Ustawa o przeciwdziałaniu praniu pieniędzy a rozporządzenie RODO

Dlaczego równoległe stosowanie obu aktów prawnych jest problematyczne?

Zasadniczy problem dotyczący równoległego stosowania ustawy AML oraz rozporządzenia RODO wynika z faktu, że każdy z tych aktów realizuje zupełnie inne cele. Procedury AML/CFT, o których więcej można przeczytać pod tym adresem: https://procedura-aml.pl/ - mają za zadanie pozwolić na zebranie jak największej ilości danych, które zagwarantują bezpieczeństwo transakcji realizowanej przez instytucję obowiązaną. Zakładają też przekazywanie informacji do GIIF.

Z drugiej strony zadaniem RODO jest ochrona danych osobowych przed nieuzasadnionym ich przetwarzaniem i ograniczenie tego rodzaju operacji do niezbędnego minimum. Każde przetwarzanie musi w dodatku posiadać konkretną podstawę prawną.

Sprzeczność interesów jest potęgowana przez oparcie ustawy AML i rozporządzenia RODO na tzw. risk-based approach, czyli podejściu bazującym na ryzyku. W praktyce oznacza ono, że podmiot zobowiązany do wdrożenia określonych regulacji samodzielnie dobiera do tego celu środki i kształtuje procedury wewnętrzne. Nie sposób więc udzielić odpowiedzi na pytanie dotyczące precyzyjnego kształtu polityki AML czy sposobu realizacji zasady rozliczalności według RODO, ponieważ w każdym przypadku zasady te będą realizowane inaczej.

W jaki sposób instytucje obowiązane przetwarzają dane osobowe?

W ustawie AML nie brakuje sytuacji, w których instytucje obowiązane przetwarzają dane swoich klientów lub beneficjentów rzeczywistych. Warto wskazać, chociażby na:

• stosowanie środków bezpieczeństwa finansowego, o których mowa w art. 34 ustawy AML, polegających na:
• identyfikacji klienta oraz weryfikacji jego tożsamości, identyfikacji beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu weryfikacji jego tożsamości albo ustalenia struktury własności i kontroli;
• bieżącym monitorowaniu stosunków gospodarczych klienta, w tym analiza realizowanych przez niego transakcji, badanie źródła pochodzenia wartości majątkowych oraz zapewnienie prawdziwości posiadanych dokumentów, danych lub informacji;
• ustaleniu, zgodnie z art. 46 ustawy AML, czy klient instytucji obowiązanej jest osobą zajmującą eksponowane stanowisko polityczne (ang. Politically Exposed Persons, PEP), a także ustalenie danych członków ich rodzin oraz osób uznanych za bliskich współpracowników PEP;
• obowiązek przekazywania przez instytucję obowiązaną do GIIF informacji, o których mowa w art. 72 ustawy o AML, w tym faktu dokonania transakcji, jej wartości i rodzaju oraz danych stron transakcji, jej datę i godzinę oraz unikalny identyfikator;
• procedurę whistleblowingu, czyli anonimowego zgłaszania naruszeń w zakresie AML (obowiązek implementacji takiej procedury przewiduje art. 53 ustawy AML).

Na jakiej podstawie instytucje obowiązane przetwarzają dane osobowe?

Ustawa AML nie zawiera podstawy przetwarzania danych osobowych, ponieważ wynika ona bezpośrednio z przesłanek legalizacyjnych wymienionych w art. 6 rozporządzenia RODO, a dokładniej ust. 1 pkt c, czyli wypełnienia obowiązku prawnego ciążącego na administratorze.

W praktyce oznacza to, że przetwarzanie danych osobowych w celu realizacji obowiązków ustawowych jest niejako legitymizowana przez samego ustawodawcę. Jednocześnie należy zaznaczyć, że ta sama podstawa prawna nie będzie właściwa, jeżeli podmiot dokonujący przetwarzania danych w celach AML nie jest jednocześnie instytucją obowiązaną. W takich sytuacjach należy uzyskać zgodę, właściwą według przepisów RODO. Zgodnie z art. 6 ust. 1 pkt a rozporządzenia, przetwarzanie danych jest zgodne z prawem, jeżeli osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie w jednym lub większej liczbie określonych celów.

Zgodność działań instytucji obowiązanych z zasadami przetwarzania danych osobowych

Fakt, że instytucje obowiązane działają z upoważnienia przepisów rangi ustawowej, nie oznacza, że mogą one przetwarzać dane osobowe w sposób dowolny i nieograniczonym zakresie. Ogólne zasady przetwarzania danych określa art. 5 rozporządzenia, który wprowadza szereg ograniczeń:

• zasada zgodności z prawem, rzetelności i przejrzystości zakłada, że osoba, której dane dotyczą, wie jakie dane i w jakim celu są przetwarzane;
• zasada ograniczenia celu stanowi, że dane mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach;
• zasada minimalizmu, zgodnie z którą przetwarzanie danych powinno być ograniczone do niezbędnego minimum pozwalające na osiągnięcie celu zgodnego z prawem;
• zasada prawidłowości, która opiera się na cyklicznej weryfikacji poprawności danych i ich niezbędnej aktualizacji;
• zasada ograniczonego przechowywania, zakłada, że dane mogą być gromadzone wyłącznie przez czas niezbędny do realizacji celu;
• zasada integralności i poufności stanowi, że dane gromadzone przez administratora muszą być odpowiednio zabezpieczone przed ich niezgodnym z prawem przetwarzaniem, a także przypadkową utratą, zniszczeniem lub uszkodzeniem.

Przekładając ogólne zasady RODO na zakres uprawnień instytucji obowiązanych można przykładowo wskazać, że w sytuacji, kiedy ustawa AML dokładnie precyzuje w art. 36, jakie dane klienta lub beneficjenta rzeczywistego mogą być przetwarzane, to nie ma możliwości przetwarzania danych niewymienionych w tym przepisie. Uwaga jest tym bardziej aktualna, że ustawodawca nie posłużył się w tym przepisie zwrotem „w szczególności”, co jednoznacznie uzasadnia enumeratywny zakres danych, które podlegają przetwarzaniu.

Jako przykłady nieuzasadnionego przetwarzania danych można wskazać np. żądanie od klienta instytucji obowiązanej przekazania listy swoich kontrahentów albo danych zatrudnionych pracowników.

Jak długo można przetwarzać dane osobowe?

Rozporządzenie RODO nie wskazuje w sposób precyzyjny okresu retencji danych wskazując jedynie na zasadność minimalizacji czasu przetwarzania informacji. Ustawa AML wprowadza w tym zakresie bardziej precyzyjne wytyczne.

Stosownie do art. 49 ustawy AML, instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem albo przeprowadzenia transakcji okazjonalnej:

• uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków komunikacji elektronicznej oraz usług zaufania umożliwiających identyfikację elektroniczną;
• dowody potwierdzające przeprowadzone transakcje, ewidencje transakcji obejmujące oryginalne dokumenty lub kopie dokumentów niezbędne do identyfikacji transakcji.

W każdym przypadku, biorąc pod uwagę konieczność i proporcjonalność dalszego przetwarzania, Generalny Inspektor Informacji Finansowej może zażądać, aby instytucja obowiązana przechowywała dokumentację przez okres dłuższy niż 5 lat licząc od dnia, w którym upływa termin bazowy. Wydłużenie okresu przetwarzania danych musi być uzasadnione zapewnieniem prawidłowości postępowań w sprawach dotyczących przeciwdziałania prania pieniędzy lub finansowania terroryzmu albo postępowania karnego.

Jednocześnie należy zaznaczyć, że wydłużenie okresu przechowywania danych nie jest możliwe w stosunku do wybranych instytucji obowiązanych, w tym:

• notariuszy, adwokatów i radców prawnych;
• doradców podatkowych;
• fundacji;
• stowarzyszeń;
• mikroprzedsiębiorców, którzy przyjmują lub dokonują płatności za towar w gotówce o wartości równej lub przekraczającej kwotę 10 tysięcy euro.

