AML a KYC pro firmy: jak splnit povinnosti „poznej svého klienta“

Povinnost KYC: Poznej svého klienta

Zákon ukládá vybraným firmám povinnost provádět opatření „Poznej svého klienta“ (KYC), aby zabránily praní špinavých peněz a financování terorismu. Podobné požadavky platí po celém světě – banky, finanční instituce i další podniky musí ověřovat legitimitu svých klientů a chránit sebe i své partnery před podvody a finanční kriminalitou. Nesplnění těchto povinností může vést k vysokým pokutám i poškození reputace firmy.

Kdo musí plnit povinnosti KYC?

Povinnost identifikovat a kontrolovat klienty se nevztahuje na všechny podnikatele, ale pouze na tzv. povinné osoby definované v AML zákoně č. 253/2008 Sb. Tyto subjekty se svou činností mohou podílet na finančních transakcích, které by mohly být zneužity k praní peněz nebo financování terorismu. Níže je přehled hlavních kategorií povinných osob podle české legislativy:

• Úvěrové instituce – banky, spořitelní a úvěrní družstva.
• Finanční instituce – investiční fondy, penzijní společnosti, pojišťovny, leasingové společnosti, směnárny, poskytovatelé úvěrů a platebních služeb malého rozsahu.
• Provozovatelé hazardních her – kasina, sázkové kanceláře, loterijní provozovatelé apod.
• Správci investičních a penzijních fondů – subjekty oprávněné k administraci nebo obhospodařování těchto fondů.
• Realitní kanceláře – osoby obchodující nebo zprostředkovávající obchod s nemovitostmi.
• Auditoři, daňoví poradci a účetní – odborníci poskytující právní, daňové či ekonomické služby v oblasti peněžních plnění.
• Notáři, advokáti a soudní exekutoři – při úschově peněz či cenných papírů, jednání jménem klienta, správě majetku nebo zakládání obchodních společností.
• Obchodníci s kulturními památkami a uměleckými předměty – včetně galerií a aukčních domů.
• Svěřenští správci – a osoby v obdobném postavení u svěřenských fondů (včetně zahraničních struktur).
• Obchodníci s použitým zbožím a zastavárny – kde dochází k častým hotovostním transakcím.
• Poskytovatelé služeb spojených s virtuálními aktivy – např. provozovatelé směnáren kryptoměn, burz či e-shopů přijímajících platby ve virtuální měně.

Pro všechny tyto subjekty platí povinnost vést interní systém ověřování klientů, provádět identifikaci a kontrolu klienta, hlásit podezřelé transakce Finančnímu analytickému úřadu (FAÚ) a průběžně vyhodnocovat rizika podle principu „znáš svého klienta“.

Hlavní povinnosti KYC

Povinné osoby musí provádět řádnou identifikaci a kontrolu klienta (Customer Due Diligence) v rozsahu daném zákonem. Níže uvádíme přehled hlavních kroků, které KYC proces zahrnuje:

1. Identifikace klienta

Při navazování obchodního vztahu nebo uskutečnění významnějšího obchodu musí firma nejprve identifikovat klienta. To znamená zjistit a zaznamenat zákonem stanovené údaje z jeho dokladů totožnosti.

U fyzické osoby se zaznamenává jméno, příjmení, rodné číslo (nebo datum narození), bydliště a další údaje z občanského průkazu. Současně se ověřuje, že podoba klienta odpovídá fotografii na dokladu.

U právnické osoby se zjišťuje obchodní firma, IČO a sídlo a identifikují se členové statutárního orgánu (jednatelé, ředitelé apod.) obdobně jako u fyzické osoby. Veškeré údaje z identifikace je nutné archivovat po dobu 10 let od uskutečnění transakce.

Kdy je identifikace povinná?

AML zákon přesně vymezuje situace, kdy musí povinná osoba provést identifikaci klienta. Obecně platí hranice hodnoty obchodu 1 000 EUR – při překročení této částky je nutné klienta vždy identifikovat.

Nezávisle na tomto limitu je identifikace povinná také:

• při vzniku trvalého obchodního vztahu,
• při podezřelém obchodu jakékoli hodnoty,
• v dalších zvláštních situacích stanovených zákonem (např. obchody s kulturními památkami, použitým zbožím, přijetí vkladu v hotovosti na anonymní vkladní knížku, výplata pojistného plnění cizí osobě apod.).

