AML a RODO - jak wygląda ochrona danych osobowych przy wypełnianiu obowiązków instytucji obowiązanej?

Kategorie danych osobowych na gruncie Ustawy o AML

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, znana jako Ustawa o AML, reguluje zasady i tryb przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Jednym ze środków bezpieczeństwa finansowego, stosowanym przez instytucje obowiązane na gruncie Ustawy o AML – m.in. banki, instytucje płatnicze, firmy inwestycyjne, notariuszy czy pośredników finansowych – jest gromadzenie informacji na temat klienta, w tym danych pozwalających ustalić źródło pochodzenia środków.

Zgodnie z art. 34 ust. 4 Ustawy o AML instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie (w ramach gromadzenia danych osobowych na potrzeby weryfikacji tożsamości klientów). Jakie dane zatem wchodzą w posiadanie instytucji obowiązanych? Przede wszystkim będą to:

Imię i nazwisko (nazwiska)
PESEL
Data i miejsce urodzenia
Obywatelstwo
Numer identyfikacji podatkowej
Adres zamieszkania / korespondencyjny
Numer i seria dowodu osobistego.

Jeżeli osoba fizyczna występuje za pośrednictwem gromadzone są także dane pełnomocnika. Ponadto, jeżeli klientem jest osoba prawna, instytucje finansowe będą gromadzić także ww. dane ich beneficjentów rzeczywistych oraz pełnomocników i reprezentantów i zajmować się ochroną danych osobowych, które podmioty obowiązane przetwarzają na podstawie ustawy o przeciwdziałaniu praniu pieniędzy (niestety przepisy nie wskazują gotowych rozwiązań) .

Źródło danych i sposób ich gromadzenia

W jaki sposób instytucje obowiązane wchodzą w posiadanie danych osobowych klientów? Najczęściej od nich samych. Jest to tzw. bezpośrednie pozyskanie danych, o których mowa w art. 13 RODO – od osoby, której dane bezpośrednio dotyczą. Osoby zainteresowane skorzystaniem z usług instytucji obowiązanej, są proszone o wskazanie danych, które pozwalają je zweryfikować zgodnie z Ustawą o AML. Niepodanie danych będzie skutkowało niemożliwością świadczenia usług na ich rzecz.

Ponadto, na potrzeby prowadzenia weryfikacji podmioty obowiązane mogą korzystać także z publicznie dostępnych rejestrów, w których dane osobowe już się znajdują. Takim Rejestrem może być Rejestr Beneficjentów Rzeczywistych lub Krajowy Rejestr Sądowy. Ponadto, mogą czerpać także te informacje ogólnodostępnych źródeł, m.in. Internetu. W takim przypadku przetwarzaniu informacji otrzymanych od klientów.

W przypadku pełnomocników lub osób reprezentujących osoby prawne, ich dane przekazywane są do instytucji obowiązanej za pośrednictwem osoby mocodawcy. Dlatego właśnie nie mówimy o bezpośrednim pozyskaniu danych, a pośrednim, uregulowanym w art. 14 RODO. W takim przypadku na instytucji obowiązanej ciąży obowiązek poinformowania osoby pełnomocnika, że jego dane są przetwarzane w procesie AML oraz przekazania mu klauzuli zawierającej dane na ten temat.

Podstawa prawna i cel przetwarzania

Podmioty obowiązane są zobligowane na gruncie przepisów Ustawy o AML do zbierania informacji pozwalających na weryfikację Klienta. To oznacza, że celem przetwarzania wyżej wskazanych danych będzie konieczność realizacji obowiązku prawnego ciążącego na administratorze. Należy mieć jednak na uwadze, że chociaż Ustawa o AML przydała instytucjom obowiązanym szeroki wachlarz uprawnień w zakresie gromadzenia danych (art. 34 Ustawy o AML stanowi m.in. o możliwości kopiowania dokumentów tożsamości klientów), każdy administrator danych powinien mieć na uwadze podstawowe zasady rządzące przetwarzaniem danych osobowych m.in. zasadę minimalizacji danych. Zgodnie z jej brzmieniem, administrator danych winien zbierać tylko taki zakres informacji, które są mu absolutnie niezbędne dla wykazanego przez niego celu.

