11 krajów, w tym Szwajcaria, zatwierdzonych przez UE do przepływu danych osobowych zgodnie z RODO
W dniu 31 maja 2023 r. Parlament Europejski oraz Rada przyjęły Rozporządzenie (UE) 2023/1113, ustanawiające szczegółowe wymogi dotyczące informacji towarzyszących transferom środków pieniężnych oraz niektórym transferom kryptoaktywów. Regulacja ta stanowi integralny element zreformowanego unijnego systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT) i jest krokiem milowym w zakresie ujednolicenia standardów zgodności w odniesieniu do dostawców usług w zakresie kryptoaktywów (CASP).
Cel legislacyjny
Rozporządzenie (UE) 2023/1113 ma na celu implementację zaleceń nr 16 Grupy FATF, znanych jako „reguła podróży”. Zobowiązuje ono podmioty objęte regulacją do pozyskiwania, weryfikowania, przechowywania oraz przekazywania danych identyfikacyjnych nadawcy i odbiorcy w ramach wszystkich transferów kryptoaktywów. Celem jest zapewnienie możliwości śledzenia transakcji, eliminacja anonimowości oraz ułatwienie nadzoru i współpracy transgranicznej.
Kluczowe obowiązki regulacyjne
Zakres stosowania
Rozporządzenie stosuje się do transferów kryptoaktywów, w których uczestniczy co najmniej jeden CASP posiadający siedzibę na terytorium UE.
Zwolnienia mają zastosowanie jedynie w przypadku transferów peer-to-peer realizowanych bez udziału CASP ani innego podmiotu zobowiązanego.
Wymagane dane
CASP nadawcy jest zobowiązany do zebrania i przekazania następujących danych:
- pełnego imienia i nazwiska nadawcy,
- identyfikatora konta aktywów kryptograficznych (np. adresu portfela),
- adresu, numeru dokumentu tożsamości lub daty i miejsca urodzenia.
CASP odbiorcy musi wdrożyć procedury należytej staranności weryfikujące poprawność i kompletność otrzymanych informacji.
Obowiązki pośredników
W przypadku udziału pośredników w transferze, są oni zobowiązani do zapewnienia integralności i niezmienności przekazywanych danych.
Braki w danych muszą być korygowane zgodnie z procedurami wewnętrznymi, a w razie potrzeby – transakcja wstrzymana lub odrzucona.
Przechowywanie danych i zgodność z RODO
Wszystkie dane muszą być przechowywane przez co najmniej pięć lat, z zachowaniem zgodności z Rozporządzeniem 2016/679 (RODO), w tym zasadami legalności przetwarzania i minimalizacji danych.
Ryzyko stron trzecich
W przypadku, gdy CASP nadawcy lub odbiorcy ma siedzibę poza UE, CASP unijny musi ocenić adekwatność stosowanych mechanizmów wymiany danych oraz zastosować wzmożone środki należytej staranności, jeśli nie można wykazać równoważności.
Implikacje prawne i operacyjne
Rozporządzenie 2023/1113 nakłada na CASP obowiązki proceduralne wykraczające poza standardowe działania z zakresu przeciwdziałania przestępstwom finansowym. Niezbędne jest wdrożenie interoperacyjnych systemów umożliwiających bezpieczne przekazywanie danych w czasie rzeczywistym, prowadzenie rejestrów, logów dostępowych oraz ocen ryzyka zgodnych z wymogami AML i ochrony danych osobowych.
Nieprzestrzeganie regulacji może skutkować sankcjami, szkodą reputacyjną oraz ograniczeniem możliwości świadczenia usług na rzecz lub z państw uznawanych za niezgodne.
Doradztwo strategiczne
W APOG wspieramy CASP w zakresie:
- sporządzania wewnętrznych polityk AML/CFT i przetwarzania danych zgodnych z rozporządzeniem 2023/1113,
- integracji narzędzi monitorowania transakcji i weryfikacji tożsamości,
- przygotowania dokumentacji licencyjnej i audytowej,
- realizacji szkoleń dla personelu compliance i technicznego.
Zakończenie
Rozporządzenie (UE) 2023/1113 stanowi przełom w europejskim systemie regulacji transferów kryptoaktywów. Jego skuteczne wdrożenie ograniczy ryzyko przestępstw finansowych oraz zwiększy zaufanie instytucji do sektora cyfrowych aktywów. Zalecamy podjęcie działań przygotowawczych w oparciu o fachowe doradztwo prawne i technologiczne.
