W dzisiejszym artykule chcielibyśmy poruszyć bardzo ważny temat jakim jest rozporządzenie RODO w obszarze AML. Te dwie regulacje są ze sobą ściśle powiązane, co oznacza, że instytucje obowiązane muszą je wdrażać oraz stosować odpowiednio do prowadzonej przez siebie działalności.
Co jest cechą wspólną rozporządzenia RODO oraz ustawy AML?
Cechą wspólną omawianych regulacji jest oczywiście podejście oparte na ryzyku (ang. risk-based approach). RODO oraz ustawa AML zostały tak zaprojektowane, aby każda z instytucji obowiązanych mogła identyfikować ryzyka oraz dostosowywać do nich odpowiednio procedury i środki bezpieczeństwa.
Podejście oparte na ryzyku oznacza, że nie ma gotowych rozwiązań, identycznych dla wszystkich podmiotów. Regulacje RODO oraz AML przedstawiają natomiast obszary związane z zagrożeniami oraz działania mające na celu przeciwdziałanie praniu pieniędzy, finansowaniu terroryzmu i naruszeniom w obszarze danych osobowych.
Na tej podstawie instytucje obowiązane mogą dostosowywać procedury oraz środki bezpieczeństwa proporcjonalnie do prowadzonej działalności, wielkości firmy czy zasięgu geograficznego. Jest to niestety problematyczne dla instytucji obowiązanych ze względu na niewystarczające zasoby czy ograniczoną wiedzę w tych obszarach.
Dlatego bardzo ważnym jest, aby zasięgać wiedzy eksperckiej oferującej zgodne z prawem rozwiązania oraz pomoc w przeprowadzaniu szkoleń czy analizy ryzyka.
Elementy łączące ustawę AML z rozporządzeniem RODO
Elementami łączącymi ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z rozporządzeniem RODO są obowiązki instytucji obowiązanych w zakresie gromadzenia, przetwarzania i przekazywania danych osobowych osób fizycznych, a także danych dotyczących klientów będących m.in. firmami, instytucjami, polegające na:
identyfikacji oraz weryfikacji tożsamości klientów, osób przez nich upoważnionych i ich beneficjentów rzeczywistych;
identyfikacji oraz weryfikacji osób zajmujących eksponowane stanowiska polityczne albo pełniących znaczące funkcje publiczne (tzw. PEP), a także członków ich rodzin i osób znanych jako bliscy współpracownicy osób o statusie PEP (tzw. RCA);
monitorowaniu, przeprowadzaniu analiz oraz rejestrowaniu transakcji i stosunków gospodarczych;
zgłaszaniu do Generalnego Inspektora Informacji Finansowej informacji dotyczących m.in. klientów, transakcji, wartości majątkowych czy miejsc ich przechowywania;
przetwarzaniu informacji otrzymanych od sygnalistów w ramach procedury anonimowego zgłaszania przez pracowników lub inne osoby rzeczywistych, lub potencjalnych naruszeń przepisów AML.
Należy pamiętać, że wszelkie działania związane z gromadzeniem, przetwarzaniem i przekazywaniem danych osobowych, muszą być wykonywane na podstawie jednej z przesłanek wskazanych w rozporządzeniu RODO.
Ustawa AML stanowi o przetwarzaniu danych osobowych, które polega m.in. na ich gromadzeniu, przechowywaniu, opracowywaniu, udostępnianiu i usuwaniu. Dodatkowo, przetwarzanie informacji na temat beneficjentów rzeczywistych odbywa się poza wiedzą osób, których te dane dotyczą.
Adekwatność wypełniania obowiązków
Wypełniając obowiązki prawne jako administratorów danych osobowych należy mieć na uwadze zakres gromadzonych i przetwarzanych danych, sposób ich wykorzystywania czy długość okresu przechowywania. Wszystkie czynności powinny być adekwatne do wykorzystywanego celu.
Oznacza to, że należy zachowywać szczególną ostrożność, aby nie gromadzić zbyt wielu informacji na temat klientów czy ich beneficjentów rzeczywistych. Pamiętajmy, aby głównym założeniem było skuteczne ograniczanie ryzyka prania pieniędzy oraz finansowania terroryzmu.
Obowiązki instytucji obowiązanych
Instytucje obowiązane w ramach swoich działań AML i CFT mają obowiązek realizować szereg działań związanych z RODO. Ponadto warto, aby wykazały konieczność gromadzenia i przetwarzania danych w celu zapewniania należytej staranności i minimalizowania ryzyka AML.
W sytuacji, gdy instytucja obowiązana ma obowiązek prowadzić Rejestr Czynności Przetwarzania Danych Osobowych - powinna opisać w nim działania dotyczące przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, m.in. takie jak podstawa przetwarzania danych, zakres gromadzonych danych, cel wykorzystywania danych, okres przechowywania danych czy możliwości zastosowania sprzeciwu wobec przetwarzania danych;
Instytucja obowiązana ma obowiązek przygotować i przekazać podmiotom, których dane będą zbierane, szczegółową klauzulę informacyjną RODO obejmującą informacje m.in. na temat podstawy przetwarzania danych, zakresu gromadzonych danych, celu wykorzystywania danych, okresu przechowywania danych, a także możliwości zastosowania sprzeciwu wobec przetwarzania danych;
Instytucja obowiązana ma obowiązek zadbać o bezpieczeństwo danych – m.in. zapewnić poufność i integralność informacji, umożliwić dostęp do danych tylko upoważnionym i odpowiednio przeszkolonym osobom;
Instytucja obowiązana ma obowiązek zadbać o odpowiednią dokumentację i przeszkolenie pracowników;
W dokumencie oceny ryzyka AML, który jest obowiązkowy dla każdej instytucji obowiązanej, należy zamieścić m.in. informacje na temat kryteriów oceny, które wymagają dostępu do gromadzonego zakresu danych;
Szczegółowe informacje dotyczące gromadzenia i przetwarzania danych osobowych powinny ponadto znaleźć się w procedurze wewnętrznej AML, w której znajdują się zasady zgłaszania nieprawidłowości z zakresu AML i CFT.
Okres przechowywania danych przez instytucje obowiązane
Kolejnym istotnym zagadnieniem RODO w związku ze stosowaniem ustawy AML, jest okres przechowywania danych osobowych. Pomimo, iż rozporządzenie RODO dopuszcza przechowywanie danych tylko przez czas niezbędny do realizacji celów, w ustawie AML zajdziemy bardziej konkretne wytyczne.
Ustawa AML nakłada na instytucje obowiązane wymóg przechowywania danych przez 5 lat od pierwszego dnia roku następującego po roku, w którym ustały transakcje lub stosunki gospodarcze z danym klientem. Nowelizacja tego przepisu prawnego, która weszła w życie 30 października 2021 roku, stanowi, iż instytucje obowiązane mają przechowywać dane przez 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej.
Inaczej ma się to w stosunku do Generalnego Inspektora Informacji Finansowej – pod warunkiem regularnej (co 5 lat) weryfikacji potrzeby dalszego przetwarzania danych, zezwala na przechowywanie danych przez okres, który GIIF uzna za konieczny.
Nasza firma dba o zgodność regulacji RODO oraz AML, aby zapewnić Wam najlepsze wypełnienie obowiązków narzuconych przez ustawodawcę. Zapraszamy do kontaktu z naszymi przedstawicielami przez e-mail: contact@consultant-aml.com lub pod numerem telefonu +48 504 589 951.