§ 48
(1) Řídicí a kontrolní systém správce informací o platebním účtu zahrnuje
a) strategické a operativní řízení,
b) organizační uspořádání, včetně vnitřních předpisů, které jej upravují, s řádným, průhledným a uceleným vymezením činností, včetně činností orgánů správce informací o platebním účtu a s nimi spojených působností a rozhodovacích pravomocí; v rámci organizačního uspořádání se současně vymezí funkce, jejichž výkon je vzájemně neslučitelný,
c) systém řízení rizik, který vždy zahrnuje
1. přistupování správce informací o platebním účtu k rizikům, kterým je nebo může být vystaven, včetně rizik vyplývajících z vnitřního nebo vnějšího prostředí, a
2. rozpoznávání, vyhodnocování, měření, sledování, ohlašování a omezování rizik, včetně přijímání opatření vedoucích k omezení výskytu nebo dopadů výskytu rizik, a zohledňuje oznamovací povinnost podle kapitoly III nařízení Evropského parlamentu a Rady (EU) 2022/2554 18),
d) systém vnitřní kontroly, který vždy zahrnuje
1. kontrolu podřízených pracovníků nadřízenými pracovníky,
2. průběžnou kontrolu dodržování právních povinností správce informací o platebním účtu a
3. vnitřní audit zajišťující nezávislou a objektivní vnitřní kontrolu výkonu činnosti správce informací o platebním účtu a předkládání jasných doporučení k zajištění nápravy takto zjištěných nedostatků příslušné úrovni řízení,
e) řádné administrativní a účetní postupy,
f) mechanismy řízení a kontroly při využívání informačních a komunikačních technologií v souladu s přímo použitelným předpisem Evropské unie upravujícím digitální provozní odolnost finančního sektoru 18),
g) systém vnitřní a vnější komunikace,
h) sledování, vyhodnocování a aktualizaci vnitřních předpisů,
i) řízení střetů zájmů při výkonu činnosti, včetně jejich zjišťování a zamezování,
j) kontrolní a bezpečnostní opatření při zpracování a evidenci informací a při zohlednění jejich charakteru, zahrnující kontrolní a bezpečnostní opatření pro zabezpečení a prověření prostředků pro přenos informací, minimalizaci rizika poškození dat a neautorizovaného přístupu a zabránění úniku informací za účelem zachování důvěrnosti dat v každém okamžiku,
k) vyřizování stížností a reklamací a
l) zajišťování plynulého výkonu činnosti a trvalého fungování správce informací o platebním účtu na finančním trhu v souladu s předmětem a plánem jeho činnosti, zahrnující opatření a postupy zajišťující řádné a plynulé poskytování služby informování o platebním účtu a testování těchto opatření; opatření a postupy zahrnují politiky a plány podle přímo použitelného předpisu Evropské unie upravujícího digitální provozní odolnost finančního sektoru 18).
(2) Řídicí a kontrolní systém musí být účinný, ucelený a přiměřený povaze, rozsahu a složitosti rizik spojených s modelem podnikání a činností správce informací o platebním účtu v jeho celku i částech.
(3) Správce informací o platebním účtu ověřuje a pravidelně hodnotí účinnost, ucelenost a přiměřenost řídicího a kontrolního systému v jeho celku i částech a zjednává bez zbytečného odkladu odpovídající nápravu.
(4) Prováděcí právní předpis stanoví způsob plnění požadavků na řídicí a kontrolní systém správce informací o platebním účtu.
------------------------------------------------------------------
18) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011.