Ustawa o przeciwdziałaniu praniu pieniędzy a rozporządzenie RODO
Obowiązki w obszarze AML / CFT a obowiązki związane z ochroną danych osobowych
Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1 marca 2018 roku (dalej zwana też „ustawą AML”), uwzględniając późniejsze zmiany (m.in. nowelizacja ustawy AML z 30 marca 2021 roku), jest ściśle związana z zagadnieniami związanymi z ochroną danych osobowych (RODO), w tym ujętych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej zwane „rozporządzeniem RODO”).
Instytucje obowiązane muszą wdrażać i stosować obydwie te regulacje łącznie w związku z prowadzoną przez te podmioty działalnością.
Podejście oparte na ryzyku w AML i RODO
Cechą wspólną obydwóch omawianych w tym artykule zagadnień – ustawy o przeciwdziałaniu praniu pieniędzy i rozporządzenia RODO – jest podejście oparte na ryzyku (ang. risk-based approach). Organy unijne tak zaprojektowały regulacje w tych obszarach, aby każda z instytucji obowiązanych sama identyfikowała ryzyka oraz dostosowywała do nich procedury i środki bezpieczeństwa.
Podejście oparte na ryzyku oznacza, że regulacje RODO i AML nie wskazują gotowych rozwiązań, które są identyczne dla wszystkich podmiotów. Prezentują natomiast potencjalne obszary związane z zagrożeniami oraz wachlarz działań mających na celu przeciwdziałanie praniu pieniędzy, finansowaniu terroryzmu i naruszeniom w obszarze danych osobowych.
Zgodnie z tym podejściem, każda instytucja obowiązana może dostosować procedury i środki bezpieczeństwa do swojej indywidualnej sytuacji, branży, wielkości firmy, zasięgu geograficznego, skali i rodzaju prowadzonej działalności. Rodzi to jednak ryzyko popełnienia błędów w realizacji obowiązków ustawowych ze względu na ograniczoną wiedzę czy niewystarczające zasoby (m.in. czas i pracownicy) danego podmiotu.
Dlatego tak bardzo pomocne są zewnętrzne, eksperckie rozwiązania, zapewniające zgodność z prawem, takie jak systemy analityczne AML czy listy sankcyjne AML.
Na styku ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz rozporządzenia RODO
Podstawowymi elementami łączącymi ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z rozporządzeniem RODO są obowiązki nałożone na instytucje obowiązane w zakresie gromadzenia, przetwarzania i przekazywania danych osobowych osób fizycznych, a także danych dotyczących klientów będących m.in. firmami, instytucjami, a polegające w szczególności na:
- identyfikacji i weryfikacji tożsamości klientów, osób przez nich upoważnionych oraz ich beneficjentów rzeczywistych,
- identyfikacji i weryfikacji osób zajmujących eksponowane stanowiska polityczne albo pełniących znaczące funkcje publiczne (tzw. PEP), a także członków ich rodzin oraz osób znanych jako bliscy współpracownicy osób o statusie PEP (tzw. RCA),
- monitorowaniu, przeprowadzaniu analiz i rejestrowaniu transakcji oraz stosunków gospodarczych,
- zgłaszaniu do Generalnego Inspektora Informacji Finansowej informacji dotyczących m.in. klientów, transakcji, wartości majątkowych oraz miejsc ich przechowywania,
- przetwarzaniu informacji otrzymanych od sygnalistów w ramach procedury anonimowego zgłaszania przez pracowników lub inne osoby rzeczywistych, lub potencjalnych naruszeń przepisów AML.
Ustawa AML jako podstawa prawna przetwarzania danych osobowych
Wszelkie działania, które są związane z gromadzeniem, przetwarzaniem i przekazywaniem danych osobowych, muszą być wykonywane na podstawie jednej z przesłanek wskazanych w rozporządzeniu RODO.
W wypadku podmiotów umieszczonych przez ustawę AML w katalogu instytucji obowiązanych, przesłanką, o której mowa powyżej jest wypełnienie obowiązku prawnego ciążącego na administratorze, tj. instytucji obowiązanej – art. 6 ust. 1 lit. c rozporządzenia RODO.
Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu wprost stanowi o przetwarzaniu danych osobowych, które polega m.in. na ich gromadzeniu, przechowywaniu, opracowywaniu, udostępnianiu i usuwaniu (szczególnie w systemach informatycznych). Ponadto, zgodnie z ustawą AML, przetwarzanie informacji na temat beneficjentów rzeczywistych odbywa się bez wiedzy osób, których te dane dotyczą.
Inną sytuacją jest dobrowolne realizowanie obowiązków wynikających z ustawy AML (w tym CFT), czyli wykonywanie ich przez podmioty, które nie są wskazane przez ustawę AML jako instytucje obowiązane. W tej sytuacji przesłanką do przetwarzania i gromadzenia danych osobowych powinno być uzyskanie zgody od podmiotu, którego te dane dotyczą – art. 6 ust. 1 lit. a rozporządzenia RODO.
