Co je EDD (enhanced due diligence) a kdy ji musíte provést?

SDD, CDD a EDD – tři úrovně kontroly klienta

Zákon 253/2008 Sb. rozlišuje tři úrovně zákazní povinnosti, přičemž volba správné úrovně závisí na výsledku hodnocení rizik dle §9:

Zjednodušená kontrola (SDD) – §12

Zjednodušenou kontrolu lze uplatnit u klientů a produktů, u nichž zákon nebo příslušný dohledový orgán uznává inherentně nízké riziko praní peněz. Typicky jde o klienty z regulovaných finančních sektorů EU, nízkohodnotové finanční produkty nebo specifické státní instituce. Povinná osoba nicméně nesmí SDD aplikovat mechanicky – musí průběžně sledovat, zda se podmínky pro její použití nezměnily.

Standardní kontrola (CDD) – §7–§9

Standardní customer due diligence zahrnuje identifikaci a ověření totožnosti klienta (§8), zjištění účelu a zamýšlené povahy obchodního vztahu a průběžné sledování transakcí. CDD je výchozí úroveň aplikovaná u všech klientů, kteří nespadají ani do kategorie SDD, ani nevykazují indikátory zvýšeného rizika.

Hloubková kontrola (EDD) – §13–§14

EDD je povinná vždy, kdy hodnocení rizika dle §9 identifikuje zvýšené nebo vysoké riziko, nebo nastane-li zákonem definovaná situace bez ohledu na výsledek hodnocení rizika (např. klient je PEP). EDD jde substantivně nad rámec CDD: zahrnuje zjišťování původu majetku, schválení vedením a intenzivnější monitoring.

Kdy je EDD povinná – §13

Paragraf 13 zákona 253/2008 Sb. stanoví situace, v nichž povinná osoba musí přistoupit k posílené kontrole bez možnosti výjimky:

1. Klient nebo transakce z vysokorizikové třetí země

Pokud je klient usazen ve třetí zemi (mimo EU/EHP), která je zařazena na seznam vysokorizikových třetích zemí vydávaný Evropskou komisí, nebo pokud transakce pochází z takové země, je EDD povinná. Aktuální seznam Komise zahrnuje země s nedostatečnými AML systémy, strukturálními nedostatky dohledu nebo vysokou mírou korupce. Povinná osoba by měla tento seznam pravidelně sledovat, neboť je průběžně aktualizován.

2. Obchodní vztah vedený na dálku

Pokud klient v průběhu celého obchodního vztahu nikdy fyzicky nenavštíví povinnou osobu a identifikace i veškerá komunikace probíhají výhradně na dálku, zvyšuje se riziko zneužití vztahu. V takovém případě zákon vyžaduje EDD. Vzdálená identifikace za použití ověřených elektronických prostředků (bankovní identita, eIDAS) může být součástí EDD procesu, nicméně sama o sobě EDD nenahrazuje.

3. Nestandardní nebo složitá transakce

Nestandardně velká nebo složitá transakce, která nemá zřejmý ekonomický nebo právní účel, je silným indikátorem možného praní peněz. Povinná osoba musí prošetřit pozadí takové transakce a výsledek zdokumentovat. Pokud není uspokojivé vysvětlení dostupné, je zároveň povinna zvážit podání oznámení FAÚ dle §18.

4. Klienti z vysokorizikových odvětví

Zákon ani metodické pokyny FAÚ neposkytují uzavřený výčet odvětví, nicméně praxe a hodnocení rizik Evropského orgánu pro bankovnictví (EBA) jako vysokorizikové identifikují zejména:

• Obchodníky s virtuálními aktivy (VASP) a poskytovatele kryptoměnových služeb
• Provozovatele hazardních her a online kasin
• Obchodníky se zbraněmi, střelivem a vojenským materiálem
• Subjekty v jurisdikcích s vysokou mírou korupce nebo nedostatečným AML dohledem
• Zprostředkovatele hotovostně intenzivních podniků

Co EDD v praxi zahrnuje

EDD není jednorázový úkon, ale souhrn opatření, která povinná osoba musí přijmout, zdokumentovat a průběžně opakovat. V praxi zahrnuje:

• Zjištění původu majetku: povinná osoba musí zjistit, jak klient nabyl svůj majetek (dědictví, podnikání, investice, prodej nemovitosti apod.) a toto zjištění podložit dokumenty – výpisy z účtů, daňovými přiznáními, kupními smlouvami nebo notářskými zápisy
• Zjištění zdroje finančních prostředků: kde přesně pocházejí prostředky použité v konkrétní transakci – bankovní převod z vlastního účtu, úvěr, příjem z podnikání?
• Souhlas senior managementu (senior management approval): před navázáním nebo pokračováním obchodního vztahu musí odpovědná vedoucí osoba výslovně schválit tento vztah. Schválení musí být zdokumentováno
• Intenzivnější průběžný monitoring: transakce klienta jsou sledovány s vyšší frekvencí a podrobností než u standardní CDD. Jakákoli anomálie spouští přezkum a případné oznámení FAÚ
• Pravidelný přezkum: EDD není jednorázové opatření – obchodní vztah podléhá pravidelnému přezkumu (doporučeno minimálně jednou ročně), při němž se ověřuje, zda podmínky pro EDD stále trvají a zda se nezměnil rizikový profil klienta

