Skutečnost, že klient (ve smyslu ust. § 4 odst. 5 AML zákona) nejedná s advokátem osobně, nezbavuje advokáta povinnosti provést jeho identifikaci a kontrolu v celém zákonem požadovaném rozsahu. Zatímco rozsah identifikace je v zásadě předepsán zákonem a bude vždy totožný, hloubku této kontroly stanoví vždy povinná osoba, tedy advokát. Je přitom lhostejné, zda má klienta (klienta ve smyslu ust. § 4 odst. 2 AML zákona) před sebou, či nikoliv. Výjimku tvoří ověření podoby spojené pouze s prvotní osobní identifikací. Osobní identifikace (face to face) je důležitým nástrojem poznání klienta, nicméně z důvodů ryze praktických nemůže být nástrojem jediným.

Vyžadovat provedení identifikace a kontroly pouze za osobní přítomnosti klienta by nebylo účelné a v podstatě by v celé řadě obchodních vztahů znemožnilo jejich realizaci. Nicméně realizace vztahu na dálku některým z běžně užívaných distančních způsobů zároveň neumožňuje povinným osobám, aby na své povinnosti rezignovaly.

Je pravda, že zákon k možnosti provádění identifikace a kontroly elektronicky přistupoval velmi opatrně. Tato opatrnost zde nevyplývala z konzervativního postoje českého zákonodárce, nýbrž ze zdrojů vnějších. Především FATF ve svých doporučeních opakovaně až donedávna proklamovala, že skutečnost, že u klienta nedošlo k ověření totožnosti v jeho fyzické přítomnosti, může představovat důvod pro zvýšenou kontrolu klienta.[1]

Obecně stále platí, že skutečnost, že klienta nelze identifikovat za jeho fyzické přítomnosti, snižuje možnost advokáta jako povinné osoby ověřit totožnost klienta, čímž se zvyšuje riziko praní peněz a financování terorismu. To bylo ostatně i důvodem, proč byla původně při distanční identifikaci vyžadována zásadně zvýšená hloubková kontrola klienta. Po novele provedené zákonem č. 527/2020 Sb. tomu tak již není.

Výslovně byl takový přístup vyžadován především u využití nástrojů elektronické identifikace klienta. Ke změně tohoto postoje došlo především v souvislosti se zaváděním mezinárodních standardů elektronické identifikace. V Evropě představuje jejich právní bázi nařízení Evropské unie č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu (nařízení eIDAS).

Ale vraťme se na začátek. Elektronická komunikace není jediným nástrojem distanční identifikace.

Zákon obsahuje řadu dalších nástrojů, v zásadě dvojího druhu.

Na prvním místě lze využít identifikace, kterou provedla k tomu zákonem zmocněná fyzická osoba, která není povinnou osobou, nicméně je autorizována k tomu, aby o identifikaci vydala osvědčení, které je veřejnou listinou, a toto osvědčení zaslala povinné osobě, jež ho pro účely její vlastní transakce potřebuje. Takovou identifikaci nazýváme identifikací zprostředkovanou.

Druhou možností je převzetí identifikace od jiné povinné osoby, která ji provedla pro účely svých vlastních obchodů nebo obchodních vztahů, případně vztahu, který je nyní jejím důvodem. Jde tedy o identifikaci převzatou.

Elektronická identifikace prostřednictvím elektronického podpisu nebo bankovní identity pak stojí stranou tohoto dělení, přestože identifikaci prostřednictvím bankovní identity bude většinou advokát přebírat.

Ať již dojde k využití kteréhokoliv z těchto nástrojů, z pohledu rizikově orientovaného přístupu by vždy mělo jít o formu náhradní, užívanou až tam, kde identifikace za osobní přítomnosti není možná nebo vhodná. Tento postoj FATF výslovně opustila pouze v souvislosti s nutností reagovat na změnu společenské situace v roce 2020 v souvislosti s posouzením rizik epidemie onemocnění covid-19,[2] u identifikace prostřednictvím elektronického podpisu, viz metodický dokument FATF k digitálním ID (FATF, 2020 [23]), který zdůrazňuje, že osobní přihlášení a transakce prováděné pomocí důvěryhodného digitálního ID nemusí být nutně vysoce rizikové a mohou být standardní, nebo dokonce méně rizikové.

Ust. § 8, 8a, 10 a 11 AML zákona obsahují taxativní výčet možných způsobů identifikace, žádný další ani vzájemná kombinace prvků se nepřipouští. Konkrétní způsob identifikace tak bude advokát jako povinná osoba zvažovat sám s ohledem na možná rizika a aktuální potřeby.

Ale co kontrola? Kontrola není procesem, který by se dal učinit prostřednictvím třetí osoby.[3] Jakkoliv nepřesně hovoříme o distanční identifikaci a kontrole, zákon umožňuje provést pouze distanční identifikaci a v rámci tohoto procesu umožňuje, aby byly od identifikované osoby získány některé údaje a dokumenty, které jsou nezbytné k provedení kontroly. Platí to však pouze u identifikace převzaté. K identifikaci provedené prostřednictvím veřejné listiny nelze přiložit jiné dokumenty nebo údaje než ty, které jsou výslovně uvedeny v § 10 odst. 3 AML zákona.

