W 2018 roku weszły w życie nowe przepisy dotyczące dwóch bardzo ważnych obszarów, tzn. ochrony danych osobowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, które wchodzą w skład systemu compliance w organizacjach. W odniesieniu do przedsiębiorstw compliance oznacza taką jego organizację, poprzez stworzenie odpowiedniej struktury i stosowanie właściwych środków, która zredukuje do możliwego minimum ryzyko wystąpienia w przedsiębiorstwie wszelkich nieprawidłowości*.
W zgodzie z powyższą definicją pozostaje nowe podejście, które zaprezentowały organy unijne tworząc regulacje w omawianych dziedzinach. Zarówno RODO, które stosowane jest bezpośrednio w państwach członkowskich, jak i implementująca dyrektywy unijne Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML), nie wskazują gotowych rozwiązań dla każdego przedsiębiorstwa, które można ułożyć w checklistę i spełnić lub nie. Wydaje się to słuszne, gdyż każdy rodzaj działalności ma inną charakterystykę, a ponadto trudno wskazać konkretne rozwiązania, które będą właściwe zarówno dla mikroprzedsiębiorstw, jak i dużych spółek akcyjnych.
Obecnie zastosowane zostało podejście oparte na ryzyku (risk-based approach). To każdy z podmiotów zobowiązany do stosowania przepisów musi zidentyfikować potencjalne obszary, w których istnieje większe lub mniejsze zagrożenie prania pieniędzy, finansowania terroryzmu lub naruszenia przetwarzania danych osobowych. Ocena ryzyka powinna zostać przeprowadzona proporcjonalnie do skali oraz rodzaju działalności. Następnie wdrożone takie działania ograniczające, procedury oraz inne środki bezpieczeństwa, które zminimalizują zidentyfikowane wcześniej ryzyka i niebezpieczeństwa. Z jednej strony jest to kłopotliwe i stwarza zagrożenie niewłaściwego wdrożenia przepisów, w szczególności przez małe przedsiębiorstwa, które będą próbowały samodzielnie sprostować wymaganiom. Z drugiej strony możliwe jest stworzenie elastycznych i skutecznych systemów oraz procedur, które będą odpowiadały częstym zmianom zagrożeń i metod ochrony przed nimi. Możliwa jest priorytetyzacja zadań i obszarów oraz odpowiednie kierowanie środków, co pozwoli na zminimalizowanie największych zagrożeń.
Przechodząc do styku AML oraz RODO zasygnalizujemy Państwu kilka najważniejszych zagadnień oraz obowiązków instytucji obowiązanych w związku z ochroną danych osobowych, opierając się na niektórych zasadach ich przetwarzania skatalogowanych w RODO. Niestety nie ma w niniejszym artykule miejsca na kompleksowe omówienie wszystkich zasad oraz innych zagadnień (np. praw osób, których dane dotyczą) wynikających z realizacji obowiązków wynikających z ustawy o AML w kontekście ochrony danych osobowych.
Bardzo wiele obowiązków instytucji obowiązanych na gruncie Ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu wiąże się z przetwarzaniem danych osobowych. Są nimi m. in.:
- Konieczność identyfikacji oraz weryfikacji tożsamości klientów, osób upoważnionych oraz beneficjentów rzeczywistych (art. 34 ust. 1 i 2 ustawy o AML). Dla prawidłowego stosowania środków bezpieczeństwa możliwe jest nawet kopiowanie dowodów tożsamości klientów i osób upoważnionych do działania w ich imieniu (art. 34 ust. 4 ustawy o AML),
- Przetwarzanie wszelkich informacji, które instytucje obowiązane otrzymują od sygnalistów (art. 53 ustawy o AML),
- Ustalenie, czy klient lub beneficjent rzeczywisty zajmują eksponowane stanowisko polityczne (PEP).
Jeżeli instytucja obowiązana ma obowiązek prowadzenia RCPD, czyli Rejestru Czynności Przetwarzania Danych Osobowych (art. 30 RODO), to niewątpliwie należałoby wyodrębnić w nim obszar czynności przetwarzania w ramach przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz wskazać przeprowadzane w ramach niego procesy. Mogą nimi być m. in. wyżej wskazane obowiązki.
Podstawa przetwarzania danych
Jedną z najważniejszych zasad przetwarzania danych na gruncie RODO jest zasada legalności (zgodności z prawem). Administrator danych osobowych może je przetwarzać jedynie, gdy odbywa się to na podstawie jednej z enumeratywnie wymienionych w art. 6 RODO przesłanek.
