RODO (Rozporządzenie o Ochronie Danych Osobowych) oraz AML (przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu) to dwa obszary prawne, które mogą się ze sobą ścierać w codziennej pracy instytucji obowiązanych – od biur rachunkowych, przez kantory, aż po firmy leasingowe czy agencje nieruchomości. Z jednej strony ochrona prywatności klientów, z drugiej – obowiązek ich dokładnej identyfikacji i monitorowania transakcji. Jak więc pogodzić RODO z AML, aby nie narazić się na kary z żadnej ze stron?
Dlaczego RODO i AML się „zderzają”?
- RODO chroni prywatność osób fizycznych i ogranicza możliwość gromadzenia oraz przetwarzania danych osobowych.
- AML nakazuje wręcz przeciwnie – dokładne identyfikowanie klientów, gromadzenie kopii ich dokumentów tożsamości, danych finansowych i analizowanie ich pod kątem ryzyka.
Na pierwszy rzut oka wydaje się, że te dwa obszary prawne się wykluczają. Jednak prawo przewidziało rozwiązanie tego konfliktu.
Tomasz Gzela wyjaśnia:
„Ustawa AML działa jako lex specialis wobec RODO – oznacza to, że obowiązki wynikające z AML mają pierwszeństwo przed ograniczeniami RODO w zakresie identyfikacji klienta”.
Jakie dane możesz przetwarzać w ramach AML?
W procesie identyfikacji klienta i przeciwdziałania praniu pieniędzy możesz gromadzić dane, takie jak:
- Imię i nazwisko,
- Obywatelstwo,
- Numer PESEL lub data urodzenia,
- Seria i numer dokumentu tożsamości,
- Adres zamieszkania,
- Dane beneficjenta rzeczywistego (jeśli to firma),
- Kopie/skany dokumentów tożsamości.
Jak podkreśla Tomasz Gzela:
„Przepisy ustawy AML zezwalają na kopiowanie dokumentów tożsamości – to prawo wynika z art. 34 ust. 4 ustawy AML”.
Dzięki temu masz prawo skanować, fotografować lub kserować dokumenty, jeśli jest to niezbędne do spełnienia obowiązków AML.
Jak pogodzić RODO z AML – 5 praktycznych zasad
- Określ podstawę prawną przetwarzania danych
Dane zbierane na potrzeby AML przetwarzasz nie na podstawie zgody klienta, ale z obowiązku prawnego wynikającego z ustawy AML (art. 6 ust. 1 lit. c RODO). Dzięki temu klient nie może odmówić podania danych wymaganych przez AML.
- Informuj klientów o przetwarzaniu danych
Chociaż nie potrzebujesz zgody, masz obowiązek informacyjny wobec klienta. Powinieneś przedstawić klauzulę informacyjną RODO, w której wskażesz:
- Kto jest administratorem danych,
- Jakie dane przetwarzasz,
- W jakim celu (AML),
- Jak długo będziesz przechowywać dane (najczęściej 5 lat od zakończenia relacji z klientem),
- Jakie prawa przysługują klientowi.
- Ogranicz zakres danych do niezbędnych
Zbieraj tylko te dane, które są konieczne do wypełnienia obowiązków AML. Nie przetwarzaj dodatkowych informacji (np. danych wrażliwych), jeśli nie są wymagane przez przepisy.
- Zabezpiecz dane zgodnie z RODO
Nawet jeśli przetwarzasz dane w ramach AML, musisz chronić je zgodnie z zasadami RODO:
- Stosuj środki techniczne i organizacyjne (np. szyfrowanie, ograniczenie dostępu).
- Ogranicz dostęp do danych tylko do osób zaangażowanych w AML.
- Zapewnij procedury w przypadku wycieku danych.
- Usuwaj dane po upływie wymaganego okresu
Po upływie 5 lat od zakończenia relacji z klientem, dane przetwarzane na potrzeby AML powinny być usunięte lub zanonimizowane, chyba że przepisy wymagają ich dalszego przechowywania (np. trwające postępowanie GIIF).
Co, jeśli klient odmawia podania danych?
Niektóre osoby mogą powoływać się na RODO i odmawiać podania dokumentu tożsamości lub jego skanowania. W takim przypadku masz prawo odmówić przeprowadzenia transakcji lub nawiązania relacji biznesowej.
Tomasz Gzela wyjaśnia:
„Jeśli klient nie wyraża zgody na identyfikację zgodną z AML, instytucja ma prawo zastosować art. 41 ustawy AML i odmówić przeprowadzenia transakcji”.
Podsumowanie
RODO i AML mogą funkcjonować równolegle, pod warunkiem że rozumiesz, kiedy które przepisy mają zastosowanie. Kluczem jest:
- Stosowanie RODO przy ochronie danych (np. bezpieczeństwo, okres przechowywania),
- Stosowanie AML przy identyfikacji klientów i gromadzeniu wymaganych informacji.
Pamiętaj: obowiązki AML przeważają nad ograniczeniami RODO, ale musisz je realizować zgodnie z zasadami ochrony danych.
Jeśli chcesz upewnić się, że Twoje procedury AML są zgodne z RODO, skorzystaj z profesjonalnego szkolenia AML, które uwzględnia również ochronę danych osobowych.