Obowiązek zbierania informacji na temat podmiotów dla instytucji obowiązanych wynika bezpośrednio z przepisów prawa. Oznacza to, że wśród podstaw przetwarzania danych – wskazanych w art. 6 RODO – przetwarzanie danych dla celów związanych z AML będzie odbywać się głównie na gruncie art. 6 ust. 1 lit. c RODO, a więc jak zostało już wskazane wyżej – w celu niezbędnym do wypełnienia obowiązku prawnego ciążącego na administratorze. W ramach celi polegających na wypełnieniu obowiązku prawnego należy wskazać w szczególności:

Obowiązek sporządzenia oceny ryzyka związanego z praniem pieniędzy;

Stosowanie środków bezpieczeństwa finansowego;

Dokonywanie zgłoszeń i zawiadomień do odpowiednich organów.

Należy jednak także zwrócić uwagę, że podmioty obowiązane nie mogą de facto świadczyć usług, bez danych niezbędnych im do identyfikacji w świetle Ustawy o AML. Aby móc zawrzeć umowę o świadczenie usług, muszą być w stanie zidentyfikować klienta, a co za tym idzie zebrać jego dane. Oznacza, to że jednocześnie będzie tu aktualizowała się podstawa prawna wynikając a z art. 6 ust. 1 lit. f) RODO – przetwarzanie będzie niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Jaki należy przyjąć okres retencji dla danych zbieranych na podstawie Ustawy o AML?

Retencja danych oznacza okres przez jaki administrator danych może te dane przetwarzać – tzn. gromadzić i wykorzystywać. W przypadku danych osobowych zebranych na potrzeby procesów wynikających z Ustawy o AML okres ten wynosi 5 lat. Dlaczego? Dzieje się tak z uwagi na fakt, iż zgodnie z art. 49 Ustawy o AML, instytucje obowiązane przechowują dane przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej. Nadto, Generalny Inspektor Informacji Finansowej może zażądać przechowywania dokumentacji związanej z procesem przez okres nie dłuższy niż 5 lat, jeżeli jest to konieczne w celu zapewnienia prawidłowości prowadzonych postępowań w sprawach dotyczących przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu lub na potrzeby postępowania karnego.

Odbiorcy danych osobowych

Dane zbierane i gromadzone w procesie przeciwdziałania praniu pieniędzy mogą być udostępnione przez instytucje obowiązane na rzecz organów nadzorczych, wskazanych w Ustawie o AML. Takimi organami będą:

Generalny Inspektor Informacji Finansowej
Organy właściwe w sprawach dotyczących Centralnego Rejestru Beneficjentów Rzeczywistych,
Prokuraturze.

Poza przypadkami wskazanymi powyżej, instytucje obowiązane powinny dbać, aby dane gromadzone w procesie AML były odpowiednio zabezpieczone i niedostępne dla osób postronnych. W szczególności, nie powinny być udostępniane do państwa poza Europejskim Obszarem Gospodarczym. Każde naruszenie w zakresie poufności, integralności i dostępności danych osobowych powinno zostać niezwłocznie zgłoszone, w tym – jeżeli tego wymaga – do Urzędu Ochrony Danych Osobowych.

Jakie obowiązki dla instytucji obowiązanych ustanawia RODO?

Przetwarzania danych na gruncie Ustawy o AML, podlega takim samym reżimom związanym z zapewnieniem danym ochrony, jak w każdym innym przypadku przetwarzania. To oznacza, że w grę wchodzą przepisy RODO, które kształtują wobec administratorów danych konkretne wymogi. Niemniej, Europejska Rada Ochrony Danych nieustannie podnosi, iż objętość danych oraz wielość podmiotów, które te dane sobie przekazują, stanowi realne zagrożenia dla poufności, integralności i dostępności tychże danych. O czym zatem pamiętać, aby zapewnić spójność procesu AML z zapisami RODO?

Klauzule informacyjne

Zgodnie z art. 34 ust. 5 Ustawy o AML, przed nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej instytucje obowiązane informują klienta o przetwarzaniu jego danych osobowych, w szczególności o obowiązkach instytucji obowiązanej wynikających z ustawy w zakresie przetwarzania tych danych. Należy pamiętać nie tylko o przekazaniu klauzul bezpośrednio do klientów będących osobami fizycznymi, ale także wobec pełnomocników oraz reprezentantów i beneficjentów rzeczywistych klientów, będących osobami prawnymi. Każda klauzula powinna wskazywać przynajmniej takie elementy jak:

Szczegółowe informacje na temat administratora danych,
Cele oraz podstawę prawną przetwarzania,
Informacje o odbiorcach danych,
Informację o profilowaniu,
Informację o przysługujących prawach, w tym informację o możliwości złożenia skargi do Urzędu Ochrony Danych Osobowych.

