Zákon č. 253/2008 Sb. o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu ukládá větším povinným osobám povinnost jmenovat tzv. odpovědnou osobu — v mezinárodní terminologii označovanou jako MLRO (Money Laundering Reporting Officer). Tato osoba je interním pilířem celého AML programu: přijímá oznámení od zaměstnanců, komunikuje s Finančním analytickým úřadem (FAÚ) a dohlíží na to, aby firma plnila zákonné povinnosti. Absence MLRO nebo jeho formální jmenování bez reálných pravomocí patří mezi nejčastější nedostatky zjišťované FAÚ při kontrolách.
Co je MLRO a co upravuje §21a?
Paragraf 21a AML zákona zavedl povinnost jmenovat odpovědnou osobu, která je vrcholně zodpovědná za AML compliance uvnitř firmy. MLRO není externím poradcem ani nominálním titulem — jde o skutečnou funkci s konkrétními pravomocemi a odpovědností. MLRO musí mít přímý přístup k vedení firmy, k informacím o klientech a transakcích, a musí být schopen přijímat a realizovat rozhodnutí o podání oznámení FAÚ nezávisle na obchodním tlaku.
Zákon výslovně nestanovuje, že MLRO musí být zaměstnancem — může jít i o jednatele nebo majitele malé firmy, který tuto roli zastává vedle svých dalších funkcí. Klíčové je, aby byl jmenován písemně a aby jeho jméno a kontakt byly zaneseny do Systému vnitřních zásad (SVZ) dle §21 AML zákona.
Kdo musí MLRO jmenovat?
Podle §21a odst. 1 AML zákona je povinnost jmenovat odpovědnou osobu formálně vázána na povinné osoby, které mají více než 10 zaměstnanců nebo jejichž roční obrat přesahuje 25 000 000 Kč. Tato hranice by však neměla vést k závěru, že menší firmy jsou od povinnosti osvobozeny. FAÚ ve svých metodických doporučeních opakovaně zdůrazňuje, že i menší povinné osoby by měly jmenovat MLRO — nebo alespoň určit osobu odpovědnou za AML agendu — protože absence takové osoby je posuzována jako systémový nedostatek při AML kontrole.
Kdo může být MLRO?
Zákon nestanoví zvláštní kvalifikační požadavky ani povinnou certifikaci. MLRO musí splňovat tyto předpoklady:
- Jde o člena vrcholného vedení nebo vedoucího pracovníka s dostatečnými pravomocemi v rámci organizace.
- Má neomezený přístup k informacím o klientech, obchodech a interním AML systému.
- Absolvoval nebo absolvuje školení v AML legislativě dle §23 AML zákona.
- Je schopen jednat nezávisle na obchodních zájmech — klíčová podmínka pro reálnou funkčnost role.
U malých firem bývá MLRO typicky jednatel, majitel nebo office manager. U středních a větších firem jde o compliance manažera, CFO nebo právníka. FAÚ hodnotí vhodnost MLRO v kontextu velikosti a rizikového profilu firmy — u relativně jednoduché AML agendy malé firmy postačí proškolený jednatel.
Povinnosti MLRO
MLRO nese odpovědnost za komplexní fungování AML programu firmy. Konkrétní povinnosti zahrnují:
- Přijímání interních oznámení: Zaměstnanci jsou povinni hlásit podezřelé obchody MLRO — ne přímo FAÚ. MLRO je prvním filtrem, který posoudí, zda podezření je odůvodněné.
- Rozhodování o podání oznámení FAÚ (§18): MLRO rozhoduje, zda podat Suspicious Transaction Report (STR) FAÚ. Toto rozhodnutí musí být vždy zdokumentováno — včetně případného rozhodnutí nepodat oznámení s odůvodněním.
- Pravidelný reporting vedení: MLRO pravidelně informuje vedení firmy o stavu AML compliance, identifikovaných rizicích a přijatých opatřeních.
- Dohled nad školením zaměstnanců (§23): Zajistit, aby všichni relevantní zaměstnanci absolvovali AML školení a aby byla vedena evidence školení.
- Aktualizace SVZ: Dohlíží na to, aby systém vnitřních zásad byl pravidelně aktualizován a odrážel aktuální legislativní požadavky.
- Uchovávání záznamů (§16): Záznamy o rozhodnutích MLRO musí být uchovávány po dobu 10 let.
Jak MLRO správně jmenovat — krok za krokem
- Určit vhodnou osobu — vedoucí pracovník s dostatečnými pravomocemi a přístupem k informacím.
- Zapsat do SVZ — jméno, funkce a kontaktní údaje MLRO musí být součástí Systému vnitřních zásad (§21 AML zákona).
- Zajistit školení — MLRO musí projít školením v AML legislativě (§23). Školicí materiály mohou být interní nebo zajištěné externím poskytovatelem.
- Nastavit interní kanál pro hlášení — jasně definovat, jak zaměstnanci hlásí podezřelé obchody MLRO (e-mail, formulář v systému, interní hotline).
- Dokumentovat jmenování — ačkoli zákon přímou notifikaci FAÚ o jmenování MLRO nevyžaduje, doporučuje se mít jmenování zdokumentováno interně pro případ kontroly.
Co když MLRO nemám?
Absence odpovědné osoby nebo její čistě formální jmenování bez reálných pravomocí jsou jedním z nejčastěji sankcionovaných nedostatků při AML kontrolách FAÚ. Kontrolní orgán hodnotí nejen to, zda MLRO existuje na papíře, ale zda skutečně funguje — zda jsou vedeny záznamy o jeho rozhodnutích, zda jsou zaměstnanci informováni o tom, komu a jak hlásit podezřelé obchody, a zda MLRO absolvoval příslušné školení. Za systémové nedostatky může FAÚ uložit pokutu až 10 000 000 Kč dle §44 AML zákona.
Jak AML PROOF pomáhá s agendou MLRO?
AML PROOF zahrnuje v SVZ šabloně dedikovanou sekci pro odpovědnou osobu, která splňuje požadavky §21a AML zákona. Platforma poskytuje interní kanál pro hlášení podezřelých obchodů — zaměstnanci mohou podat interní oznámení přímo v systému a MLRO ho okamžitě obdrží k posouzení. Veškerá rozhodnutí MLRO jsou automaticky zaznamenána do auditního logu s časovými razítky, který je uchovávána po zákonnou dobu 10 let a exportovatelný pro potřeby FAÚ.
Nejčastější otázky
Musí mít každá povinná osoba MLRO?
Formální povinnost dle §21a se vztahuje na firmy s více než 10 zaměstnanci nebo obratem nad 25 mil. Kč. FAÚ ale doporučuje jmenovat MLRO i menším firmám — absence odpovědné osoby je vnímána jako nedostatek AML systému při kontrolách.
Kdo může být jmenován jako MLRO?
Člen vrcholného vedení nebo vedoucí pracovník s dostatečnými pravomocemi a přístupem k informacím. Zákon nevyžaduje zvláštní certifikaci, ale MLRO musí projít AML školením dle §23. U malých firem to může být jednatel nebo majitel.
Jaké jsou povinnosti MLRO při podezřelém obchodu?
MLRO přijímá interní oznámení od zaměstnanců, posuzuje je a rozhoduje, zda podat oznámení FAÚ dle §18. Své rozhodnutí musí vždy dokumentovat — i rozhodnutí nepodat oznámení — a záznamy uchovávat 10 let dle §16.