Zarządzanie danymi osobowymi jest kluczowym elementem funkcjonowania każdej organizacji, która działa zgodnie z przepisami prawa. Szczególnie istotne jest to w kontekście ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML), która nakłada na instytucje obowiązek zbierania i przetwarzania danych osobowych w celu identyfikacji klientów oraz monitorowania ich działalności. W artykule wyjaśniamy, jakie są kluczowe zasady zarządzania danymi osobowymi w ramach AML oraz jak te zasady odnoszą się do przepisów Ogólnego rozporządzenia o ochronie danych (RODO).
Co to jest ustawa AML?
AML, czyli Anti-Money Laundering, to przepisy mające na celu przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. W Polsce przepisy te są regulowane przez ustawę o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Ustawa AML) z dnia 1 marca 2018 roku. Ustawa ta nakłada na instytucje finansowe, jak i inne wskazane w niej podmioty (“instytucje obowiązane”) m.in. obowiązek stosowania środków bezpieczeństwa finansowego, które obejmują identyfikację klienta, ocenę ryzyka oraz monitorowanie transakcji.
RODO, a AML – podstawowe regulacje
RODO to akt prawny regulujący ochronę danych osobowych w państwach członkowskich Unii Europejskiej. W związku z tym, firmy muszą zapewnić zgodność swoich działań z RODO, również w kontekście przetwarzania danych osobowych w ramach procedur AML. To z kolei wymaga, aby przepisy ustawy AML, które wymagają gromadzenia danych osobowych były stosowane z uwzględnieniem ogólnych zasad wynikających z RODO, w tym zasady ograniczenia celu czy minimalizacji danych.
Jakie dane mogą być przetwarzane w ramach realizacji obowiązków wynikających z ustawy AML?
Zgodnie z ustawą AML, instytucje obowiązane stosują środki bezpieczeństwa finansowego, które wymagają gromadzenia i przetwarzania szerokiego zakresu danych osobowych klientów. Są to m.in.:
- Dane identyfikacyjne: imię, nazwisko, numer PESEL lub data oraz państwo urodzenia, obywatelstwo, seria i numer dokumentu tożsamości, adres zamieszkania.
- Informacje o transakcjach: Kwota, rodzaj oraz cel transakcji, a także źródło pochodzenia środków.
- Dane dotyczące statusu klienta, np.: status osoby eksponowanej politycznie (PEP).
Przetwarzanie tych danych jest wymagane m.in. w celu identyfikacji oraz weryfikacji klienta – zarówno na etapie nawiązywania współpracy, jak i w czasie jej trwania, w tym przeprowadzenia analizy ryzyka klienta i dokonywanych przez niego transakcji z perspektywy prania pieniędzy lub finansowania terroryzmu.
Zgodność z RODO
Chociaż AML nakłada na podmioty obowiązek przetwarzania szerokiego zakresu danych osobowych, muszą one, jak już wspomniano, spełniać jednocześnie wymogi RODO. Kluczowe artykuły RODO, które należy odnieść do przetwarzania danych w kontekście AML, to:
- Artykuł 5 RODO: Zasady dotyczące przetwarzania danych. Przepisy RODO wymagają, aby dane osobowe były przetwarzane m.in. zgodnie z zasadą minimalizacji (art. 5 ust. 1 lit. c), co oznacza, że instytucje powinny przetwarzać jedynie te dane, które są adekwatne do spełnienia obowiązków wynikających z AML.
- Artykuł 6 RODO: Określa podstawy prawne przetwarzania danych osobowych. W kontekście AML, przetwarzanie danych jest odbywa się w związku z realizacją obowiązku prawnego (art. 6 ust. 1 lit. c RODO) w związku z przepisami ustawy AML.
- Artykuł 13 i 14 RODO: Obowiązek informacyjny. Przed przystąpieniem do przetwarzania danych, instytucje muszą poinformować klientów o celach przetwarzania oraz ich prawach. Wynika to wprost z art. 34 ust. 5 ustawy AML, co oznacza, że przed nawiązaniem stosunku gospodarczego lub przeprowadzeniem transakcji okazjonalnej należy spełnić obowiązek informacyjny wobec klienta, ale również wobec jego przedstawiciela i beneficjenta rzeczywistego.
Prawa osób, których dane są przetwarzane
RODO przyznaje osobom, których dane są przetwarzane, szereg praw, które muszą być respektowane również w kontekście AML, a w szczególności prawo do dostępu. Przewiduje ono, że klient ma prawo żądać od administratora informacji o tym, jakie jego dane osobowe są przetwarzane, a także udzielenia mu informacji m.in. w zakresie celu ich przetwarzania i okresu przechowywania.
Obowiązek przechowywania danych
Ustawa AML narzuca także obowiązek przechowywania danych przez określony czas. Zgodnie z art. 49 ustawy AML, dane muszą być przechowywane przez okres , co do zasady, 5 lat od zakończenia relacji z klientem lub przeprowadzenia transakcji okazjonalnej.
Jakie są konsekwencje naruszeń?
Naruszenie przepisów dotyczących zarówno AML, jak i RODO, może skutkować poważnymi sankcjami, co wymaga uwzględnienia w działalności instytucji obowiązanych wymogów obu ww. aktów. Podmioty, które nie będą przestrzegały zasad przetwarzania danych narażają się na szereg sankcji wynikających z RODO, które nałożone mogą zostać przez Prezesa UODO. Wśród nich najdalej idąca jest oczywiście administracyjna kara pieniężna. Nie inaczej sprawa wygląda w przypadku naruszenia przepisów AML, np. na skutek nieodpowiedniej identyfikacji lub weryfikacji klienta. W tym przypadku instytucja obowiązana również musi się liczyć z wysokimi sankcjami administracyjnymi, z tym, że mogą one zostać zastosowane – w zależności od okoliczności – przez Generalnego Inspektora Informacji Finansowej, Prezesa Narodowego Banku Polskiego lub Komisję Nadzoru Finansowego.
Jak zapewnić zgodność z RODO i AML?
Przede wszystkim należy pamiętać, że RODO i AML wymagają współstosowania. Każdy z tych aktów ma inny cel, a rolą instytucji obowiązanej – administratora danych, jest takie zaprojektowanie procesów przetwarzania, aby spełniać wymogi nakładane przez każdy z nich. Aby to zrobić, należy przede wszystkim:
- Przeprowadzać ocenę ryzyka: Instytucje muszą regularnie przeprowadzać ocenę ryzyka związaną z przetwarzaniem danych osobowych. Warto przeanalizować, jakie dane są rzeczywiście niezbędne do spełnienia obowiązków wynikających z AML. Taka analiza powinna być też przeprowadzana na bieżąco i uwzględniać zmieniające się okoliczności.
- Przestrzegać zasady minimalizacji danych: Należy zbierać tylko te dane, które są niezbędne do przeprowadzenia oceny klienta w ramach AML.
- Stosować odpowiednie środki techniczne i organizacyjne: Zabezpieczenie danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, adekwatnych do zagrożeń zidentyfikowanych na etapie oceny ryzyka. Warto pamiętać, że ochrona danych osobowych powinna być uwzględniona również w procedurach wdrażających AML w organizacji.
- Szkolić pracowników: Personel powinien być świadomy obowiązków wynikających z RODO oraz AML i regularnie szkolony w zakresie ochrony danych.
Podsumowanie
Zarządzanie danymi osobowymi w kontekście ustawy AML wymaga precyzyjnego zrównoważenia między wymogami wynikającymi z przepisów prawa a ochroną prywatności i danych osobowych klientów, którą zapewnia RODO. Instytucje muszą zbierać i przetwarzać dane w sposób zgodny z wymogami AML, jednocześnie przestrzegając zasad ochrony danych osobowych. Przestrzeganie zarówno ustawy AML, jak i RODO jest kluczowe dla unikania sankcji prawnych i finansowych oraz budowania zaufania klientów.
Na koniec wypada podkreślić, że niniejszy artykuł ma charakter wprowadzający do tematyki przetwarzania danych osobowych w związku z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.
Autor: Sylwia Ostrowska