5.-(1) Τηρουμένων των διατάξεων του άρθρου 5(2) ή του άρθρου 34, ίδρυμα πληρωμών του οποίου η Δημοκρατία είναι κράτος μέλος προέλευσης επιτρέπεται να παρέχει υπηρεσίες πληρωμών, μόνο εφόσον έχει λάβει προηγούμενη άδεια λειτουργίας από την Κεντρική Τράπεζα, σύμφωνα με τις διατάξεις του παρόντος Νόμου, η οποία μπορεί να χορηγηθεί μόνο σε νομικά πρόσωπα που πληρούν τις ακόλουθες προϋποθέσεις:
(α) Έχουν συσταθεί στη Δημοκρατία. και
(β) διαθέτουν την καταστατική τους έδρα και τα κεντρικά τους γραφεία στη Δημοκρατία.
(2)(α) Η Κεντρική Τράπεζα δύναται με οδηγία της να εξαιρεί φυσικό ή νομικό πρόσωπο που παρέχει τις υπηρεσίες που απαριθμούνται στα σημεία 1 έως 6 του Παραρτήματος Ι από την εφαρμογή του συνόλου ή μέρους της διαδικασίας και των όρων που προβλέπονται στο παρόν άρθρο και στα άρθρα 6 έως 33, εξαιρουμένων των άρθρων 13(4) και (5), 14, 15, 22, 24, 25, 27 και 33, εφόσον-
(i) Ο μηνιαίος μέσος όρος της συνολικής αξίας των πράξεων πληρωμής του προηγούμενου δωδεκαμήνου οι οποίες πραγματοποιήθηκαν από το ενδιαφερόμενο πρόσωπο, συμπεριλαμβανομένων των αντιπροσώπων για τους οποίους αναλαμβάνει την πλήρη ευθύνη, δεν υπερβαίνει το όριο που θέτει η Κεντρική Τράπεζα και σε καμία περίπτωση τα τρία εκατομμύρια ευρώ (€3.000.000). η απαίτηση αυτή αξιολογείται βάσει του συνολικού ποσού πράξεων πληρωμής που προβλέπεται στο επιχειρηματικό του σχέδιο, εκτός αν η Κεντρική Τράπεζα ζητήσει αναπροσαρμογή του. και
(ii) κανένα από τα φυσικά πρόσωπα που είναι υπεύθυνα για τη διοίκηση ή τη λειτουργία της επιχείρησης δεν έχει καταδικαστεί για αδικήματα σχετικά με νομιμοποίηση εσόδων από παράνομες δραστηριότητες ή χρηματοδότηση της τρομοκρατίας ή άλλα οικονομικά εγκλήματα.
(β) Κάθε φυσικό ή νομικό πρόσωπο που έχει καταχωριστεί σύμφωνα με την παράγραφο (α) υποχρεούται να διατηρεί την καταστατική του έδρα ή τα γραφεία του στο κράτος μέλος στο οποίο ασκεί πραγματικά τις επιχειρηματικές του δραστηριότητες.
(γ) Τα πρόσωπα που αναφέρονται στην παράγραφο (α) αντιμετωπίζονται ως ιδρύματα πληρωμών και οι διατάξεις του άρθρου 11(9) και των άρθρων 29, 30 και 31 δεν εφαρμόζονται έναντι αυτών.
(δ) Η Κεντρική Τράπεζα δύναται επίσης να ορίζει ότι φυσικά ή νομικά πρόσωπα καταχωρισμένα σύμφωνα με την παράγραφο (α) επιτρέπεται να ασκούν μόνο ορισμένες από τις δραστηριότητες που προβλέπονται στο άρθρο 18.
(ε) Τα πρόσωπα που αναφέρονται στην παράγραφο (α) γνωστοποιούν στην Κεντρική Τράπεζα κάθε μεταβολή της κατάστασής τους σχετική με τους όρους που προβλέπονται στην εν λόγω παράγραφο, ενώ σε περίπτωση που δεν πληρούνται πλέον οι όροι των παραγράφων (α), (β) ή (δ), τα ενδιαφερόμενα πρόσωπα αιτούνται άδειας λειτουργίας εντός τριάντα (30) ημερολογιακών ημερών, σύμφωνα με το άρθρο 11.
(στ) Το παρόν εδάφιο δεν εφαρμόζεται όσον αφορά την Οδηγία (ΕΕ) 2015/849 ή το κυπριακό δίκαιο για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες.