Respektowanie praw osób, których dane dotyczą

Każdej osobie, której dane osobowe są przetwarzane, przysługuje szereg uprawnień, w tym prawo do bycia zapomnianym, prawo dostępu do danych, czy prawo do sprostowania danych. A zatem w każdym czasie osoba, której dane są przetwarzane, może zażądać aby tego zaprzestać. Wówczas instytucja obowiązana jest zobligowana do uznania takiego żądania – może się jednak okazać, że wykonanie tego żądania uniemożliwi dalsze świadczenie usług. O wszystkich konsekwencjach należy zatem zawsze klient informować.

Profilowanie

Profilowanie jest formą przetwarzania danych osobowych, która polega na pewnym zautomatyzowanym działaniu. Pozwala na dokonywanie analiz i prognoz zachowań konkretnej osoby. W procesie AML profilowanie jest często stosowaną praktyką – przydatną zwłaszcza do oceny ryzyka prania pieniędzy i finansowania terroryzmu. Instytucje obowiązane zmuszone są jednak pamiętać o dwóch kwestiach. Po pierwsze, jeśli dokonują profilowania powinny poinformować o tym fakcie klientów. Po drugie, zautomatyzowane profilowanie nie może być wykorzystywane do podejmowania decyzji, które wywoływałyby jakiekolwiek skutki prawne względem osób, których dane dotyczą.

Rejestr czynności przetwarzania danych

Na gruncie RODO każda instytucja przetwarzająca dane osobowe osób fizycznych zobowiązana jest prowadzić Rejestr czynności przetwarzania. Jest to rodzaj ewidencji, w której administrator wskazuje w ramach jakich procesów przetwarza jakie dane. Każda instytucja obowiązana ma zatem obowiązek wskazać w RCP także proces polegający na przetwarzaniu danych dla przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz do szczegółowego opisania procesu.

Czym jest risk – based approach?

To co łączy Ustawę o AML oraz RODO to tzw. risk -based approach. W języku polskim nazywane jest to podejściem opartym na ryzyku. Jest to metoda zmierzająca do ochrony danych polegająca na badaniu potencjalnego ryzyka oraz dostosowywaniu do niego środków i zabezpieczeń. Ani Ustawa o AML ani RODO nie dają gotowej recepty na doskonałe zabezpieczenia zasobów. W tym celu instytucje – czy to obowiązane, czy po prostu podmioty przetwarzające dane osobowe – zobligowane są do cyklicznego wykonywania badania i oceny ryzyka. Na tej podstawie określają, jakie występują zagrożenia dla danych i jakie kroki podjąć aby to ryzyko zmitygować.

Nie wszystkie instytucje czują się na siłach, aby taką analizę przeprowadzić we własnym zakresie. Tymczasem, właściwe określenie zagrożeń i dostosowanie do nich środków bezpieczeństwa jest niezwykle istotne. Nieumiejętne przeprowadzenie analizy rodzi ryzyko po stronie instytucji co do błędnej realizacji obowiązków ustawowych. Instytucje nie mają możliwości zasłonienia się w takim przypadku niewiedzą czy brakami kadrowymi. Z tego względu przy ocenie ryzyka warto wesprzeć się doświadczeniem i fachową wiedzą ekspertów z dziedziny AML i ochrony danych osobowych.

Podsumowanie

Instytucje obowiązane na gruncie Ustawy o AML muszą stosować jednocześnie przepisy ustawy oraz te wynikające z RODO i Ustawy o ochronie danych osobowych. Oznacza to, że muszą wypełniać szereg obowiązków związanych z gromadzeniem, przetwarzaniem i przekazywaniem danych osobowych osób fizycznych. Z uwagi na to, że zarówno Ustawa o AML jak i RODO wymagają od instytucji obowiązanych podejścia opartego na ryzyku, warto upewnić się, czy rozwiązania przyjęte w organizacji dla procesów AML są w pełni zgodne z rozporządzeniem RODO.

Pytania i odpowiedzi

Czy bank może zrobić skan mojego dowodu osobistego?

Zgodnie z Ustawą o AML instytucja obowiązana, a więc także bank, może wykonać kopię dokumentu tożsamości.

Czy agent ubezpieczeniowy może zbierać dane osobowe klienta do celów AML?

Tak, może to robić na gruncie art. 2 ust. 1 pkt. 9) AML – jako pośrednicy ubezpieczeniowi wykonujący czynności pośrednictwa ubezpieczeniowego.

Czym jest weryfikacja klienta?

Weryfikacja oznacza sprawdzenie, czy dane którymi klient się posługuje są prawdziwe i należą do niego. Ponadto, na gruncie Ustawy o AML weryfikuje się czy klient nie uczestniczy w przepływie środków pochodzących z nielegalnego źródła.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam: