Procedura AML a RODO – jak zapewnić zgodność z przepisami?

Ustawy AML i RODO to dwa bardzo istotne fundamenty współczesnej kontroli wewnętrznej w organizacjach. Mimo tego, że obie regulacje mają na celu ochronę interesów publicznych, jedna przeciwdziała praniu pieniędzy i finansowaniu terroryzmu, a druga chroni dane osobowe. Ich implementacja w praktyce często rodzi jednak pewne pytania i niepewność. Czy da się je pogodzić, tworząc spójny system, który jest zgodny z prawem? Jak zapewnić zgodność z przepisami? Odpowiadamy!

Jakie dane są zbierane na podstawie ustawy AML?

Ustawa AML z 1 marca 2018 roku nakłada na instytucje obowiązane konieczność stosowania środków bezpieczeństwa finansowego, które wymagają gromadzenia szczegółowych danych klientów. W praktyce są to takie dane jak:

• imię i nazwisko,
• PESEL,
• data i miejsce urodzenia,
• obywatelstwo,
• numer NIP,
• adres zamieszkania lub adres korespondencyjny,
• seria i numer dowodu osobistego,
• dane pełnomocników i beneficjentów rzeczywistych (w przypadku osób prawnych).

Ustawa dopuszcza również kopiowanie dokumentów tożsamości klientów w celu weryfikacji ich danych.

Jak pozyskać dane klientów?

Instytucje obowiązane uzyskują większość danych bezpośrednio od klientów. Zastosowanie ma więc w tym przypadku art. 13 RODO. Brak podania wymaganych informacji skutkuje tym, że niemożliwe będzie skorzystanie z usług. Klienci są więc zobowiązani do bezpośredniego udostępnienia pewnych danych, aby usługi w ogóle były dla nich dostępne.

Zdarzają się jednak sytuacje, gdy instytucje obowiązane otrzymują dane pośrednio. Dzieje się to chociażby przez pełnomocników lub reprezentantów. Mogą pozyskiwać je również z publicznych rejestrów np. z KRS. Wówczas mamy do czynienia z przetwarzaniem regulowanym, o którym mówi art. 14 RODO. Instytucja ma w tym przypadku obowiązek poinformowania danej osoby o przetwarzaniu jej danych.

Jaka jest podstawa prawna przetwarzania danych w ramach AML?

RODO przewiduje kilka podstaw przetwarzania danych.

Jeśli chodzi o procedury AML, najważniejsze są dwie:

1. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, czyli realizacji ustawowych obowiązków AML (np. identyfikacja klienta, ocena ryzyka, raportowanie do GIIF).
2. 6 ust. 1 lit. f RODO – przetwarzanie jest niezbędne do wykonania umowy lub działań przed jej zawarciem (np. weryfikacja przed podpisaniem umowy z klientem).

W przypadku podmiotów, które nie są formalnie objęte ustawą AML, a chcą stosować jej procedury, konieczne będzie pozyskanie zgody od osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO).

Jak długo można przechowywać dane?

Okres przechowywania danych zebranych w ramach AML jest jasno określony jako 5 lat od zakończenia relacji gospodarczej lub przeprowadzenia transakcji okazjonalnej. Stanowi o tym art. 49 ustawy AML. W wyjątkowych przypadkach GIIF może zdecydować o wydłużeniu tego okresu.

Ważne! wszystkie dane powinny być przetwarzane w sposób adekwatny do celu, zgodnie z zasadą minimalizacji z RODO. Administratorzy nie mogą więc zbierać ani przechowywać danych, które wykraczają poza to, co rzeczywiście okazuje się niezbędne.

Czy AML i RODO wzajemnie się wykluczają?

Wręcz przeciwnie. Obie regulacje prawnie opierają się na podejściu opartym na ryzyku. Oznacza to, że instytucje obowiązane muszą samodzielnie zidentyfikować potencjalne zagrożenia i dostosować procedury do specyfiki swojej działalności.

Zarówno AML, jak i RODO, nie narzucają sztywnych schematów działania. Oferują dosyć elastyczne ramy, w których liczy się cel i skutek, czyli bezpieczeństwo danych i zapobieganie nadużyciom finansowym.

Jakie działania wymagają szczególnej uwagi na styku AML i RODO?

Największe ryzyka mogą wystawić w poszczególnych obszarach:

• Monitorowanie i analiza transakcji – chodzi o konieczność przetwarzania dużych wolumenów danych.
• Przekazywanie danych do GIIF – wrażliwe dane muszą być odpowiednio zabezpieczone.
• Identyfikacja PEP i RCA – przetwarzanie danych szczególnej kategorii.
• Anonimowe zgłoszenia naruszeń – przetwarzanie danych sygnalistów musi odbywać się zgodnie z przepisami

Jak pogodzić AML i RODO w praktyce?

Obowiązki wynikające z AML i RODO bywają złożone, ale nie są ze sobą sprzeczne. Aby je pogodzić, należy odpowiednio dobrać podstawę prawną przetwarzania danych. Warto zwrócić uwagę na zasadę minimalizacji i adekwatności. Instytucje obowiązane muszą określić i przestrzegać okresów retencji, a także na bieżąco analizować ryzyko i aktualizować procedury. Wreszcie koniecznie może okazać się wdrożenie narzędzi wspierających zgodność systemów czy list sankcyjnych.

Klauzula informacyjna RODO dla działań AML – wzór, przykład

Poniżej możesz zapoznać się z praktycznym przykładem klauzuli informacyjnej dla klienta sklepu będącego instytucją obowiązaną.

Zgodnie z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), informujemy, że:

1. Administratorem Pani/Pana danych osobowych jest [nazwa firmy], z siedzibą przy [adres], e-mail: [adres e-mail], tel.: [numer telefonu].
2. Pani/Pana dane osobowe przetwarzane są w celu realizacji obowiązków prawnych wynikających z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tzw. ustawa AML), w szczególności:

• identyfikacji i weryfikacji tożsamości klienta,
• bieżącego monitorowania stosunków gospodarczych,
• stosowania środków bezpieczeństwa finansowego,
• przechowywania dokumentacji.

Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. c RODO – obowiązek prawny ciążący na administratorze.

3. Pani/Pana dane mogą być przekazywane podmiotom wspierającym nas w realizacji obowiązków AML (np. dostawcom usług IT, kancelariom prawnym), a także organom państwowym uprawnionym do ich otrzymania na podstawie przepisów prawa, w szczególności Generalnemu Inspektorowi Informacji Finansowej oraz innym organom nadzorczym i organom ścigania.
4. Dane będą przechowywane przez okres 5 lat od zakończenia stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnej, zgodnie z art. 49 ustawy AML. W określonych przypadkach okres ten może zostać przedłużony o kolejne 5 lat.
5. Przysługują Pani/Panu prawa:

• dostępu do danych,
• sprostowania danych,
• ograniczenia przetwarzania,
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Z uwagi na przetwarzanie danych na podstawie obowiązku prawnego, nie przysługuje prawo do usunięcia danych ani prawo sprzeciwu wobec przetwarzania.

6. Podanie danych jest obowiązkowe. Ich niepodanie uniemożliwi zawarcie lub kontynuację relacji gospodarczej – zgodnie z ustawą