(3) Για την απόκτηση άδειας λειτουργίας ιδρύματος πληρωμών, ο ενδιαφερόμενος του οποίου η Δημοκρατία συνιστά κράτος μέλος προέλευσης υποβάλλει αίτηση στην Κεντρική Τράπεζα συνοδευόμενη από τα ακόλουθα στοιχεία:
(α) Πρόγραμμα δραστηριοτήτων στο οποίο αναφέρεται ειδικότερα το είδος των προβλεπόμενων υπηρεσιών πληρωμών·
(β) επιχειρηματικό σχέδιο που περιλαμβάνει πρόβλεψη προϋπολογισμού για τα τρία (3) πρώτα οικονομικά έτη και το οποίο καταδεικνύει την ικανότητα του ιδρύματος πληρωμών να χρησιμοποιεί τα κατάλληλα και ανάλογα συστήματα, πόρους και διαδικασίες που εξασφαλίζουν την εύρυθμη λειτουργία του·
(γ) στοιχεία που τεκμηριώνουν ότι το ίδρυμα πληρωμών διαθέτει το αρχικό κεφαλαίο, όπως προβλέπεται στο άρθρο 7∙
(δ) για τα ιδρύματα πληρωμών που αναφέρονται στο άρθρο 10(1), περιγραφή των μέτρων που λαμβάνονται, ώστε να διασφαλίζονται τα κεφάλαια των χρηστών της υπηρεσίας πληρωμών σύμφωνα με το άρθρο 10·
(ε) περιγραφή του οργανωτικού πλαισίου διακυβέρνησης και των μηχανισμών εσωτερικού ελέγχου του αιτούντος, συμπεριλαμβανομένων της διοικητικής και λογιστικής οργάνωσης και της διαχείρισης κινδύνου, η οποία καταδεικνύει ότι το εν λόγω οργανωτικό πλαίσιο και οι μηχανισμοί είναι αναλογικοί, κατάλληλοι, ορθοί και επαρκείς∙
(στ) περιγραφή της υφιστάμενης διαδικασίας ελέγχου, διαχείρισης και παρακολούθησης ενός περιστατικού ασφαλείας, καθώς και των παραπόνων των πελατών για ζητήματα σχετικά με την ασφάλεια, συμπεριλαμβανομένου ενός μηχανισμού αναφοράς περιστατικών, που λαμβάνει υπόψη τις υποχρεώσεις κοινοποίησης του ιδρύματος πληρωμών σύμφωνα με το άρθρο 96∙
(ζ) περιγραφή της υφιστάμενης διαδικασίας αρχειοθέτησης, παρακολούθησης, εντοπισμού και περιορισμού της πρόσβασης σε ευαίσθητα δεδομένα πληρωμών∙
(η) περιγραφή των ρυθμίσεων επιχειρησιακής συνέχειας, με σαφή προσδιορισμό των κρίσιμων λειτουργιών, αποτελεσματικών σχεδίων έκτακτης ανάγκης και διαδικασίας για την τακτική δοκιμή και επανεξέταση της επάρκειας και της αποτελεσματικότητας των εν λόγω σχεδίων·
(θ) περιγραφή των αρχών και των ορισμών που εφαρμόζονται για τη συλλογή στατιστικών στοιχείων επίδοσης, συναλλαγών και απάτης·
(ι) έγγραφο που περιγράφει την πολιτική ασφάλειας, περιλαμβανομένων της λεπτομερούς αξιολόγησης των κινδύνων που σχετίζονται με τις υπηρεσίες πληρωμών και περιγραφής του ελέγχου της ασφάλειας και των μέτρων μείωσης κινδύνων που θα ληφθούν για την επαρκή προστασία των χρηστών των υπηρεσιών πληρωμών έναντι των κινδύνων που έχουν εντοπιστεί, συμπεριλαμβανομένων της απάτης και της παράνομης χρήσης ευαίσθητων και προσωπικών δεδομένων·
(ια) για ιδρύματα πληρωμών που υπόκεινται στις υποχρεώσεις σχετικά με τη νομιμοποίηση εσόδων από παράνομες δραστηριότητες και τη χρηματοδότηση της τρομοκρατίας που προβλέπεται στον περί Παρεμπόδισης και Καταπολέμησης της Νομιμοποίησης Εσόδων από Παράνομες Δραστηριότητες Νόμο και στον Κανονισμό (ΕΕ) 2015/847 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, περιγραφή των μηχανισμών εσωτερικού ελέγχου που έχει θεσπίσει ο αιτών, ώστε να τηρεί τις εν λόγω υποχρεώσεις·
(ιβ) περιγραφή της οργανωτικής δομής του αιτούντος και, όπου ενδείκνυται, της σχεδιαζόμενης χρήσης αντιπροσώπων και υποκαταστημάτων, καθώς και των επιτόπιων και μη επιτόπιων ελέγχων αυτών, τους οποίους δεσμεύεται να πραγματοποιεί ο αιτών τουλάχιστον ετησίως, καθώς και περιγραφή των ρυθμίσεων εξωτερικής ανάθεσης και της συμμετοχής του σε εθνικό ή διεθνές σύστημα πληρωμών∙
(ιγ) ταυτότητα των προσώπων που κατέχουν, άμεσα ή έμμεσα, ειδικές συμμετοχές στο ίδρυμα πληρωμών, κατά την έννοια του Άρθρου 4, παράγραφος 1, σημείο 36) του Κανονισμού (ΕΕ) αριθ. 575/2013, το μέγεθος της πραγματικής τους συμμετοχής, δεδομένης και της ανάγκης να εξασφαλισθεί η ορθή και συνετή διαχείριση του ιδρύματος πληρωμών∙
(ιδ) ταυτότητα των διευθυντικών στελεχών και των υπευθύνων για τη διαχείριση του ιδρύματος πληρωμών και, κατά περίπτωση, των υπεύθυνων διαχείρισης των δραστηριοτήτων υπηρεσιών πληρωμών του ιδρύματος, καθώς και στοιχεία που αποδεικνύουν ότι πληρούν εχέγγυα ήθους και εντιμότητας και διαθέτουν κατάλληλες και επαρκείς γνώσεις και εμπειρία για την εκτέλεση των καθηκόντων τους, όπως καθορίζεται σε οδηγία που εκδίδεται από την Κεντρική Τράπεζα∙
(ιε) όπου ενδείκνυται, ταυτότητα των νόμιμων ελεγκτών ή των ελεγκτικών γραφείων όπως ορίζονται στον περί Ελεγκτών Νόμο∙
(ιστ) νομική μορφή και εταιρικό του αιτούντος·
(ιζ) διεύθυνση των κεντρικών γραφείων του αιτούντος.
(4) Για τους σκοπούς των παραγράφων (δ), (ε), (στ) και (ιβ) του εδαφίου (3), ο αιτών περιγράφει τις ελεγκτικές και οργανωτικές ρυθμίσεις που έχει θεσπίσει, ώστε να λαμβάνονται όλα τα εύλογα μέτρα για την προστασία των συμφερόντων των χρηστών του και να διασφαλίζεται η αδιάλειπτη και αξιόπιστη παροχή των υπηρεσιών πληρωμών.
(5) Ο έλεγχος ασφάλειας και τα μέτρα μείωσης κινδύνων που αναφέρονται στην παράγραφο (ι) του εδαφίου (3) υποδεικνύουν τον τρόπο διασφάλισης υψηλού επιπέδου τεχνικής ασφάλειας και προστασίας των δεδομένων, συμπεριλαμβανομένων του λογισμικού και των συστημάτων ΤΠ που χρησιμοποιούνται από τον αιτούντα ή τις επιχειρήσεις στις οποίες αναθέτει το σύνολο ή μέρος των δραστηριοτήτων του.
(6) Τα προβλεπόμενα στο εδάφιο (3) μέτρα λαμβάνουν υπόψη τις τυχόν κατευθυντήριες γραμμές για τα μέτρα ασφάλειας της ΕΑΤ που αναφέρονται στο ‘Αρθρο 95, παράγραφος 3 της Οδηγίας (ΕΕ) 2015/2366.
(7) Οι επιχειρήσεις που υποβάλλουν αίτηση για την απόκτηση άδειας λειτουργίας για την παροχή των υπηρεσιών πληρωμών, όπως αναφέρονται στο σημείο 7 του Παραρτήματος Ι, απαγορεύεται να αποκτήσουν άδεια λειτουργίας, εκτός αν διαθέτουν ασφάλιση επαγγελματικής ευθύνης η οποία καλύπτει το έδαφος όπου προσφέρουν υπηρεσίες ή άλλη συγκρίσιμη εγγύηση κατά της ευθύνης, ώστε να εξασφαλιστεί ότι μπορούν να καλύψουν τις υποχρεώσεις τους, όπως ορίζεται στα άρθρα 73, 90 και 92.
(8) Οι επιχειρήσεις που υποβάλλουν αίτηση για καταχώριση για παροχή υπηρεσιών πληρωμών, όπως αναφέρονται στο σημείο 8 του Παραρτήματος Ι, ως προϋπόθεση για την καταχώρισή τους, διαθέτουν ασφάλιση επαγγελματικής ευθύνης που καλύπτει το έδαφος όπου προσφέρουν υπηρεσίες ή άλλη συγκρίσιμη εγγύηση κατά της ευθύνης τους έναντι του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού ή του χρήστη υπηρεσιών πληρωμών που προκύπτει από μη εγκεκριμένη ή παράνομη πρόσβαση σε πληροφορίες λογαριασμού πληρωμών ή τη μη εγκεκριμένη ή παράνομη χρήση των πληροφοριών αυτών.