2. Kontrola klienta (Customer Due Diligence)

Samotná identifikace, tedy opsání údajů z dokladů, nestačí. Následuje kontrola klienta – hlubší prověření jeho pozadí a rizikového profilu. Účelem je posoudit, zda u daného klienta nebo obchodu nehrozí zvýšené riziko praní peněz či financování terorismu, a podle toho upravit další postup. Kontrola zahrnuje zejména tyto kroky:

Zjištění skutečného majitele (UBO)

Pokud je klientem právnická osoba, musí si povinná osoba obstarat informace o skutečném majiteli firmy (tj. fyzické osobě, která fakticky ovládá nebo má prospěch z činnosti firmy). Podle zákona je nutné ověřit totožnost skutečného majitele z důvěryhodných zdrojů – vždy alespoň z Evidence skutečných majitelů (rejstřík vedený Ministerstvem spravedlnosti) a ideálně i z dalšího nezávislého zdroje.

Cílem je zjistit, kdo konkrétně stojí za firmou, a ověřit, zda tato osoba nevykazuje rizikové znaky. Zákon rovněž vyžaduje ověřit, zda skutečný majitel není politicky exponovanou osobou (PEP) ani osobou na sankčním seznamu.

Kontrola sankčních seznamů a PEP

Povinná osoba musí ověřit, jestli klient nefiguruje na mezinárodních sankčních seznamech a zda není politicky exponovanou osobou (PEP). Sankční seznamy zahrnují osoby a entity, na které se vztahují mezinárodní sankce (např. seznamy OSN, EU či národní sankce).

Politicky exponovaná osoba je jedinec ve významné veřejné funkci (např. vrcholný politik, soudce, vysoce postavený úředník, manažer státního podniku apod.), u kterého je vyšší riziko korupce. Jména klientů je potřeba porovnat s databázemi PEP a globálními sankčními seznamy – pokud by byl klient sankcionován nebo šlo o PEP, je nutné uplatnit zesílenou kontrolu (Enhanced Due Diligence).

Získání informací o účelu a povaze obchodu

Firma by měla zjistit a vyhodnotit, jaký je účel zamýšlené transakce nebo obchodního vztahu a čím se klient zabývá. Prověřuje se například:

• proč chce klient provést danou transakci,
• odkud pocházejí použité finanční prostředky,
• jaká je vlastnická a řídicí struktura společnosti klienta.

Prověřuje se i zdroj financí – pokud klient uvádí, že peníze pocházejí z prodeje nemovitosti, dědictví nebo výhry, může firma požadovat doložení těchto tvrzení relevantními dokumenty.

Vyhodnocení rizikovosti a zesílená kontrola

Na základě výše uvedených zjištění musí povinná osoba provést hodnocení rizik. Zvažuje se rizikovost klienta (např. neobvyklá či neprůhledná vlastnická struktura, klient bez doporučení, neznámý původ prostředků), rizikovost obchodního vztahu (např. jednorázové nebo nestandardně vysoké transakce) a zeměpisné riziko (např. původ klienta z rizikové země).

Pokud je riziko vyhodnoceno jako vyšší, zákon vyžaduje zesílenou kontrolu klienta (Enhanced Due Diligence) – například zpřísnění ověřování, častější monitorování nebo doplnění dokumentů. Naopak u nízkorizikových klientů lze uplatnit zjednodušenou kontrolu (Simplified Due Diligence), pokud to zákon dovoluje.

Průběžné sledování a aktualizace informací

KYC není jednorázová záležitost pouze při navázání spolupráce. Povinné osoby musí průběžně monitorovat obchodní vztah – sledovat, zda transakce klienta odpovídají jeho profilu a průběžně aktualizovat informace o klientovi i jeho skutečných majitelích. Pokud se objeví nové rizikové faktory (např. klient se stane PEP nebo začne obchodovat ve vysokém objemu), je třeba úroveň kontroly přizpůsobit.

3. Vnitřní postupy a školení

Kromě práce s klienty má každá povinná osoba také organizační povinnosti. Musí vypracovat písemné hodnocení rizik praní peněz a financování terorismu ve svých činnostech – a to do 60 dnů od okamžiku, kdy se stane povinnou osobou.

Tento dokument popisuje interní procesy, jak firma rizika identifikuje, vyhodnocuje a jaké zavedla kontrolní opatření k jejich řízení. Součástí systému je také jmenování odpovědné osoby za AML agendu a pravidelné školení zaměstnanců – alespoň jednou ročně, aby dokázali rozpoznat podezřelé obchody a postupovali správně podle zákona.

4. Oznamování podezřelých obchodů

Pokud firma v rámci KYC zjistí podezřelé skutečnosti – např. klient odmítá poskytnout informace, předkládá falešné údaje nebo transakce nedává ekonomický smysl – nesmí takový obchod uskutečnit a musí zvážit oznámení příslušnému úřadu.

Podle zákona má povinná osoba oznamovací povinnost vůči Finančnímu analytickému úřadu (FAÚ) v případě podezřelého obchodu. Oznámení se podává online formulářem FAÚ nebo přes datovou schránku, a to neprodleně. FAÚ může následně pozastavit transakci až na 48 hodin a případně předat věc orgánům činným v trestním řízení.

Checklist KYC povinností pro firmy

Pro rychlou orientaci uvádíme kontrolní seznam kroků, které by povinná osoba měla provést, aby splnila požadavky „Poznej svého klienta“ (KYC):

• Identifikujte klienta – vyžádejte a ověřte doklad totožnosti u fyzické osoby, případně identifikujte statutární zástupce u právnické osoby. Zaznamenejte všechny zákonem požadované údaje (jméno, adresa, datum narození atd.).
• Ověřte firmu v rejstřících – zkontrolujte obchodní rejstřík (existenci společnosti, adresu sídla, statutární orgán) a živnostenský rejstřík (platná oprávnění). Ujistěte se, že jednáte se skutečně existujícím subjektem. Nebo využijte profil firmy na Chytrém Rejstříku, kde najdete kompletní Due Diligence na pár kliků.
• Zjistěte skutečné majitele – identifikujte skutečného majitele společnosti (UBO). Nahlédněte do Evidence skutečných majitelů a ověřte, že uvedení vlastníci dávají smysl vzhledem k charakteru obchodu. Pokud jsou majitelé z neobvyklých zemí nebo je struktura nepřehledná, zvyšte pozornost.
• Prověřte sankce a PEP – projděte sankční seznamy EU/OSN pro jména klienta, jeho vlastníků či klíčových osob. Zjistěte, zda některá z těchto osob není politicky exponovaná osoba (PEP). V případě pozitivního nálezu aplikujte zpřísněná opatření (nebo obchod odmítněte, jde-li o sankcionovanou entitu).
• Zkontrolujte právní a finanční minulost – ověřte v rejstříku trestů právnických osob, že společnost nemá záznam. Můžete také nahlédnout do insolvenčního rejstříku nebo získat reference z trhu. V Chytrém Rejstříku se tyto informace zobrazují na kartě Rizika v profilu firmy.
• Získejte informace o účelu a zdrojích – zeptejte se klienta na účel spolupráce a původ financí. Pokud něco působí podezřele, vyžádejte si doplňující dokumenty (např. potvrzení o původu peněz).
• Vyhodnoťte rizikovost – proveďte interní rizikové hodnocení klienta a transakce. Zvažte všechny faktory: typ klienta, zemi původu, vlastnickou strukturu, výši transakce, sektor podnikání, případné negativní informace. Klienta zařaďte do rizikové kategorie a stanovte frekvenci monitoringu.
• Zdokumentujte a uchovejte záznamy – veškeré provedené kontroly a zjištění řádně dokumentujte (kopie dokladů, výpisy z rejstříků, formuláře identifikace). Záznamy uchovejte nejméně 10 let pro případ kontroly.
• Školte zaměstnance – zajistěte, aby všichni pracovníci rozuměli svým KYC povinnostem. Pravidelně (alespoň jednou ročně) je školte o legislativních změnách a varovných signálech.
• Reagujte na podezřelé okolnosti – pokud klient odmítá identifikaci, lže nebo spěchá na podezřele výhodný obchod, nepokračujte v transakci, dokud se situace nevyjasní. V případě podezření na praní peněz podejte oznámení Finančnímu analytickému úřadu (FAÚ).

Usnadněte si plnění povinností

Implementace všech výše uvedených kroků může být pro firmy administrativně náročná. Dobrou zprávou je, že dnes existují moderní AML a KYC nástroje, které proces automatizují. Tyto systémy dokáží propojit více datových zdrojů a prověřit klienta na jedno kliknutí – automaticky ověří firmu v rejstřících, zjistí skutečné majitele, zkontrolují sankční a PEP seznamy, projdou rejstřík trestů právnických osob a analyzují i vazby na jiné subjekty.

Zdroje

• Ministerstvo financí ČR – Národní strategie pro boj proti praní špinavých peněz a financování terorismu 2025–2027
• Ministerstvo průmyslu a obchodu ČR – Nové povinnosti pro živnostníky podle novely AML zákona
• BusinessInfo.cz – Povinnosti podnikatelů podle zákona proti praní špinavých peněz
• Thomson Reuters – 5 essential steps for KYC/AML onboarding and compliance
• Ministerstvo spravedlnosti ČR – Evidence rejstříku trestů právnických osob