Naproti tomu převzetí identifikace umožňuje na dálku i získání údajů, které jsou součástí kontroly, a sice informací o:

• účelu a zamýšlené povaze obchodu nebo obchodního vztahu;
• vlastnické a řídící struktuře klienta;
• totožnosti jeho skutečného majitele.

Spolehnout se na předané informace však advokát může pouze na vlastní riziko a odpovědnost.

Identifikace prostřednictvím prostředku pro elektronickou identifikaci dle zákona o elektronické identifikaci, resp. nařízení eIDAS

Elektronická identifikace v ust. § 8a není součástí novely provedené zákonem č. 527/2020 Sb., nýbrž byla do AML zákona vložena novelou provedenou zákonem č. 49/2021 Sb. s účinností změn od 1. 1. 2021, tedy zákonem, který zároveň vytvořil v našem právním řádu základní podmínky pro využívání tzv. bankovní identity. Vládní novela, která byla podkladem pro schválení zák. č. 527/2020 Sb., však takovou úpravu obsahovala rovněž (viz nové znění § 11 odst. 8 AML zákona). Úprava ust. § 8a AML zákona není příliš podrobná, jde pouze o zakotvení možnosti využití pro část procesu identifikace této identity. Nezahrnuje v sobě celý proces identifikace, pouze zjištění identity klienta a za něj jednající osoby. Jde sice o proces identifikace bez ověření podoby, dle důvodové zprávy k zákonu je však obecně hodnocen jako druhý nejspolehlivější po identifikaci prováděné tváří v tvář jednající osoby, protože nepředpokládá žádné zprostředkování třetím subjektem.

Základem použití kromě zmiňovaného nařízení se v našem právním řádu stal adaptační zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů. Národní systém elektronické identifikace je obsažen v zákoně č. 250/2017 Sb., základ přitom tvoří již jmenované nařízení Evropské unie č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu (eIDAS).

Elektronickým podpisem se podle nařízení eIDAS rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání. Podle nařízení eIDAS a zák. č. 297/2016 Sb. lze rozlišit čtyři druhy elektronických podpisů, které se liší svou schopností identifikovat podepisující fyzickou osobu, pokud jde o věrohodnost a úroveň ochrany dat, na nichž je takový podpis založen. Je zjevné, že v daném případě nebude pro identifikaci postačovat elektronický podpis prostý,[4] AML zákon zde však povinným osobám nijak nenapovídá, jakou minimální úroveň elektronického podpisu považuje za využitelnou tak, aby to mohla povinná osoba bez dalších znalostí problematiky snadno rozlišit; navíc ust. § 8a odst. 1 písm. a) AML zákona věnuje pozornost pouze „prostředku pro elektronickou identifikaci, který splňuje technické specifikace, normy a postupy pro vysokou úroveň záruky stanovené přímo použitelným předpisem Evropské unie upravujícím minimální technické specifikace, normy a postupy pro úrovně záruky prostředků pro elektronickou identifikaci a který je vydáván a používán v rámci kvalifikovaného systému podle zákona o elektronické identifikaci“, tj. elektronického podpisu vydaného v rámci národního systému.

Vypadá to, že ust. § 8a AML zákona míří pouze na zaručený podpis jako nejvyšší zákonem i nařízením předvídanou úroveň elektronického podpisu, tj. podpis, který je vytvářen kvalifikovaným prostředkem pro vytváření elektronických podpisů a je založen na kvalifikovaném certifikátu pro elektronické podpisy. Právě kvalifikovaný prostředek pro vytváření elektronických podpisů (token, občanský průkaz s čipem) je to, co by zde mohlo nahradit ověření totožnosti podepisující osoby, neboť bez fyzického držení tohoto nosiče s certifikátem nelze tento druh elektronického podpisu vytvořit. Tím spíše, že vydání takového certifikátu je v případě českého systému, který zákon č. 250/2017 Sb. upravuje, založeno na údajích získávaných přímo z tzv. základních registrů.

Ve vztahu k ostatním systémům elektronických podpisů nebo jejich ostatním úrovním již situace není zdaleka tak jasná a jednoduchá, neboť AML zákon sice v ust. § 8a odst. 1 písm. a) textově pouze odkazuje na čl. 8 nařízení eIDAS a požaduje, aby vždy šlo o prostředek pro elektronickou identifikaci s tzv. vysokou úrovní záruky, avšak zároveň aby byl vydáván a používán v rámci kvalifikovaného systému podle zákona o elektronické identifikaci. To by vylučovalo jak použití kvalifikovaného podpisu, tak i použití ostatních evropských systémů; ve skutečnosti tomu však tak není.

Technické podmínky, na něž odkazuje jak eIDAS, tak nový § 8a odst. 1 AML zákona, stanoví prováděcí nařízení Komise č. 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 eIDAS, ale povinná osoba naštěstí nemusí pátrat po tom, který systém tyto podmínky splňuje a který nikoliv. Komisí jsou totiž tyto systémy notifikovány, takže nahlédnutím do seznamu lze zjistit,[5] zda se jedná o elektronický podpis oznámeného systému a jakou má tento systém úroveň záruky.[6] Podstatou celé věci totiž je principiální požadavek nařízení eIDAS, a sice že kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech. Podmínkou pro jeho použití pro účely identifikace podle § 8a AML je jednak oznámení jeho systému Komisi a jednak jeho označení v evidenci oznámení jako systému s vysokou úrovní záruky.

