Przepisy RODO dotyczące ochrony danych osobowych oraz przepisy nowej ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu należy czytać i stosować łącznie, ponieważ zagadnienia te wzajemnie się uzupełniają.

Najważniejszą kwestią nowej ustawy o przeciwdziałaniu praniu pieniędzy jest identyfikacja i weryfikacja klientów oraz tzw. beneficjentów rzeczywistych. Klientem oraz beneficjentem rzeczywistym może być nie tylko osoba prawna, czy też jednostka organizacyjna nieposiadająca osobowości prawnej, ale i osoba fizyczna. Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu będzie więc polegało przede wszystkim na gromadzeniu, przetwarzaniu i przekazywaniu określonym podmiotom informacji. W wielu przypadkach będą one obejmowały konkretne dane osobowe, np. klientów czy beneficjentów rzeczywistych, a także informacje odnoszące się bezpośrednio do samej transakcji (dane kontrahenta, przedmiot transakcji, kwota itp.). Z punktu widzenia ochrony danych osobowych administrator takich danych może je przetwarzać m. in. w sytuacji, gdy wynika to z ciążącego na nim obowiązku prawnego i w celu jego wykonania. Ustawa o przeciwdziałaniu praniu pieniędzy i zawarty w niej obowiązek weryfikacji to właśnie jeden z takich przypadków.

W sytuacji, w której mamy do czynienia z klientem (beneficjentem rzeczywistym) będącym osobą fizyczną, najprostszym sposobem weryfikacji tożsamości będzie identyfikacja na podstawie dowodu tożsamości (np. dowód osobisty, paszport, karta pobytu). Przepisy ustawy wprost przewidują możliwość kserowania tych dokumentów. Dane i dokumenty, zgodnie z nową ustawą o przeciwdziałaniu praniu pieniędzy, powinny być przechowywane przez okres co najmniej 5 lat, licząc od pierwszego dnia roku, po którym nastąpiło zakończenie stosunków gospodarczych lub przeprowadzenie transakcji okazjonalnej. Dla administratora danych ważny jest także obowiązek przeprowadzania bieżących analiz stosunków gospodarczych klienta, ich rejestrowania oraz zgłaszania Generalnemu Inspektorowi Informacji Finansowej. W ten sposób zostaje ograniczone jedno z ważniejszych uprawnień osób fizycznych wynikających z RODO, czyli „prawo do bycia zapomnianym”.

Wdrażanie procedur wymaganych przez nową ustawę o przeciwdziałaniu praniu pieniędzy powinno się odbywać również z punktu widzenia przepisów o ochronie danych osobowych. Dotyczyć to będzie zwłaszcza następujących zagadnień:

• obowiązków informacyjnych względem podmiotu, którego danego osobowe są przetwarzane,
• obowiązku prowadzenia Rejestru Czynności Przetwarzania Danych Osobowych,
• możliwości zastosowania sprzeciwu wobec przetwarzania danych osobowych,
• powierzenia przetwarzania danych w przypadku outsourcingu usług z obszaru AML,
• wewnętrznej procedury zgłaszania nieprawidłowości z zakresu AML,
• zabezpieczenia przechowywanych danych.

Istotnym zagadnieniem z punktu widzenia ochrony danych osobowych jest także kwestia gromadzenia danych podmiotów trzecich, jak chociażby wspomniani beneficjenci rzeczywiści. Obowiązek gromadzenia tych danych wynika co prawda z ustawy o przeciwdziałaniu praniu pieniędzy, jednak jej przepisy nie precyzują zakresu danych osobowych, jakie można przetwarzać. Wydaje się, że zgodnie z zasadą minimalizacji, należy przetwarzać wyłącznie dane osobowe absolutnie niezbędne do wykonania obowiązku wynikającego z ustawy o przeciwdziałaniu praniu pieniędzy.

Szymon Goździk
Prawnik