Czy pracownik instytucji obowiązanej może kserować dowody tożsamości jej klientów?

Praktyka instytucji obowiązanych (np. banków) polegająca na sporządzaniu kserokopii dowodów osobistych od lat budziła kontrowersje.

Zgodnie z art. 34 ust. 4 dopuszcza się sporządzanie kserokopii dokumentów tożsamości klienta oraz osoby upoważnionej do działania w jego imieniu, ale wyłącznie jako element środków bezpieczeństwa finansowego mających na celu zapobieganie praniu pieniędzy i finansowaniu terroryzmu. W pozostałych sytuacjach dopuszczalne jest przetwarzanie danych osobowych, ale nie ich utrwalanie poprzez sporządzanie kserokopii. Takie stanowisko zajął Prezes UODO.

Wydaje się ono zasadne o tyle, że po pierwsze ustawa AML rozróżnia przetwarzanie danych i ich kopiowanie. Po drugie art. 4 pkt 2 rozporządzenia RODO, który wprowadza definicję przetwarzania danych nie obejmuje ich kopiowania.

Anonimowe zgłaszanie naruszeń a RODO

Przygotowując wdrożenie procedury whistleblowingu instytucja obowiązana musi zadbać o realizację szeregu obowiązków wynikających z RODO. Wśród nich warto wymienić m.in.:

• sporządzenie z wyprzedzeniem oceny DPIA, która pozwoli ustalić potencjalne ryzyko naruszenia danych osobowych i jego skutki;
• zrealizowanie obowiązków informacyjnych względem osoby zgłaszającej, a także osób trzecich, np. świadków;
• zobowiązać osoby zajmujące się obsługą zgłoszeń do zachowania poufności;
• zapewnienie odpowiednio zabezpieczonego kanału zgłoszeń.

Obowiązki instytucji obowiązanych w świetle rozporządzenia RODO to niezwykle rozległe zagadnienie, dlatego wdrożenie niezbędnych procedur w firmie przebiega wieloetapowo i jest skomplikowane.

Aby zapewnić prawidłowość implementacji przetwarzania danych warto rozważyć powierzenie zadania kancelarii prawnej z doświadczeniem zarówno w stosowaniu przepisów AML/CFT, jak i RODO. Nasi prawnicy mogą podjąć się realizacji kompleksowej obsługi w zakresie ocen zgodności działań przedsiębiorcy z obowiązującymi przepisami (tzw. compliance).

Pytania i odpowiedzi:

Q: Czy na instytucji obowiązanej ciąży konieczność poinformowania klienta o przetwarzaniu jego danych osobowych?

A: Tak, stosownie do art. 34 ust. 5 ustawy AML instytucja obowiązana musi powiadomić klienta o przetwarzaniu jego danych osobowych oraz swoich obowiązkach w tym zakresie. Przekazanie informacji musi poprzedzać nawiązanie stosunków gospodarczych lub przeprowadzenie transakcji okazjonalnej. Jednocześnie warto zwrócić uwagę na art. 70c ustawy AML, który dopuszcza możliwość przetwarzania danych znajdujących się w rejestrze beneficjentów rzeczywistych bez zgody i wiedzy osób, których dane dotyczą.

Q: Klient korzysta z usług instytucji obowiązanej regularnie, ale niezbyt często. Jak długo w takiej sytuacji należy rozumieć pojęcie stosunków gospodarczych na potrzeby retencji danych?

A: Każda instytucja obowiązana powinna indywidualnie określić w wewnętrznej polityce AML, w jaki sposób rozumie pojęcie stosunków gospodarczych, ponieważ ustawa w definicji pojęcia odwołuje się jedynie do przesłanki trwałości. Brak takiego doprecyzowania powoduje, że cała dokumentacja dotycząca danej osoby musiałaby być przechowywana wiele (nawet kilkadziesiąt) lat.