Jakie dane osobowe przetwarza instytucja obowiązana? 

Na mocy przepisów Ustawy z dnia 1 marca 2018 roku o przeciwdziałaniu finansowaniu praniu pieniędzy i terroryzmu, określone instytucje – podatne na wysokie ryzyko AML z uwagi na profil swojej działalności - obowiązane są do wdrożenia szczególnych zasad bezpieczeństwa finansowego. Banki, prawnicy, instytucje płatnicze czy podmioty świadczące usługi inwestycyjne, zobligowane są do gromadzenia danych osobowych, które pozwalają ustalić skąd pochodzą środki będące przedmiotem transakcji i kto jest ich odbiorcą. 

W myśl przepisów ww. Ustawy, instytucje obowiązane mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. W szczególności, gromadzą takie dane jak: imię i nazwisko, numer PESEL, dane dotyczące urodzenia, NIP i adres.  Powyższe dane pozyskiwane są nie tylko od klientów, ale także od ich reprezentantów, pełnomocników oraz beneficjentów rzeczywistych transakcji.

Podmioty obowiązane zawierając umowę z klientem działają na gruncie art. 6 ust. 1 lit. f) RODO, a więc pozyskują dane na potrzeby wykonania umowy, nie mogą bowiem zawrzeć z klientem umowy bez przeprowadzenia obowiązkowej procedury AML i zebrania wymaganych przepisami Ustawy AML oświadczeń. Ponadto, podstawę przetwarzania danych będzie stanowił art. 6 ust. 1 lit c) RODO, zgodnie z którym administrator może przetwarzać dane, jeśli ciąży na nim obowiązek wynikający z przepisów prawa. Przepisy Ustawy o AML nakładają tymczasem na podmioty obowiązane szereg wymagań m.in. związanych z przeprowadzaniem oceny ryzyka prania pieniędzy oraz wdrażania instrumentów ochrony bezpieczeństwa finansowego.

Jakie obowiązki wynikają z RODO dla instytucji obowiązanej?

Instytucja obowiązana powinna przestrzegać zarówno norm wynikających z Ustawy o AML jak i RODO. Podstawowym obowiązkiem – spójnym dla jednego i drugiego aktu – jest dbanie, aby zgromadzone dane pozostały w poufności. Są one objęte nie tylko ochroną RODO, ale także obowiązkiem zachowania ich w tajemnicy, wynikający z Ustawy o AML. Ujawnieniu mogą ulec tylko na żądanie podmiotów wskazanych w Ustawie m.in. GIIF oraz prokuratury. 

W szczególności instytucja obowiązana powinna dopełniać obowiązków informacyjnych wobec osób, których dane przetwarza i przekazywać im klauzule informacyjne. W klauzulach muszą znajdować się informacje dotyczące przede wszystkim administratora, podstawy i celu przetwarzania oraz praw przysługujących podmiotom danych. Obowiązek ten aktualizuje się także wobec osób, których dane zostały przekazane przez pośrednika (np. klienta, który wskazał pełnomocnika). Ponadto, zgodnie z przepisami RODO instytucja obowiązana powinna pamiętać o bieżącym prowadzeniu rejestrów takich jak Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania. Pracownikom instytucji obowiązanych, zajmującym się obsługą procesu AML, należy wydawać stosowne upoważnienia do przetwarzania tej kategorii danych osobowych. 

Ważnym elementem jest retencja danych osobowych – a więc ich usuwanie po  upływie czasu, w którym ich przetwarzanie było dla instytucji obowiązanej niezbędne. W przypadku danych osobowych zbieranych na potrzeby instytucji obowiązanych, Ustawa o AML wprost wskazuje, że dane te należy przechowywać przez okres nie dłuższy niż 5 lat. 

Przetwarzający dane osobowe powinni w swoich organizacjach wdrożyć odpowiednie zabezpieczenia organizacyjne i technologiczne, pozwalające zapewnić bezpieczeństwo zebranym danym osobowym, w tym procedury wewnętrzne i rozwiązania systemowe. Jeśli w instytucji zdarzy się incydent polegający na naruszeniu poufności, integralności lub dostępności danych osobowych, należy niezwłocznie przygotować analizę ryzyka naruszenia i podjąć stosowne kroki, w tym – jeśli tak wyniknie z analizy – poinformować Urząd Ochrony Danych Osobowych oraz poszkodowanych. 

Jeśli instytucja obowiązana powierza dane osobowe podmiot trzecim, tzw. outsourcerom, powinna zadbać, aby i oni mieli zagwarantowane bezpieczeństwo w zakresie przetwarzanych danych i byli świadomi ciążącej na nich odpowiedzialności. W tym celu należy uregulować prawa i obowiązki stron w ramach umowy powierzenia przetwarzania danych. 

Risk – based approach jako wspólny mianownik AML i RODO

W wykonywaniu zarówno przepisów Ustawy o AML jak i RODO, instytucje obowiązane powinny stosować podejście oparte na ryzyku, tzw. risk-base approach. Cyklicznie zobligowane są przeprowadzać odpowiednie analizy pozwalające wykryć słabe punkty i zagrożenia dla ochrony, a następnie na tej podstawie projektować rozwiązania i środki bezpieczeństwa. Wdrożenie adekwatnych procedur  jest jednym z kluczy do sukcesu na drodze do prawidłowego wdrożenia przepisów w każdej organizacji. Więcej na temat procedury AML mogą Państwo przeczytać na dedykowanej stronie: https://procedura-aml.pl a merytorycznego wsparcia w całym procesie chętnie udzielą Państwu zawsze pracownicy kancelarii. 

Podsumowanie

Przepisy Ustawy o AML i RODO generują wiele obowiązków wobec instytucji obowiązanych. Zobligowane są one nie tylko do wdrożenia szczególnych zasad bezpieczeństwa finansowego, ale także ochrony przetwarzanych danych osobowych. Dobrze skonstruowane w ramach organizacji procesy, wsparte przez odpowiednie procedury wewnętrzne, nie tylko zapewnią zgodność z przepisami prawa, ale także wzbudzą zaufanie obsługiwanych klientów.