W przypadku działań instytucji obowiązanych związanych z ustawą o AML, jest to wypełnianie obowiązku prawnego na niej ciążącego. Właśnie taka podstawa wskazana jest w art. 6 ust. 1 lit. c RODO.
Realizacją tej zasady przez administratora danych osobowych będzie wpisanie właściwej podstawy przetwarzania danych do RCPD, który (co do zasady) musi być prowadzony przez instytucje obowiązane.
Ponadto wskazana podstawa przetwarzania danych osobowych powinna zostać umieszczona w klauzuli informacyjnej, którą podmioty obowiązane przekazują klientowi m. in. przed nawiązaniem stosunków gospodarczych (art. 34 ust. 5 ustawy o AML).
Bezpieczeństwo
Kolejną z zasad płynących z RODO jest zapewnienie poufności oraz integralności danych osobowych, czyli nic innego jak zapewnienie ich bezpieczeństwa. Konkretyzacją zasady płynącej z art. 5 ust. 1 lit. f jest art. 32 RODO, który nawiązuje do podejścia, o którym była mowa na wstępie. Środki bezpieczeństwa mają być proporcjonalne do rozmiaru, przedmiotu i charakteru działalności oraz adekwatne do ryzyka. W obszarze AML ryzyko nieprawidłowości danych lub ich wycieku jest wysokie, dlatego instytucje obowiązane powinny dołożyć staranności w ich zabezpieczeniu. Przykładowymi działaniami mogą być fizyczne ograniczenie dostępu do danych, ale także podmiotowe (upoważnienia do przetwarzania danych tylko w niezbędnym zakresie) oraz regularne szkolenie pracowników.
Adekwatność i ograniczenie celu
Dwie kolejne zasady omówione zostaną razem, gdyż są ze sobą skorelowane. Ograniczenie celu oraz adekwatność przetwarzanych danych są dosyć trudne do uchwycenia na gruncie AML. Z jednej strony wymaga się od podmiotów najwyższej staranności i przedsięwzięcia wszelkich działań, które umożliwią spełnienie ustawowych wymagań. Z drugiej strony powinno się to odbywać jedynie w niezbędnym zakresie.
Praktycznie ujmując problem można powiedzieć, że niemalże każde działanie instytucji obowiązanej będzie adekwatne i niezbędne do spełnienia celu, jeżeli tylko mogło przyczynić się do skuteczniejszej analizy ryzyka lub lepszego wdrożenia środków bezpieczeństwa. Zaleca się umieścić opis danego (wątpliwego) kryterium w dokumencie analizy ryzyka, aby móc wykazać ową adekwatność.
Działania, które nie będą zgodne z tymi zasadami ograniczają się niemalże jedynie do instrumentalnego traktowania ustawy o AML do „wyciągania” danych i informacji od klientów lub osób upoważnionych.
Ograniczenie czasu przechowywania
RODO wskazuje, że przechowywanie danych osobowych jest dopuszczalne jedynie przez okres, w którym jest to niezbędne dla realizacji celów, dla których dane są przetwarzane (art. 5 ust. 1 lit. e). Na szczęście ustawa o AML wskazuje instytucjom obowiązanym dokładny okres, przez który mają przechowywać zgromadzone dokumenty. Jest to 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne (art. 49 ustawy o AML). Okres retencji danych powinien zostać umieszczony w klauzuli informacyjnej oraz RCPD.
Co ciekawe, termin dla Generalnego Inspektora Informacji został zakreślony nieco inaczej. Przechowywanie może trwać tak długo, jak tylko GIIF uzna to za koniecznie, a co 5 lat powinien jedynie przeprowadzać weryfikację potrzeby dalszego przetwarzania zgromadzonych informacji (art. 100 ustawy o AML).
Wdrażając w przedsiębiorstwie system ochrony danych osobowych oraz realizując obowiązki wynikające z przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu należy pamiętać o podejściu opartym na ryzyku (risk-based approach). Każdy podmiot musi właściwie zidentyfikować zagrożenia i wdrożyć adekwatne środki, pamiętając o wzajemnym przenikaniu się tych bardzo ważnych regulacji (RODO oraz AML). W przypadku ewentualnych kontroli to instytucje obowiązane oraz podmioty przetwarzające dane osobowe będą musiały wykazać należytą staranność swoich działań.
Niniejszy alert ma charakter informacyjny i nie jest to porada prawna.
* B. Makowicz, Compliance w przedsiębiorstwie, Warszawa 2011, s. 16-17
autor:
