulenevaid nõuded.
____
1 https://eur-lex.europa.eu/ET/legal-content/summary/european-crypto-assets-regulation-mica.html
2 RT I, 21.06.2024, 3: https://www.riigiteataja.ee/akt/Kr%C3%BCTS
3 Juba olemasolevaid protseduurireegleid tuleb vastava sätte alusel uuendada/täiendada.
4 Võrreldes varasema redaktsiooniga on sõna "pärit“ asendatud "asu- või elukohaga". Seega hoolsusmeetmete kohaldamisel tuleb tuvastada kliendi või juhuti tehtavas tehingus isiku asukoht, mitte päritolu.
5 Süsteem või teenus, mis võimaldab usaldusväärselt ja turvaliselt tehingus osalevat isikut elektrooniliselt tuvastada ja kinnitada ning digiallkirja anda.
6 Loetelu Eestis on kasutusel olevatest riiklikud e-identimise skeemidest: https://www.ria.ee/riigi-infosusteem/elektrooniline-identiteet-ja-usaldusteenused/usaldusteenused-ja-koostoo
7 Andmete säilitamise nõuded tulevad RahaPTS-i §-st 47.
8 Nt Veriff, Onfido ja Sum&Substance.
9 Suure riskiga kolmas riik on defineeritud RahaPTS § 3 punktis 18. Täiendav info: https://finance.ec.europa.eu/financial-crime/high-risk-third-countries-and-international-context-content-anti-money-laundering-and-countering_en