Další vysvětlení a postup se odvíjí od zákonem předepsaného obsahu elektronické identifikace tak, jak je uveden v § 11 odst. 8 AML zákona. Podstatou identifikace je to, že identifikovaná osoba sdělí advokátovi – povinné osobě – své identifikační údaje e-mailem, vyplněním zaslaného formuláře apod., a toto sdělení opatří svým elektronickým podpisem. V tomto ustanovení zákon požaduje kvalifikovaný elektronický podpis, nikoliv tedy tu nejvyšší formu elektronického podpisu. Přílohou tohoto sdělení jsou pak kopie jeho dokladů, které jeho sdělení osvědčují. Zákon nijak neřeší, jak by to bylo s plnou mocí nebo jinou formou dokladu o zastoupení v situaci, kdy by identifikovaná osoba jednala jako zástupce jiné osoby. Doklad o zmocnění být zaslán musí, protože se zákon nespokojí s jeho kopií (s výjimkou ověřené kopie), můžeme tedy dojít k výkladovému závěru,[7] že i zde si advokát musí tento doklad o zastoupení opatřit v originále (viz dále u bankovní identity), který samozřejmě může být rovněž elektronický.

Po doručení takto podepsané zprávy má advokát povinnost tento podpis ověřit, a to tak, že ověří shodu těchto údajů u kvalifikovaného poskytovatele tohoto podpisu anebo z elektronické pečeti nebo z elektronického certifikátu touto pečetí opatřeného. I přes všechny snahy zákonodárce stále nejde pro osobu bez patřičného technického vzdělání v tomto směru o nic snadno pochopitelného. V důvodové zprávě k zákonu č. 527/2020 Sb. zákonodárce uvádí, že „Vzhledem k tomu, že ze samotného kvalifikovaného certifikátu není možné zjistit všechny identifikační údaje v rozsahu požadovaném AML zákonem, a dokonce lze říci, že z něj není možné ani ověřit totožnost podepisujícího, požaduje současná právní úprava, aby povinná osoba získala chybějící identifikační údaje od kvalifikovaného poskytovatele služeb vytvářejících důvěru, který daný certifikát vydal a který je v souvislosti s tím musel i zaznamenat. Toto ověření může nabývat formu přímého dotazu povinné osoby na poskytovatele, v úvahu však rovněž přichází ověření z dokumentu vydaného tímto poskytovatelem, který přiřazuje identifikační údaje k danému certifikátu a který je opatřen jeho platnou kvalifikovanou elektronickou pečetí…“[8]

Ve skutečnosti kvalifikovaný certifikát pro elektronické podpisy obsahuje celou řadu údajů, které se přenášejí spolu s elektronickým podpisem,[9] nicméně nejde o identifikační údaje předpokládané podle ust. § 8 AML zákona, spíše jde o údaje týkající se platnosti certifikátu a úrovně elektronického podpisu, včetně právě otázky úrovně záruky, jíž je nadán systém, na jehož základě byl vydán.

Advokát je povinen ověřit u certifikační autority shodu mezi uvedenými údaji a údaji, které byly ověřeny při vystavení kvalifikovaného elektronického podpisu. Toto ověření je u většiny využívaných systémů automatické bez dalšího úkonu a zobrazuje se při otevření podepsaného dokumentu. Zaslané údaje lze ověřit rovněž z elektronického dokumentu opatřeného platnou elektronickou veřejnou pečetí orgánu veřejné správy. V současné době tato možnost ale není realizovatelná, protože v České republice není orgán, který by takový doklad vydával, nicméně některé další národní systémy jej již znají.

Podmínka je zde totožná – advokát při využití tohoto způsobu identifikace nemá pochybnosti o totožnosti klienta. Elektronickou identifikaci nelze provést u klientů nebo obchodů se zvýšeným ML/FT rizikem. Tento princip platí u všech náhradních způsobů identifikace, lze je však vážit v rámci nastavených typologií klientů a hodnocení rizik.

Údaje o takto provedené identifikaci je třeba uchovávat v originále, tj. v elektronické podobě. V případě jejich uchování v listinné podobě advokát odpovídá za jejich převedení, jakož i případné ztráty dat, k nimiž převodem došlo.

Je namístě zdůraznit, že zákon ve své stávající podobě neumožňuje elektronické ověření prostřednictvím nějakého komunikačního rozhraní (customer on-line onboarding). Zjednoduším-li to, podstatou zde není a nebude to, že hezkou tvářičku svého klienta nebo jeho zástupce uvidíte na displeji svého mobilního telefonu nebo na monitoru počítače prostřednictvím libovolné komunikační platformy (Skype, Teams, Discord a jiné). Nelze si takto ani zjednodušovat situaci (typické pokusy jsou zaslání údajů e-mailem a následný videohovor) tam, kde klient tvrdí, že přístup k elektronickému podpisu evropského formátu nemá. Bylo by velmi naivní takové identifikaci důvěřovat. Zákon zatím nepočítá ani s možností využití speciálních softwarových nástrojů s velmi pokročilými schopnostmi rozeznání tváří, což je předmětem kritiky především tam, kde vysoká formalizace požadavků na provedení identifikace klienta velmi komplikuje uzavření obchodních vztahů.

