Legislatívne povinnosti poskytovateľov služieb peňaženiek virtuálnych aktív a poskytovateľov služieb zmenární virtuálnych aktív možno zaradiť do troch hlavných oblastí regulácie. Sú to regulácia investičných činností a služieb (MiFID II); AML/KYC/CFT (ochrana pred legalizáciou príjmov z trestnej činnosti a pred financovaním terorizmu) a ochrana osobných údajov (GDPR).

Reguláciu investičných činností a služieb upravuje smernica Európskeho parlamentu a Rady 2014/65/EÚ z 15. mája 2014 o trhoch s finančnými nástrojmi („smernica MiFID II“) a nariadenie Európskeho parlamentu a Rady (EÚ) č. 600/2014 z 15. mája 2014 o trhoch s finančnými nástrojmi ( „MiFIR“ ); smernica MiFID II a MiFIR spoločne ako „MiFID II“. Na základe smernice MiFID II bolo rozšírené vymedzenie pojmu investičné služby a investičné činnosti nachádzajúce sa v prílohe smernice MiFID II na prevádzkovanie organizovaného obchodného systému (tzv. OTF).

Cieľom účinnej právnej úpravy MiFID II je posilniť dôveru investorov, redukovať riziko nariadenia trhu, znížiť systematické riziko a zvýšiť efektivitu finančných trhov a tiež zamedziť vzniku zbytočných výdavkov pre účastníkov transakcie. Poskytovanie služieb zmenární virtuálnych aktív možno kvalifikovať ako organizovaný obchodný systém. Regulácia MiFID II rozširuje okruh povinností týkajúci sa problematiky uchovávania dát. Konkrétne ide o uchovávanie telefonickej konverzácie a elektronickej komunikácie medzi investičnou spoločnosťou a klientom, a to vzhľadom na všetky druhy finančných nástrojov pri prijímaní, odosielaní a vykonávaní pokynov klienta.

Elektronická a telefonická komunikácia sa musí uchovávať počas obdobia piatich rokov a na žiadosť príslušného orgánu počas obdobia siedmich rokov. Zásadným dopadom pre investičné spoločnosti v tejto súvislosti je nutnosť vytvorenia alebo adaptovania IT infraštruktúry pre uchovávanie elektronickej komunikácie a nahrávok telefonickej komunikácie.

Ďalšou oblasťou je AML regulácia na základe Smernice Európskeho parlamentu a Rady (EÚ) 2018/843 z 30.05.2018, ktorou sa mení smernica (EÚ) 2015/849 o predchádzaní využívaniu finančného systému na účely prania špinavých peňazí alebo financovania terorizmu a smernice 2009/138/ES a 2013/36/EÚ, ďalej pod spoločným označením „5. AML smernica“, ktorá mala byť implementovaná do právneho poriadku SR najneskôr dňa 10.01.2020. Hoci Slovenská republika nesplnila svoj záväzok implementovať 5. AML smernicu k danému dátumu, napriek tomu sa jej ustanovenia vzťahujú aj na poskytovateľov služieb peňaženiek virtuálnych aktív a poskytovateľov služieb zmenární virtuálnych aktív odo dňa 10.01.2020 na základe priamej účinnosti 5. AML smernice. Na poskytovateľov spomínaných služieb sa tak vzťahujú všetky povinnosti AML zákona. Ide najmä (nie však výlučne) o povinnosti ako overenie totožnosti klientov; zisťovanie, či klient alebo konečný užívateľ výhod klienta je politicky exponovanou osobou, alebo sankcionovanou osobou; zisťovanie pôvodu finančných prostriedkov alebo majetku; nahlasovanie neobvyklých obchodných operácií finančnej spravodajskej jednotke a poskytovanie všetkej požadovanej súčinnosti; vedenie náležitej evidencie; povinnosť vypracovania programu vlastnej činnosti a zabezpečovanie jeho aktualizácie.

Poslednou oblasťou je ochrana osobných údajov. Regulovaná je nariadením Európskeho parlamentu a Rady (EÚ) 2016/679, na základe ktorého prevádzkovateľ spracúva osobné údaje vo vlastnom mene so súhlasom dotknutej osoby a je povinný zabezpečiť ich ochranu, archiváciu, poučiť klienta s jeho právami na opravu, ďalej zabezpečuje výmaz, obmedzenie spracúvania osobných údajov klienta a fungujúci systém nakladania s osobnými údajmi potrebnými kontrolnými mechanizmami. Za každé jednotlivé porušenie povinností v oblasti GDPR, hrozí poskytovateľom pokuta až do výšky 10 miliónov Eur, resp. 20 miliónov Eur. Presná suma sa určuje vždy podľa konkrétnej porušenej povinnosti.

Upozorňujeme tiež na dôležitosť zabezpečenia výmazu osobných údajov klienta na základe jeho žiadosti o výmaz, čo zodpovedá jeho právu ako dotknutej osoby, sa javí v rozpore s povinnosťou zabezpečiť uchovávanie osobných údajov, vrátane finančných údajov, z ktorých môže byť fyzická osoba identifikovaná podľa MiFID II, ako aj s povinnosťou uchovávať údaje o klientovi po dobu piatich rokov po skončení zmluvného vzťahu s klientom podľa AML zákona.