Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu a ochrona danych osobowych

Dużymi krokami zbliża się termin dokonania pierwszej oceny ryzyka przez instytucje obowiązane, w myśl nowej ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej jako „Ustawa o AML”). Warto przypomnieć, że przepisy Ustawy o AML powinny być stosowane w ścisłym związku z obowiązkami dotyczącymi ochrony danych osobowych usankcjonowanymi w treści RODO. Nadmierne zbieranie informacji o kliencie w ramach weryfikacji tożsamości może być niezgodne z przepisami o ochronie danych osobowych.

Należy zauważyć, że głównym obowiązkiem wynikającym z Ustawy o AML jest identyfikacja klienta i beneficjenta rzeczywistego, polegająca przede wszystkim na gromadzeniu, przetwarzaniu i przekazywaniu danych osobowych określonych podmiotów. Ustawa o AML wprost definiuje pojęcie przetwarzania informacji, jako każdą operację wykonywaną na informacjach, w szczególności ich uzyskiwanie, gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych[1]. Przy czym, zgodnie z treścią Ustawy o AML[2], przetwarzanie informacji o beneficjentach rzeczywistych przez instytucje obowiązane odbywa się bez wiedzy osób, których informacje te dotyczą.

Problem z równoczesnym stosowaniem Ustawy o AML i przepisów RODO może przejawiać się między innymi w zakresie danych, jakie mogą być przetwarzane na podstawie Ustawy o AML oraz w sytuacji, kiedy Ustawa o AML jest stosowana przez podmioty w sposób dobrowolny.

Przetwarzanie danych osobowych musi odbywać się zgodnie z zasadą legalności, a więc na podstawie jednej z przesłanek legalności, których katalog zamknięty został przyjęty na gruncie art. 6 ust 1 RODO. W przypadku przetwarzania danych na podstawie Ustawy AML, podmioty obowiązane do stosowania Ustawy, przetwarzają dane osobowe na zasadzie wypełnienia obowiązku prawnego ciążącego na administratorze. Przesłanka ta dotyczy jednakże jedynie sytuacji, w której dane przetwarzane są na podstawie Ustawy o AML, przez podmioty obowiązane do jej stosowania. Podmioty stosujące przepisy AML na zasadzie dobrowolności nie mogą już powoływać się na przesłankę obowiązku ustawowego, lecz jedynie na zgodę podmiotu którego dane dotyczą.

Podmioty obowiązane powinny również pamiętać, aby nie zbierać od klientów danych, które wykraczają poza te, wskazane wprost w treści Ustawy o AML. W praktyce, podmioty obowiązane przetwarzają więcej danych niż są do tego zobowiązane. Dzieje się tak np. przy zbieraniu danych kontaktowych, jak numer telefonu adres e-mail, jak i w przypadku gromadzenia nadmiernych danych identyfikujących klienta. Ustawa o AML nie stanowi podstawy do przetwarzania takich danych, zatem podmioty obowiązane powinny pobierać zgody od pomiotów, których dane dotyczą, na ich przetwarzanie.

Warto o powyższych zasadach pamiętać zwłaszcza przy okazji dokonywaniu przez podmioty obowiązane oceny ryzyka na początku stycznia 2019 roku.

[1] Zob. art. 2 ust. 2 pkt 16) Ustawy o AML.

[2] Zob. art. 34 ust. 6 Ustawy o AML.

Katarzyna Lamczyk
Katarzyna Lamczyk
katarzyna.lamczyk@ltca.pl

Radca prawny, Partner LTCA odpowiedzialny za Dział Prawny. W Kancelarii LTCA koncentruje się na doradztwie w zakresie prawa korporacyjnego, prawa gospodarczego, RODO i compliance prawnego oraz świadczy usługi kompleksowej obsługi start-upów. Z sukcesami reprezentuje Klientów w postępowaniach gospodarczych, cywilnych oraz karnoskarbowych. Prowadzi szkolenia m.in. z zakresu prawa gospodarczego, RODO, compliance oraz nadzoru nad rynkiem finansowym Jest autorem licznych publikacji prawnych w prasie branżowej i ogólnopolskiej.