Adekwatność w stosowaniu RODO w celu wypełnienia obowiązków z ustawy AML
Powołując się na przesłankę związaną z wypełnieniem obowiązku prawnego przez instytucje obowiązane, jako administratorów danych osobowych, należy jednak pamiętać, że zakres gromadzonych i przetwarzanych danych, a także sposób ich wykorzystywania i długość okresu przechowywania powinny być adekwatne do celu.
W praktyce oznacza to, że nie można zbierać zbyt wielu informacji o klientach czy ich beneficjentach rzeczywistych (tj. informacji innych niż te wymienione w ustawie AML). Jednocześnie należy działać z zachowaniem należytej staranności, aby skutecznie ograniczać ryzyko prania pieniędzy oraz finansowania terroryzmu.
Jeśli zatem instytucja obowiązana gromadzi i przetwarza informacje takie jak dane kontaktowe (np. e-mail, numer telefonu, adres), wykracza już poza granicę dozwoloną przez ustawę AML. W takiej sytuacji oczywiście nie trzeba rezygnować ze zbierania tych informacji, ale należy od danego podmiotu uzyskać odpowiednie zgody na gruncie rozporządzenia RODO.
Okres przechowywania danych osobowych wg ustawy AML
Gdy w grę wchodzi przesłanka dotycząca wypełnienia obowiązku prawnego przez instytucje obowiązane, kolejnym istotnym zagadnieniem RODO jest okres przechowywania danych osobowych. Mimo iż rozporządzenie RODO dopuszcza przechowywanie danych tylko przez czas niezbędny do realizacji celów, to ustawa AML wskazuje bardziej konkretne wytyczne.
Ustawa AML nakłada na instytucje obowiązane wymóg przechowywania danych przez 5 lat od pierwszego dnia roku następującego po roku, w którym ustały transakcje lub stosunki gospodarcze z danym klientem. Nowelizacja tego przepisu prawnego, która wchodzi w życie 30 października 2021 roku, stanowi, że instytucje obowiązane mają przechowywać dane przez 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej.
Ustawa ta daje większe pole manewru Generalnemu Inspektorowi Informacji Finansowej – pod warunkiem regularnej (co 5 lat) weryfikacji potrzeby dalszego przetwarzania danych, zezwala mu przechowywać dane przez okres, który GIIF uzna za konieczny.
Obowiązki w obszarze AML, CFT i RODO
Instytucje obowiązane w ramach swoich działań AML i CFT muszą realizować szereg obowiązków związanych z RODO. Dodatkowo warto, aby we właściwy sposób wykazały konieczność gromadzenia i przetwarzania danych w celu zapewniania należytej staranności i minimalizowania ryzyka AML.
- Jeżeli instytucja obowiązana musi prowadzić Rejestr Czynności Przetwarzania Danych Osobowych, powinna opisać w nim działania dotyczące przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, takie jak podstawa przetwarzania danych, zakres gromadzonych danych, cel wykorzystywania danych, okres przechowywania danych czy możliwości zastosowania sprzeciwu wobec przetwarzania danych.
- Instytucja obowiązana musi przygotowywać i przekazywać podmiotom, których dane będą zbierane, szczegółową klauzulę informacyjną RODO obejmującą informacje m.in. na temat podstawy przetwarzania danych, zakresu gromadzonych danych, celu wykorzystywania danych, okresu przechowywania danych, a także możliwości zastosowania sprzeciwu wobec przetwarzania danych.
- Instytucja obowiązana musi zadbać o bezpieczeństwo danych – m.in. zapewnić poufność i integralność informacji, umożliwić dostęp do danych tylko upoważnionym i odpowiednio przeszkolonym osobom.
- Instytucja obowiązana musi zadbać o odpowiednią dokumentację i przeszkolenie pracowników oraz współpracowników, co dotyczy zagadnień takich jak upoważnienia do przetwarzania danych czy umowy powierzenia w przypadku outsourcingu AML.
- W dokumencie oceny ryzyka AML , który jest obowiązkowy dla każdej instytucji obowiązanej, warto zamieścić m.in. informacje na temat kryteriów oceny, które wymagają dostępu do gromadzonego zakresu danych.
- Szczegółowe informacje dotyczące gromadzenia i przetwarzania danych osobowych powinny ponadto znaleźć się w procedurze wewnętrznej AML, w której znajdują się zasady zgłaszania nieprawidłowości z zakresu AML i CFT.
***
Czy wiesz, że wszystkie rozwiązania oferowane przez iAML są w pełni zgodne z rozporządzeniem RODO?
Korzystając z naszych systemów, list restrykcyjnych i dokumentów AML, masz więc pewność zgodności nie tylko z ustawą AML, ale także z rozporządzeniem RODO.
Dowiedz się więcej i zyskaj bezpłatną konsultację:
dok@iaml.com.pl / +48 22 100 36 93