Sféra advokátních služeb však tento problém úplně nemá, naopak, požadavek KYC (know your client), který je součástí AML/CFT compliance, je u advokátů stěžejní i bez AML, a tedy prozatím pro kritiku není důvodu. V takových případech je prostě namístě využít jiného typu distanční identifikace.

Identifikace bez osobní přítomnosti za využití tzv. bankovní identity

Podle ust. § 1 odst. 4 písm. c) zák. č. 21/1992 Sb., o bankách, ve znění novely provedené zákonem č. 49/2020 Sb., je banka oprávněna vykonávat podnikatelskou činnost spočívající v poskytování elektronické identifikace, autentizace a služeb vytvářejících důvěru, jak jsou definovány přímo použitelným předpisem Evropské unie upravujícím elektronickou identifikaci a služby vytvářející důvěru pro elektronické transakce na vnitřním trhu, jakož i souvisejících služeb, zejména poskytování nebo potvrzování osobních identifikačních údajů klienta, informací o klientovi souvisejících s jeho osobními identifikačními údaji, informací o bankovních obchodech klienta a vytváření a uchování elektronických dokumentů (tzv. identifikační služby). Není zde prostor pro rozebírání otázek samotné bankovní identity, v tomto odkazuji na článek kolegů Korbela a Kováře v minulém čísle Bulletinu advokacie.[10] Zjednodušeně lze uzavřít, že bankovní identita může a bude sloužit pro identifikaci fyzických osob pro účely vstupu do elektronických systémů, v první řadě do elektronických systémů bank (přístupu k elektronickému bankovnictví), ale i do jiných propojených elektronických systémů, přes webové rozhraní. Názorně a zcela aktuálně to předvádí letošní sčítání,[11] které rovněž využití tohoto nástroje umožňuje.

Novelou AML zákona, provedenou rovněž zákonem č. 49/2020 Sb., byla možnost využití bankovní identity zakotvena v ust. § 8a AML zákona, postup jejího využití nikoliv pouze pro účely identifikace bankovními a finančními institucemi zakotvila novela AML zákona provedená zákonem č. 527/2020 Sb., a to i pro jiné účely, než je poskytování bankovních služeb. Důvodová zpráva k zákonu č. 527/2020 Sb., v dalším v souladu s konzervativním přístupem odpovědných orgánů upozorňuje, že její využití je spojeno se zvýšenými riziky, a není proto vhodná pro použití v případě rizikových produktů nebo klientů.

V režimu výkonu advokacie ovšem bude přímé využití bankovní identity možné spíše nepřímo, alespoň zatím. Služby ověřování prostřednictvím bankovní identity pro použití v soukromém sektoru již stávající jediná česká platforma Bankovní identita, a. s., nabízí. Protože služba má mít podobu ověření vstupu do klientské zóny, privátního rozhraní apod., pro přímé použití ve vztahu k advokáty poskytovaným službám by muselo dojít především k úpravě jejich webů a v podstatě celého mechanismu přijetí klienta a uzavření smlouvy o poskytování právních služeb. I takové snahy o vznik poskytování advokátních služeb prostřednictvím online platforem zde jsou a je jen otázkou času, jak a nakolik bude pokračovat jejich evoluce (ve směru zajištění všech povinností vyplývajících pro advokáta z jeho postavení, i ve směru využití nástroje bankovní identity), než využití identifikačního nástroje pro účely identifikace a kontroly podle AML zákona bude možné a pro obě strany fakticky realizovatelné.

Identifikace prostřednictvím bankovní identity však může bez dalšího být jednou z forem identifikace převzaté ve smyslu ust. § 11 odst. 1 AML zákona (to by bylo pohodlné zejména pro úschovy jako zajišťovací instituty).

Ve stávající podobě se však advokát bude při využití bankovní identity pro účely identifikace klienta spoléhat spíše na formu identifikace prostřednictvím první platby, někdy též označované jako identifikace prostřednictví korunové platby tak, jak je tato forma převzaté identifikace zakotvena v ust. § 11 odst. 7 AML zákona.[12] Do tohoto postupu spíše míří upozornění na možná rizika praní peněz v důvodové zprávě obsažená, která zřejmě vychází z analýz FATF.[13]

Proces tzv. první platby, korunové nebo také mikroplatby, není nijak složitý – fyzická osoba, která je identifikována (fyzická osoba – klient, fyzická osoba – zástupce právnické osoby, klienta nebo jejich zmocněnec nebo opatrovník), zašle advokátovi: kopie svého identifikačního dokladu, který splňuje zákonem předepsané podmínky a obsahuje údaje podle ust. § 5 [resp. § 8 odst. 2 písm. a) AML zákona] a nejméně jednoho dalšího podpůrného dokladu (s výjimkou klienta – fyzické osoby, která sama jedná a sama dala příkaz k úhradě ze svého vlastního účtu). Typ podpůrného dokladu určuje povinná osoba, nikoliv identifikovaný. Zákon na tyto doklady žádné požadavky neklade, nemusí se jednat o doklady obsahující všechny zjišťované údaje podle § 5 a 8 AML zákona ani o veřejné listiny. Jejich účelem je posílení ověření identity jednajícího, případně zabránění využívání ukradených dokladů. Tyto doklady musí být čitelné a musí být zajištěna možnost jejich uchování po celou archivační dobu (§ 16 AML zákona).

Je-li klientem právnická osoba, musí kromě údajů svého zástupce zaslat doklady o své existenci (ty si může advokát rovněž vyžádat z veřejných rejstříků, o svěřenském fondu to platí obdobně), jde-li o zmocněnce nebo opatrovníka, je třeba zaslat kopie identifikačních dokladů zmocnitele (opatrovance) a zároveň jeho zástupce, včetně příslušného zmocnění. Malý háček je v tom, že zatímco u identifikačních dokladů hovoří zákon o jejich kopiích, u dokladů o existenci právnické osoby nebo svěřenského fondu a dokladů o zastoupení kopie nezmiňuje. K povinné osobě by tak měl doputovat originál nebo ověřená kopie dokladu o zastoupení, vyžadování této povinnosti by však mělo záviset především na dalším hodnocení rizik; využívání tzv. bílých koní anebo naopak zakrývání identity zastoupeného je jedním z popsaných rizik ML/FT.

Identifikaci prostřednictvím bankovní platby je možné využít pouze u obchodního vztahu a pouze tam, kde je uzavírána smlouva písemně,[14] a nadto v situaci, kdy advokát jako povinná osoba nemá pochybnosti o totožnosti klienta. Advokát je tedy povinen ověřit zaslané identifikační doklady, přičemž zde nesmí být pochybnosti o jejich věrohodnosti. Zákon srovnal celý proces využití této formy identifikace ne úplně logicky, protože o získání údajů o účtu a platbě z tohoto účtu hovoří až po uzavření smlouvy, ve skutečnosti získání údajů o existenci účtu pro účely první platby musí předcházet uzavření smlouvy, přičemž provedení první platby následně pouze stvrzuje uzavřenou smlouvu. Samotná platba však slouží spíše, na základě informací, které ji doprovázejí, k dalšímu ověření identity klienta.

Nemusí rozhodně jít o tzv. mikroplatbu, nicméně lze takový postup doporučit. Bylo by nesmyslné, aby např. v rámci obchodního vztahu úschovy byl složitel identifikován tímto způsobem a zasílal celý předmět úschovy jednou platbou, přičemž po obdržení platby by se identifikátor účtu ukázal jako nonvalidní anebo nedůvěryhodný [je přitom lhostejné, zda obsahuje údaje doprovázející převody peněžních prostředků vyžadované podle § 11 odst. 7 písm. g) AML zákona] a identifikaci by se nepodařilo dokončit, smluvní vztah sjednat atd. Pak by totiž bylo nezbytné tento způsob identifikace ukončit a přistoupit k jinému způsobu, což by však nastávalo v situaci, kdy smlouva o úschově je již uzavřena a advokát je touto smlouvou vázán.

Zákon vyžaduje, aby spolu se sdělením identifikačních údajů a dokladů o identifikaci klient prokázal existenci účtu na své jméno u úvěrové nebo finanční instituce. Tímto nástrojem se prokazuje existence a identifikace klienta, v případě právnické osoby půjde o účet této právnické osoby. Zákon nestanoví, jakou formou se tak má stát, a nepožaduje, aby šlo o nějaké oficiální osvědčení vydané např. přímo bankou, která účet vede. Postačí tedy (většinou) i výpis z účtu. Dozajista lze využít služby nepřímého podání platebního příkazu nebo služby informování o platebním účtu.[15] Zástupce, který v daném obchodním vztahu jedná a zaslal advokátovi své údaje, nemusí být disponentem tohoto účtu a nemusí jít o totožnou osobu, která dala příkaz k této platbě. Kontrolní platba však slouží ke kontrole identity klienta, nikoliv jeho zástupce. Z uvedeného důvodu zákon požaduje, aby příkazce uvedl do zprávy pro příjemce informaci o účelu identifikace a označení povinné osoby a aby tyto informace doplnil svým jménem a příjmením (tedy prostým elektronickým podpisem).

Zákon zde sice obsahuje naraci „umožňuje-li to daný platební systém“, ale nemá žádné řešení pro to, když „daný platební systém“ takovými údaji první platbu doprovodit ne­umožňuje. Tím, že účelem této platby je ověření, že existuje vazba mezi disponentem účtu a klientem, jde spíše o otázku zvážení míry rizika, pokud tato vazba ověřena není. Zákon tedy umožňuje i v této situaci identifikace mikroplatbou využít, advokát však v další kontrole vztahu musí pokračovat s vědomím, že je zde vyšší riziko zneužití identity. Tuto informaci by pak měl dát vážit ve vztahu k dalším zjištěným informacím a rizikům týkajícím se klienta i povahy obchodního vztahu.

Identifikaci mikroplatbou lze využít i pro účely identifikace svěřenského fondu a jeho zástupce.

Identifikace zprostředkovaná

Jak již bylo uvedeno, identifikací zprostředkovanou se rozumí situace, kdy tento proces pro povinnou osobu zjišťuje jiná osoba, a to vždy osoba oprávněná vydat doklad ve formě veřejné listiny, která povinnou osobou není.[16] Takovouto osobou je notář a dále soubor orgánů veřejné správy, které jsou shrnuty do legislativní zkratky „kontaktní místo veřejné správy“. Kontaktním místem veřejné správy se rozumí kontaktní bod (úřadovna by asi bylo výstižnější) systému Czech POINT, který je zřízen a provozován na základě zák. č. 365/2000 Sb., o informačních systémech veřejné správy – na krajských a obecních úřadech, provozovnách pošt, u notářů a některých dalších místech. Pro zahraniční obchodní vztahy je podstatné, že kontaktním místem veřejné správy jsou i některá velvyslanectví a konzulátní úřady České republiky.

Kromě uvedených lze takovou veřejnou listinu pořídit i u notáře nikoliv českého, tedy v zásadě kdekoliv v zahraničí, kde takový úřad funguje a je schopen z hlediska zákonné úpravy daného státu listinu o identifikaci vyhotovit. Listina o identifikaci provedená notářem v cizině, která platí v místě jejího pořízení za veřejnou listinu, má totožný charakter i v ČR, pokud je opatřena předepsanými ověřeními (§ 12 zák. č. 91/2012 Sb., o mezinárodním právu soukromém), případně se podle mezinárodní smlouvy, kterou je Česká republika vázána, nevyžadují. Dlužno dodat, že ač veřejná listina v sobě nese punc správnosti osvědčovaných údajů, měl by advokát při využití této formy zprostředkované identifikace ze zahraničí vážit v rámci rizik i charakter země, v níž byla tato zprostředkovaná identifikace provedena.

Požádat o zprostředkovanou identifikaci již může kdokoliv, nemusí to být povinná osoba, pro niž se identifikace provádí, může to být i klient nebo jeho zástupce. Identifikace pak probíhá stejným způsobem, jako probíhá identifikace v přítomnosti klienta, jediný rozdíl je v osobě, která identifikaci provádí. Její součástí, ač to zákon výslovně nezdůrazňuje, je i ověření podoby identifikované osoby.[17]

Listina o identifikaci již není vyhotovována pouze na žádost povinné osoby, avšak musí nově obsahovat údaj o tom, pro jakou povinnou osobu a pro jaký účel byla identifikace provedena. Nezbytné náležitosti této listiny obsahuje ust. § 10 odst. 2 AML zákona.

K listině o identifikaci musí být připojeny prosté kopie dokladů, na jejichž základě byla identifikace provedena, a originály nebo úředně ověřené kopie zmocnění nebo jiného dokladu o oprávnění zástupce jednat jménem klienta (včetně listiny o jmenování opatrovníka). Listinu o identifikaci vydá ten, kdo ji vyhotovil, osobě, která o identifikaci žádala, resp. identifikované osobě. Notář v ČR nebo kontaktní místo veřejné správy (včetně zastupitelských úřadů) může listinu i její přílohy zaslat povinné osobě prostřednictvím datové schránky. Je však namístě upozornit, že pokud je zde její přílohou originál nějaké listiny (tradičně plná moc), je nutné provést její konverzi.

Notáři a kontaktní místa veřejné správy vedou zvláštní evidenci listin o identifikaci, z ust. § 10 odst. 5 a 6 AML zákona ale nevyplývá, že by součástí této evidence byl obsah listiny samotný nebo že by byly zároveň uchovávány jejich přílohy. Za správnost identifikace zde odpovídá ten, kdo ji provedl.

Identifikace převzatá

Základní myšlenka převzaté identifikace je založena na jiné bázi než u identifikace zprostředkované, a sice na ideji předávání dokladů sloužících k identifikaci a kon­trole (včetně ověření podoby) mezi jednotlivými povinnými osobami navzájem. Kromě zákonných podmínek jsou zde dvě podmínky zákonem nepředvídané, a přesto nepřekročitelné:

• Identifikovaná osoba musí s předáním identifikace a příslušných dokladů souhlasit.
• Osoba, která identifikaci provedla, musí být ochotna identifikaci dále předat.

Zatímco to první je otázkou nakládání s osobními údaji (převzetí identifikace nezbavuje ani předávajícího, ani přebírajícího povinnosti o nakládání s osobními údaji v tomto směru klienta poučit) a také otázkou poučení klienta o tomto nakládání a případné jeho součinnosti při identifikaci a kontrole, na niž i na její nedostatky zákon pamatuje, ta druhá podmínka je podstatně složitější a je spojena na jedné straně se zákonnou povinností mlčenlivosti, resp. bankovním tajemstvím a mechanismy jejich zproštění, na straně druhé však do velké míry s konzervativním nastavením některých povinných osob (advokáti) a naopak aktivistickým nastavením jiných (banky).

V každém případě musí být řečeno, že při vzájemném řetězení povinných osob v jednom dlouhém proudu obchodů nebo obchodních vztahů povinné osoby vůči sobě žádnou povinnost součinnosti nemají. Povinnost součinnosti existuje a může být vymáhána pouze ve smluvním vztahu povinná osoba – klient. Převzít lze pouze identifikaci, která vznikla v souvislosti s uzavřením obchodního vztahu.

Zákon nestanoví povinné osobě povinnost identifikaci svého klienta předat, pouze možnost a podmínky, za nichž smí povinná osoba od jiné povinné osoby identifikaci převzít. Odpovědnost za obsah identifikace ponese vždy ta osoba, která ji přebírá, činí tak na vlastní riziko. Nesmí identifikaci převzít tehdy, pokud vznikly pochybnosti o správnosti nebo úplnosti přebíraných údajů nebo pokud by nemohla získat související dokumenty a kopie, na jejichž základě byla identifikace provedena.

Principem předávané identifikace není vytváření zvláštních listin o identifikaci, ale předání toho, co povinná osoba provádějící identifikaci sama o klientovi drží. Což samozřejmě v praxi vytváří trochu zádrhel, neboť ten, kdo provedl prvotní identifikaci, si zároveň musí tyto odklady ponechat, a nastupuje zde tedy nutnost doklady, které jsou připojeny v originále, ověřit. Jde tedy o cosi navíc, zejména v situaci, kdy předávající musí tuto službu zajišťovat vně (finanční instituce ověřování v tomto směru neprovádí).

Advokát je oprávněn převzít identifikaci provedenou:

a)úvěrovou nebo finanční institucí (s výjimkami uvedenými v § 11 AML zákona),

b)zahraniční úvěrovou a finanční institucí (s výjimkami uvedenými v § 11 AML zákona), jestliže působí na území státu, který jí ukládá srovnatelným způsobem povinnost identifikace, kontroly klienta a uchování záznamů, podléhá v tomto státě zákonné povinné profesní registraci a je nad ní vykonáván dohled zahrnující kontrolu plnění těchto povinností, včetně možnosti kontroly jednotlivých obchodů a kontroly na místě,

c) notářem nebo advokátem působícím na území státu se srovnatelnou AML úpravou,

d)pobočkou advokátní společnosti nebo zahraniční pobočkou advokátní společnosti působící na území státu se srovnatelnou AML úpravou.

Předat identifikaci však advokát může pouze notáři anebo advokátovi, podmínka srovnatelného AML rizika u přebírajícího není zákonem stanovena. Zákon totiž nepředpokládá, že by bylo možné identifikaci převzít nebo identifikaci předávat mezi kteroukoliv skupinou povinných osob. Univerzální je v zásadě pouze možnost převzetí od úvěrové nebo finanční instituce uvedených v § 1 odst. 1 písm. a), b) [s některými výjimkami] AML zákona podle § 11 odst. 1 AML zákona. Kromě této možnosti může advokát využít převzetí identifikace od advokáta nebo notáře, tj. uvnitř skupiny právně poradenských profesí. I zde ale platí, že lze převzít pouze od profese téhož typu – daňový poradce do daňového poradce, advokát kromě advokáta může převzít identifikaci i od notáře, protože nás zákon jaksi hodil do jednoho košíku [konkrétně do definice povinné osoby v § 2 odst. 1 písm. g) AML zákona]. Sporná zde rozhodně do budoucna bude otázka přebírání identifikace v případě advokáta provádějícího daňové poradenství podle nového § 2 odst. 1 písm. e) AML zákona.

Jak už bylo řečeno, AML zákon sice předpokládá vzájemnou výměnu informací v rámci přebírání identifikace, nelze ji však vynutit. Tuto výměnu advokát dále může podstoupit pouze tehdy, pokud se bez pochybností jedná o sledovanou činnost, pokud bez pochybností předává informace pro AML/CFT účely a byl klientem zproštěn povinnosti mlčenlivosti advokáta podle § 21 zákona o advokacii pro tyto účely. Je přitom lhostejné, zda na opačné straně této výměny stojí jiný advokát, anebo finanční nebo úvěrová instituce (tedy především banka). Podmínkou je rovněž zvládnutí geografického rizika, ale i všech dalších, v úvahu přicházejících rizik. Převzít identifikaci tak nelze u klientů nebo obchodů se zvýšeným ML/FT rizikem, anebo v případě, že jsou zde pochybnosti o správnosti předávaných údajů.

U předávané identifikace obecně platí, že přebírající musí získat informace o identifikaci klienta a další přebírané informace nejpozději před vznikem obchodního vztahu nebo před uskutečněním obchodu mimo obchodní vztah. Bez toho není možné ani uvažovat o uzavření smluvního vztahu jako takového.

Převzít lze pouze identifikaci provedenou za fyzické přítomnosti anebo elektronickou identifikaci a pouze z jejího primárního zdroje, tedy od osoby, která primární identifikaci provedla, převzatou identifikaci tedy není možné „poslat“ dál.

Identifikace provedená prostřednictvím tzv. vázaného zástupce (outsourcing)

Nejedná se v pravém smyslu slova o převzatou identifikaci, z dikce zákona je zřejmé, že ust. § 11 odst. 5 AML zákona míří na situace, kdy primární identifikaci pro povinnou osobu provádí jiná osoba, která sama o sobě povinnou osobou není. Např. dle zák. č. 256/2004 Sb., o podnikání na kapitálovém trhu, vázaným zástupcem je fyzická nebo právnická osoba, která je oprávněna na základě písemné smlouvy se zastoupeným jeho jménem:

a) zařídit, a popřípadě i uzavřít obchody týkající se hlavní investiční služby uvedené v § 4 odst. 2 písm. a) nebo h), pokud je zastoupený k jejich poskytování oprávněn,

b) poskytovat investiční službu uvedenou v § 4 odst. 2 písm. e),

c) propagovat investiční služby, které je zastoupený oprávněn poskytovat.

