AML i RODO to regulacje wywierające duży wpływ na wewnętrzne procedury i funkcjonowanie instytucji obowiązanych. Teoretycznie powinny uzupełniać się wzajemnie i działać jak dobrze naoliwiony mechanizm - czy w praktyce rzeczywiście prowadzą wspólnie do wypełniania przez instytucje obowiązane obowiązków nakładanych na te podmioty przez prawo?

Dane osobowe na gruncie Ustawy AML

Instytucje obowiązane stosują na gruncie Ustawy AML środki bezpieczeństwa finansowego, w ramach których mogą przetwarzać informacje zawarte w dokumentach tożsamości ich klientów i osób upoważnionych do działania w imieniu tych klientów, a także sporządzać ich kopie. Dane, które wchodzą w posiadanie podmiotów obowiązanych to przede wszystkim: imię i nazwisko, numer PESEL, data i miejsce urodzenia, obywatelstwo, adres zamieszkania, numer i seria dowodu osobistego oraz NIP. W przypadku osób fizycznych, które występują za pośrednictwem pełnomocnika - gromadzone są również jego dane. Zdarza się oczywiście, że klientem instytucji obowiązanej jest osoba prawna - wówczas instytucje obowiązane gromadzą także dane ich beneficjentów rzeczywistych, pełnomocników oraz reprezentantów.

Sposób gromadzenia danych oraz ich źródła

Instytucje obowiązane często bezpośrednio wchodzą w posiadanie danych osobowych swoich klientów, czyli pozyskują je od nich samych. Osoby, które chcą skorzystać z usług instytucji obowiązanej - np. banku - proszone są zwykle o wskazanie takich danych, które pozwalają na ich weryfikację zgodnie z wymogami Ustawy AML. W przypadku, gdy dane nie zostaną podane, świadczenie usług na rzecz tej osoby będzie niemożliwe.

Weryfikacja klienta może także oznaczać dla instytucji obowiązanych korzystanie z publicznie dostępnych rejestrów oraz ogólnodostępnych źródeł, jak KRS, Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) oraz Internetu.

Pośrednie pozyskanie ma miejsce w przypadku osób reprezentujących osoby prawne lub ich pośredników - ich dane są przekazywane do podmiotu obowiązanego poprzez osobę mocodawcy. Instytucja obowiązana musi poinformować te osoby o przetwarzaniu ich danych w procesie AML.

Cel przetwarzania

Podstawowym celem, dla którego instytucje obowiązane przetwarzają dane umożliwiające im weryfikację klienta, jest realizacja obowiązku prawnego wyrażonego w Ustawie AML. Jako administratorzy danych, instytucje te muszą stosować w tym zakresie zasady wspólne dla prawidłowego przetwarzania danych, m. in. zasadę minimalizacji danych. Występując w roli administratorów danych, podmioty te podlegają rygorowi przepisów RODO i Ustawy AML, co oznacza, że muszą również w ramach realizacji celów prawnych:

  • stosować środki bezpieczeństwa finansowego;
  • sporządzać ocenę ryzyka związanego z praniem pieniędzy;
  • zgłaszać i zawiadamiać odpowiednie organy.

Należy pamiętać, że bez zebrania danych niezbędnych podmiotom obowiązanym do przeprowadzenia identyfikacji klienta na gruncie Ustawy AML - nie będą one mogły de facto świadczyć swoich usług. Przetwarzanie tych danych jest w tym wypadku niezbędne do wykonania umowy, której jednej ze stron jest osoba, której dotyczą te dane. Gromadzenie i przechowywanie danych zebranych na potrzeby procedur AML odbywa się przez okres 5 lat.

Kto jest odbiorcą danych osobowych?

Organami, którym instytucje obowiązane mogą udostępniać zebrane i zgromadzone dane w procedurze AML są:

  • Generalny Inspektor Informacji Finansowej;
  • Prokuratura;
  • organy, które będą właściwe w sprawach dotyczących CRBR.

Instytucje powinny zadbać o odpowiednie zabezpieczenie danych gromadzonych w ramach AML i przeciwdziałać naruszeniom w zakresie ich integralności, dostępności i poufności. Każde tego typu zagrożenie powinno być niezwłocznie zgłoszone - w tym do Urzędu Ochrony Danych Osobowych, gdy zachodzi taka potrzeba.

Obowiązki instytucji obowiązanych wynikające z RODO

Przepisy RODO stawiają przed administratorami danych konkretne wymogi, dlatego aby zapewnić ich spójność z procesem AML, instytucje obowiązane powinny pamiętać o:

  1. klauzulach informacyjnych - przekazanie klauzul jest obowiązkiem instytucji obowiązanych przed każdym nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej. Niezbędnymi elementami każdej klauzuli są m. in.: informacje dotyczące administratora danych, informacje o ich odbiorcach, profilowaniu oraz wskazanie celów i podstawy prawnej przetwarzania.
  2. respektowaniu praw osób, których dane są przetwarzane - instytucje muszą respektować uprawnienia tych osób w zakresie swoich danych. Każda z nich ma prawo do bycia zapomnianym, prawo dostępu do danych, czy ich sprostowania.
  3. profilowaniu - polega na zautomatyzowanym przetwarzaniu danych, a przez to umożliwia przeprowadzenie analizy zachowań konkretnej osoby oraz ich prognozowania w przyszłości. Instytucje obowiązane stosując profilowanie są zobowiązane do poinformowania o tym fakcie klientów, a także muszą pamiętać, że nie mogą wykorzystywać tej automatyzacji do podjęcia decyzji, która mogłaby wywołać skutki prawne względem klientów, których dane dotyczą.
  4. rejestrze czynności przetwarzania danych - instytucje przetwarzające dane osobowe osób fizycznych są na gruncie RODO zobowiązane do prowadzeniu Rejestru czynności przetwarzania. W ewidencji tej muszą wykazać jakie dane są przetwarzane w ramach konkretnych procesów.

Podejście oparte na ryzyku 

Risk-based approach to łącząca AML oraz RODO metoda, która ma w swoim zamiarze umożliwiać ochronę danych za pomocą zbadania potencjalnych ryzyk i dostosowaniu do nich zabezpieczeń oraz środków. Żadna z tych regulacji nie dostarcza gotowych rozwiązań na najlepsze zabezpieczenie zasobów, a jedynie określa wymóg przeprowadzania cyklicznej oceny i badania ryzyka. Stanowi to punkt wyjścia do określenia zagrożeń i podjęcia dalszych kroków zmierzających do ich zredukowania. Analiza może zostać przeprowadzona przez profesjonalistów, którzy dysponują fachową wiedzą i doświadczeniem w zakresie przetwarzania danych oraz AML. Strona internetowa https://procedura-aml.pl/ dostarcza wyczerpujących informacji na temat zewnętrznego audytu, który pomoże wypełnić instytucji obowiązanej jej ustawowe obowiązki.

Podsumowanie

Podmioty, które na gruncie Ustawy AML funkcjonują jako instytucje obowiązane, muszą stosować się zarówno do przepisów z RODO, jak i Ustawy o ochronie danych osobowych. Obowiązki, które nakładają na nie omówione regulacje - związane z przetwarzaniem, gromadzeniem i przekazywaniem danych osobowych - muszą być realizowane na podstawie risk-based approach. Z tego względu warto upewnić się, czy rozwiązania stosowane w obszarze AML są zgodne z regulacjami wyrażonymi w rozporządzeniu RODO.