Skip to content Skip to sidebar Skip to footer
DrivenLegal.
+48 664 315 297
panel klienta
DrivenLegal.
panel klienta
Close
Artykuły

RODO a AML: ochrona danych osobowych i przeciwdziałanie praniu pieniędzy

0Comments

RODO a AML – jak wpływają na przetwarzanie danych osobowych?

Celem niniejszego artykułu jest przedstawienie zależności między rozporządzeniem RODO a ustawą AML. Wskazujemy wspólne obszary, potencjalne konflikty oraz sposoby ich rozwiązania, tak by wdrożenie procedur z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu odbywało się z poszanowaniem przepisów o ochronie danych osobowych. Pokazujemy, jak zapewnić zgodność regulacyjną i wypełnić obowiązki wynikające z ustawy AML, nie naruszając przepisów RODO.

Kto musi znać zasady zgodności AML i RODO?

Artykuł kierujemy przede wszystkim do biur rachunkowych, biur wirtualnych oraz innych podmiotów obowiązanych, które przetwarzają dane osobowe klientów i podlegają przepisom AML. Każda instytucja obowiązana powinna znać i rozumieć zależności między tymi regulacjami, by uniknąć potencjalnych naruszeń.

AML i RODO – obowiązki, przepisy i zarys regulacyjny

Zakres regulacji AML (Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu)

Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu z dnia 1 marca 2018 r. nakłada na podmioty obowiązane szereg obowiązków, w tym:
– identyfikację i weryfikację tożsamości klientów (tzw. CDD – customer due diligence),
– ocenę ryzyka prania pieniędzy i finansowania,
– analizę i monitoring przeprowadzanych transakcji,
– zbieranie i przechowywanie danych i dokumentów,
– raportowanie do Generalnego Inspektora Informacji Finansowej.

Rozporządzenie RODO – podstawowe zasady przetwarzania danych osobowych

Rozporządzenie o ochronie danych osobowych (RODO) ustanawia ramy legalności przetwarzania danych osobowych. Kluczowe zasady to m.in.:
– legalność i celowość przetwarzania,
– minimalizacja danych,
– przejrzystość,
– ochrona danych osobowych,
– bezpieczeństwo i odpowiedzialność administratora danych,
– prawa osób, których dane dotyczą.

AML i RODO – wspólne obszary i możliwe konflikty regulacyjne

Wspólnym obszarem AML i RODO jest przetwarzanie danych osobowych – instytucja musi łączyć wymogi obu aktów. Potencjalny konflikt pojawia się przy przechowywaniu danych dłużej, niż wynikałoby to z RODO, co w praktyce często ma miejsce z uwagi na obowiązki wynikające z ustawy AML.

Przetwarzanie danych osobowych zgodnie z AML i RODO

Legalna podstawa przetwarzania danych – art. 6 ust. 1 lit. c RODO

Podstawą prawną przetwarzania danych osobowych w kontekście AML jest realizacja obowiązku prawnego ciążącego na administratorze danych. Artykuł 6 ust. 1 lit. c RODO wprost wskazuje, że przetwarzanie danych może być legalne, gdy wynika z obowiązków ustawowych, takich jak ustawa AML.

Jak przetwarzać dane wrażliwe i informacje o wyrokach zgodnie z przepisami?

Zdarza się, że instytucja obowiązana przetwarza dane szczególnej kategorii (np. pochodzenie etniczne, zdrowie) lub dane o wyrokach sądowych. RODO (art. 9 i 10) oraz przepisy ustawy AML (art. 10 ust. 1) ograniczają takie działania. Przetwarzanie danych o karalności jest dopuszczalne wyłącznie wtedy, gdy wynika z przepisów prawa i podlega odpowiednim zabezpieczeniom.

Obowiązek informacyjny RODO a poufność zgłoszeń AML

RODO nakłada obowiązek informowania klientów o przetwarzaniu ich danych, jednak w AML istnieje zasada nieinformowania o zgłoszeniu podejrzenia do GIIF. Instytucje powinny stosować wzorcowe klauzule informacyjne, które uwzględniają ten wyjątek, nie naruszając obowiązków wynikających z rozporządzenia RODO.

Praktyczne skutki wdrożenia procedur AML dla dokumentacji RODO

Uzupełnienie rejestru czynności przetwarzania

Podmioty przetwarzające dane osobowe powinny prowadzić rejestr czynności przetwarzania, zgodnie z art. 30 RODO. W ramach realizacji obowiązków AML, należy dodać czynności takie jak identyfikacja klienta, analiza transakcji czy raportowanie do GIIF.

Aktualizacja klauzul informacyjnych zgodnych z ustawą AML

Każda instytucja obowiązana musi zaktualizować klauzulę informacyjną RODO o podstawę przetwarzania danych wynikającą z ustawy AML, minimalny okres przechowywania (5 lat) oraz dane odbiorców, w tym GIIF.

Polityka retencji danych a obowiązki wynikające z AML

Polityka retencji danych musi uwzględniać wyjątki wynikające z AML. Ustawa wymaga przechowywania danych przez minimum 5 lat od zakończenia stosunków gospodarczych – również skanów dokumentów tożsamości oraz informacji o przeprowadzonych transakcjach.