Charakter služeb takového zástupce však najdeme i u celé řady dalších služeb finančního nebo úvěrového charakteru (např. při zprostředkování spotřebitelských úvěrů, při finančním poradenství, v pojišťovnictví). Tento zprostředkovatel není povinnou osobou (na rozdíl od advokáta, který poskytuje substituci). Předpokladem takového postupu je přímé předání provedené identifikace povinné osobě. Podmínkou využití této možnosti je existence vztahu odpovědnosti za škodu způsobenou touto osobou.

V případě advokátů využití takového možnosti brání do velké míry rozsah zákonné povinnosti mlčenlivosti. V zásadě by bylo možné jako takovou zprostředkující osobu využít jiného advokáta, pokud pro advokáta – povinnou osobu pracuje na základě smlouvy o trvalé spolupráci, případně ve sdružení. Při existenci jejich osobní odpovědnosti za výkon advokacie je však otázkou, zda je splněna podmínka nastavení odpovědnosti. Ani s využitím všech v úvahu připadajících smluvních nástrojů však není možné přenést identifikaci nebo povolené prvky kontroly na osobu, která není oprávněna k výkonu advokacie.

Výčet náhradních způsobů identifikace je taxativní, jiná cesta zde není. Nejde o proces, který by byl nějak výrazně náročný, přičemž pro AML je jeho význam zcela zásadní. Bez řádné identifikace nelze provést kontrolu klienta a obchodního vztahu a nelze ani hodnotit jejich rizika. Novela AML zákona provedená zákonem č. 527/2020 Sb. tento princip v podstatě ještě zdůrazňuje tím, že stanoví poměrně pevné limity postupu identifikace, na stranu druhou nadále ponechává velký prostor pro úvahu nad získanými informacemi, jakož i nad doklady, které by měly být jejím podkladem. Důvodem je zjevně další rozšíření okruhu povinných osob a sledovaných činností, kdy je již velmi obtížné stanovit jednotné pravidlo pro všechny v úvahu připadající druhy právních vztahů. O to zásadnější význam pak má konkrétní nastavení systému vnitřních zásad[18] povinných osob, včetně advokátů, a strategií a postupů vnitřní kontroly v rámci hodnocení rizik.

 

Mgr. Petra Vrábliková působí jako advokátka a vedoucí Oddělení pro věci kárné ČAK.

---

 

[1] Vysvětlení k doporučení FATF č. 10 rovněž naznačuje, že transakce s osobami identifikovanými distančně se vyznačují vyšším rizikem praní peněz a financování terorismu, a v takových případech by měla být uplatněna zvýšená hloubková kontrola klienta. Podobný přístup byl obsahem rovněž původního nastavení evropského AML systému ve IV. AML směrnici.

[2] http://www.fatf-gafi.org/media)fatf/documents/covid-19-aml-cft.pdf.

[3] Výjimku představuje pouze provádění identifikace prostřednictvím osoby jednající jako zprostředkovatel nebo jiná osoba vázaná vnitřními předpisy povinné osoby, nejčastěji půjde o pojistné makléře nebo finanční poradce podle čl. 11 odst. 5 AML zákona.

[4] Viz https://www.epravo.cz/top/clanky/elektronicky-podpis-pohledem- aktualni-pravni-upravy-110560.html.

[5] https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+ pre-notified+and+notified+eID+schemes+under+eIDAS.

[6] Paradoxně u české notifikace je uveden pouze kvalifikovaný podpis založený na občanském průkazu s čipem, nikoliv jiné úložiště certifikátu (CZ eID card). Ale nepátrala jsem příliš do hloubky, proč tomu tak je.

[7] Můžeme hádat, k jakému výkladu se přikloní FAÚ. Na možnost zaslání kopie dokladu bych nesázela příliš vysoko.

[8] https://www.psp.cz/sqw/text/tiskt.sqw?O=8&CT=909&CT1=0.

[9] Velmi děkuji prof. Ing. V. Smejkalovi za vysvětlení prolamující mou neznalost v oblasti IT.

[10] F. Korbel, D. Kovář: Právní úprava bankovní identity, Bulletin advokacie č. 4/2021, str. 17-23.

[11] Zřejmě aby se vyhnulo citlivé otázce, zda jde o sčítání lidu nebo lidí, bez reminiscencí na dobu minulou, celý proces je prezentován pouze pod názvem Sčítání 2021.

[12] Skutečná výše ověřovací platby není rozhodná, nemusí jít o tu pomyslnou korunu.

[13] https://www.fatf-gafi.org/media)fatf/documents/recommendations/ Guidance-on-Digital-Identity.pdf.

[14] Ve smyslu ust. § 1819 o. z.

[15] Druhá směrnice o platebních službách tak nepřináší pouze komplikace – https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32015L2366.

[16] Teoreticky si lze představit situaci, kdy se jednoho obchodního vztahu účastní advokát i notář jako oprávněná osoba k vyhotovení zprostředkované identifikace.

[17] V praxi je možné nad skutečnou realizací tohoto prvku u některých malých kontaktních míst vyjádřit jisté rozpaky.

[18] Advokáti jako povinné osoby nemají povinnost zpracovávat tento dokument písemně, metodickou informaci k zavedení a uplatňování strategií při výkonu advokacie zpracovala Česká advokátní komora dle § 21 odst. 10 AML zákona. Po zapracování připomínek FAÚ ji advokátům zpřístupní.