Art. 64. 1. Zezwolenie, o którym mowa w art. 60 ust. 1, może być udzielone,
jeżeli podmiot:
1) posiada kapitał założycielski co najmniej w wysokości równowartości w walucie
polskiej:
a) kwoty 125 000 euro – w przypadku gdy wnioskodawca zamierza świadczyć
wszystkie usługi płatnicze wymienione w art. 3 ust. 1 pkt 1–5 lub niektóre z nich,
b) kwoty 50 000 euro – w przypadku gdy wnioskodawca zamierza świadczyć
usługę płatniczą, o której mowa w art. 3 ust. 1 pkt 7,
c) kwoty 20 000 euro – w przypadku gdy wnioskodawca zamierza świadczyć
jedynie usługę płatniczą, o której mowa w art. 3 ust. 1 pkt 6;
2) posiada fundusze własne w wymaganej wysokości;
3) zapewnia ostrożne i stabilne zarządzanie działalnością objętą wnioskiem
o wydanie zezwolenia, w szczególności przez posiadanie systemu zarządzania
ryzykiem i kontroli wewnętrznej odpowiedniego do rodzaju, skali i stopnia
złożoności świadczonych usług płatniczych, zapewniającego należyte
wypełnianie między innymi obowiązków związanych z przeciwdziałaniem
praniu pieniędzy i finansowaniu terroryzmu oraz obejmującego rozwiązania
organizacyjne mające służyć ochronie środków pieniężnych użytkowników
zgodnie z art. 78;
4) jest zarządzany przez osoby, o których mowa w art. 61 ust. 1 pkt 8, dające
rękojmię ostrożnego i stabilnego zarządzania jego działalnością;
5) posiada środki finansowe na pokrycie kapitału założycielskiego niepochodzące
z kredytu, pożyczki albo w inny sposób nieobciążone oraz niepochodzące
z nielegalnych lub nieujawnionych źródeł;
6) posiada plan finansowy lub program działalności zapewniający zdolność
krajowej instytucji płatniczej do wykonywania zobowiązań wynikających
z działalności objętej wnioskiem o wydanie zezwolenia;
7) nie posiada bliskich powiązań z podmiotami trzecimi, które stanowią przeszkodę
w skutecznym wykonywaniu funkcji nadzorczych;
8) nie posiada bliskich powiązań z podmiotami trzecimi, w przypadku których
przepisy prawa państwa innego niż państwo członkowskie mające zastosowanie
do co najmniej jednej osoby fizycznej lub prawnej, z którą wnioskodawca ma
bliskie powiązania, lub trudności związane z egzekwowaniem tych przepisów
uniemożliwiałyby skuteczne wykonywanie nadzoru nad krajową instytucją płatniczą;
9) zapewnia spełnianie wymogów określonych w przepisach rozporządzenia
delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r.
uzupełniającego dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366
w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego
uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji;
10) posiada ubezpieczenie odpowiedzialności cywilnej, gwarancję bankową,
gwarancję ubezpieczeniową lub inne zabezpieczenie roszczeń użytkownika –
w przypadku, o którym mowa w art. 61b ust. 1.
2. Równowartość w walucie polskiej podanych w ust. 1 pkt 1 kwot w euro ustala
się przy zastosowaniu kursu średniego ogłaszanego przez NBP, obowiązującego
w dniu wydania zezwolenia.
3. (uchylony)

Art. 64a. 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej,
o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące
pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych
w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności
w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub
w przypadku prowadzenia innej działalności gospodarczej oprócz
świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania
oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami
o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz
regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od
użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz
monitorowania i rozpatrywania skarg użytkowników, w tym skarg
związanych z bezpieczeństwem, a także działań następczych w przypadku
wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania
incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie
zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji,
monitorowania i śledzenia szczególnie chronionych danych dotyczących
płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące
i dokładne określenie krytycznych operacji oraz określenie skutecznych
planów awaryjnych i procedury na potrzeby regularnego weryfikowania
i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych
dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka
w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych
oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych
w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym
ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem
szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być
uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje
w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli
podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych,
oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do
agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym
kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa
w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu
bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do
oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub
podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części
czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa,
o których mowa w dziale IIa.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób
funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. Minister właściwy do spraw instytucji finansowych określi, w drodze
rozporządzenia, wytyczne dotyczące środków, o których mowa w ust. 3a, mając na
uwadze konieczność zapewnienia prawidłowego zarządzania ryzykiem operacyjnym
oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych,
a także uwzględniając wytyczne wydane w tym zakresie przez EUNB.

Ustawa o usługach płatniczych art. 64

DODAJ