Bezpieczeństwo danych AML – środki techniczne i organizacyjne

Administrator danych powinien dostosować zabezpieczenia do rodzaju danych – dokumenty AML często zawierają dane wrażliwe (np. skan dowodu, umowy, dane PESEL, NIP), które należy przechowywać w sposób zaszyfrowany i dostępny wyłącznie dla upoważnionych osób, z pełnym logowaniem dostępu.

Procedura AML a zgodność z rozporządzeniem RODO

Jak uwzględnić AML w polityce ochrony danych osobowych?

Polityka ochrony danych osobowych powinna jasno wskazywać, że celem przetwarzania danych jest również realizacja obowiązków wynikających z ustawy AML – co zapewnia zgodność działań instytucji z rozporządzeniem RODO.

Szkolenia z RODO i AML – obowiązki personelu instytucji obowiązanych

Wdrożenie obowiązków AML wymaga przeszkolenia personelu nie tylko z AML, ale również z ochrony danych osobowych. Osoby zbierające dane muszą wiedzieć, jak ograniczyć ich zakres i przetwarzać je wyłącznie zgodnie z celem wynikającym z ustawy o AML.

DPIA i ocena ryzyka – przetwarzanie danych AML a RODO

W przypadku gromadzenia danych dotyczących tożsamości i sytuacji finansowej klienta warto przeprowadzić DPIA, tj. ocenę skutków dla ochrony danych. Jest to istotne szczególnie w razie zbierania dużych ilości danych lub kopiowania dokumentów tożsamości.

Przechowywanie i udostępnianie danych AML zgodnie z RODO

Przechowywanie dokumentów AML – dostępność i zabezpieczenia danych

Dokumentacja AML, np. dane beneficjentów rzeczywistych, dane identyfikacyjne, dokumenty tożsamości, powinna być przechowywana w sposób uniemożliwiający nieautoryzowany dostęp. Zaleca się szyfrowanie, ograniczenie uprawnień i logowanie operacji dostępowych.

Udostępnianie danych instytucjom – jak nie naruszyć RODO?

Ustawa o AML wskazuje, że instytucje obowiązane mogą przekazywać dane do GIIF oraz innych organów państwowych zgodnie z obowiązkiem prawnym. Ważne, by każdorazowo udokumentować podstawę prawną udostępnienia oraz procedurę realizacji tego obowiązku.

AML w praktyce – co biuro rachunkowe powinno zawrzeć w dokumentacji?

Jak opisać czynności AML w rejestrze przetwarzania danych?

Rejestr powinien zawierać czynność: „Identyfikacja klienta zgodnie z ustawą AML”, z określeniem celu, podstawy prawnej (art. 6 ust. 1 lit. c RODO), kategorii danych, odbiorców danych oraz okresu przechowywania (co najmniej 5 lat).

Przykładowa klauzula informacyjna zgodna z ustawą AML i RODO

Klauzula powinna zawierać informacje o celu przetwarzania (przeciwdziałanie praniu pieniędzy), podstawie prawnej (obowiązek prawny), czasie przechowywania danych, odbiorcach (GIIF) oraz informację, że odmowa podania danych skutkuje brakiem możliwości współpracy.

Retencja danych AML – jak długo przechowywać i kiedy usuwać?

Dokumentacja wewnętrzna powinna zawierać zasady przechowywania danych AML: 5-letni okres, opis mechanizmu usuwania danych po upływie terminu, zabezpieczenia podczas retencji oraz sposób dokumentowania usunięcia danych.

Polityka dostępu do danych AML – obowiązki administratora danych

W polityce należy wskazać, kto ma dostęp do danych AML, jak odbywa się nadanie uprawnień, jak dokumentować dostęp i jakie są procedury postępowania w przypadku naruszeń ochrony danych – w tym zgłaszanie sygnalistów.

RODO i AML – podsumowanie i praktyczne rekomendacje

Jak pogodzić przepisy RODO i AML w jednej dokumentacji?

Ochrona danych osobowych i przeciwdziałanie praniu pieniędzy mogą współistnieć. AML i RODO nie są sprzeczne – wystarczy dobrze przygotowana dokumentacja, jasne procedury i świadomość wymogów wynikających z obu regulacji.

Co zrobić, by Twoja instytucja była zgodna z ustawą AML i rozporządzeniem RODO?

Rekomendujemy klientom przegląd dokumentacji RODO pod kątem obowiązków wynikających z ustawy AML, aktualizację wewnętrznych procedur, przeszkolenie zespołu oraz prowadzenie rejestru czynności przetwarzania i DPIA. 

W ten sposób biura rachunkowe i wirtualne mogą skutecznie wdrożyć procedury przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, nie naruszając przy tym obowiązków ochrony danych osobowych. Zgodność z AML i RODO jest możliwa – wymaga jedynie odpowiedniego przygotowania dokumentacji i procedur.

Tags:
0Likes

Leave a comment

You May Also Like

Artykuły
Dlaczego pranie pieniędzy jest szkodliwe? Społeczne skutki prania brudnych pieniędzy
Artykuły
Transakcja okazjonalna: co to jest i kiedy stosować środki bezpieczeństwa finansowego?