PEP a EDD – §14

Politicky exponované osoby (PEP) představují zvláštní kategorii, pro niž zákon v §14 zakotvuje speciální EDD režim, a to bez ohledu na výsledek obecného hodnocení rizika dle §9. Povinná osoba musí identifikovat PEP status klienta a přijmout odpovídající opatření.

Za PEP jsou považovány fyzické osoby zastávající nebo v minulosti zastávající významné veřejné funkce, zejména:

• Hlavy států, předsedové vlád, ministři a jejich zástupci
• Členové parlamentů a zákonodárných sborů
• Členové nejvyšších soudů, ústavních soudů a jiných vrcholných soudních orgánů
• Vedoucí představitelé centrálních bank a nejvyšší kontrolních úřadů
• Vedoucí představitelé státních podniků a mezinárodních organizací
• Starostové a primátoři větších měst (dle metodiky FAÚ)

EDD povinnost se vztahuje také na rodinné příslušníky PEP (manžel/ka, děti, rodiče) a blízké spolupracovníky (obchodní partneři, společníci ve firmách). Tyto okruhy osob jsou zákonem definovány v §4 odst. 5 a 6.

Klíčový aspekt: EDD povinnost vůči PEP přetrvává po dobu 12 měsíců od ukončení výkonu veřejné funkce. Po uplynutí této lhůty povinná osoba přehodnotí, zda rizika spojená s bývalým PEP ještě odůvodňují pokračování EDD.

Dokumentační povinnost při EDD – §16

Zákon v §16 ukládá povinné osobě uchovávat veškerou dokumentaci vzniklou při plnění AML povinností po dobu 10 let. U EDD je dokumentační zátěž výrazně vyšší než u standardní CDD – každý krok musí být doložen.

Dokumentace EDD musí zahrnovat:

• Zdůvodnění, proč byl pro konkrétního klienta nebo transakci zvolen režim EDD
• Doklady prokazující původ majetku (bankovní výpisy, kupní smlouvy, výpisy z obchodního rejstříku, daňová přiznání)
• Doklady prokazující zdroj finančních prostředků použitých v transakci
• Záznamy o výsledcích PEP a sankčního screeningu s daty a použitými databázemi
• Písemný souhlas senior managementu se zahájením nebo pokračováním obchodního vztahu
• Záznamy z průběžného monitoringu s komentáři k identifikovaným anomáliím nebo jejich absenci
• Záznamy z pravidelných přezkumů rizikového profilu klienta

Absence nebo neúplnost dokumentace je sama o sobě podkladem pro sankci ze strany dohledového orgánu – a to i tehdy, kdy k žádnému praní peněz fakticky nedošlo. FAÚ a sektorové dohledové orgány hodnotí kvalitu procesů, nikoli pouze výsledky.

Jak AML PROOF pomáhá s EDD

EDD je nejnáročnější část AML compliance – vyžaduje systematický přístup, spolehlivé databáze a precizní dokumentaci. AML PROOF tyto procesy digitalizuje a strukturuje tak, aby povinná osoba nic nezanedbala.

Automatická identifikace EDD triggerů

Při zadání klientových dat systém automaticky vyhodnotí, zda nastaly podmínky pro EDD – přítomnost v seznamu vysokorizikových zemí, PEP status, vzdálená identifikace nebo odvětvové riziko. Pokud ano, systém automaticky přepne na EDD workflow a vyzve k doplnění potřebných informací.

PEP a sankční screening v reálném čase

AML PROOF prověřuje každého klienta i skutečného majitele v globálních databázích PEP a sankčních listinách (EU, OSN, OFAC, HMT) v reálném čase. Výsledky jsou ukládány s přesným časovým razítkem a jsou součástí auditovatelného záznamu klienta.

Strukturovaný EDD dotazník

Pro klienty v EDD režimu systém generuje rozšířený dotazník zahrnující sekce pro původ majetku, zdroj finančních prostředků a prohlášení o PEP statusu. Klient odpovídá online a může přímo nahrát podkladové dokumenty. Vše je okamžitě archivováno a přístupné pro přezkum.

Průběžný monitoring a upozornění

Systém sleduje klienty v EDD kategorii a upozorňuje na blížící se termíny pravidelných přezkumů, změny v sankčních listinách nebo PEP databázích a anomálie v transakčním chování. Přezkumy jsou zaznamenávány s datem a odpovědnou osobou, čímž vzniká úplný audit trail vyžadovaný §16 AML zákona.