Przedsiębiorstwa są zobowiązane do przestrzegania różnych przepisów. Wśród nich warto wyróżnić przede wszystkim ustawę o przeciwdziałaniu praniu pieniędzy oraz rozporządzenie RODO. Jak łączą się ze sobą te kwestie i co zrobić, by działać zgodnie z prawem?
Czym jest ustawa AML?
AML to ustawa przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Dotyczy ona wszystkich firm obracających pieniędzmi. Nakłada na przedsiębiorców następujące obowiązki:
-
monitorowanie, analizowanie i rejestrowanie wszelkich transakcji oraz stosunków gospodarczych,
-
zgłaszanie potencjalnych lub rzeczywistych naruszeń ustawy AML do GIIF – Generalnego Inspektora Informacji Finansowej,
-
identyfikacja tożsamości osób i ich beneficjentów rzeczywistych.
Ustawa AML wiąże się więc bezpośrednio z przetwarzaniem danych osobowych, a więc przepisami RODO. Podmiot podlegający temu prawu może wykonać skan dowodu osobistego klienta lub kontrahenta. Jego obowiązkiem jest gromadzenie, przechowywanie, opracowywanie, udostępnianie i usuwanie danych osobowych.
Zbieranie danych osobowych w ramach ustawy AML
Dane zbierane na podstawie ustawy AML powinny być wykorzystywane w konkretny sposób i przechowywane tak długo, jak jest to potrzebne w danym przypadku. Wszystkie działania podejmowane w tym zakresie muszą być adekwatne co do celu. Przedsiębiorca nie może zbierać więcej informacji niż te, do których posiadania jest zobowiązany. Jeśli gromadzi on dodatkowe dane, musi wystąpić o zgodę na ich przetwarzanie. Ma to miejsce przede wszystkim w przypadku zbierania numerów telefonów, adresów czy e-maili – to informacje inne niż te wymienione w ustawie AML.
Regulacje RODO i AML nie wskazują gotowych rozwiązań, dlatego każdy podmiot powinien dostosowywać zakres zbieranych danych do indywidualnej sytuacji. Znaczenie mają takie czynniki, jak branża, wielkość firmy, zasięg geograficzny, skala i rodzaj działalności oraz potencjalne zagrożenia.
Przepisy RODO w kontekście ustawy AML
Ustawa AML narzuca obowiązek gromadzenia i analizowania danych osobowych, jednak takie operacje zawsze muszą być realizowane zgodnie z rozporządzeniem RODO. Warto zauważyć, że procesy dotyczące tych informacji zachodzą bez wiedzy osób, których dotyczą.
Ustawa AML wskazuje podmioty zobowiązane, które muszą dopełniać odpowiednich formalności dążących do przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Istnieje jednak możliwość realizacji tych operacji także dobrowolnie. Podmioty, które nie są wskazane przez ustawę AML jako instytucje obowiązane, muszą uzyskać zgodę danej osoby na przetwarzanie jej danych. Szczegóły na ten temat określa art. 6 ust. 1 lit. a rozporządzenia RODO.
Czas przechowywania danych osobowych
Zgodnie z rozporządzeniem RODO dane mogą być przechowywane jedynie przez czas niezbędny do realizacji celów. Ustawa AML jest jednak znacznie bardziej precyzyjna. Zgodnie z nią instytucja musi gromadzić informacje przez 5 lat od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z danym klientem. Zmiana ta została wprowadzona w 2021 roku. Jeśli transakcja podejmowana z klientem ma charakter okazjonalny, okres 5 lat liczy się od dnia jej przeprowadzenia.
Generalny Inspektor Informacji Finansowej (GIIF) po 5 latach może zweryfikować konieczność dalszego przechowywania danych. Jeśli stwierdzi, że dalej są one potrzebne, istnieje opcja wydłużenia tego czasu. O dokładnym okresie gromadzenia informacji osobowych decyduje (GIIF).
Obowiązki wynikające z przepisów RODO
Przedsiębiorcy muszą przestrzegać nie tylko ustawy AML, lecz także RODO. Zgodnie z tym rozporządzeniem są oni zobowiązani do:
-
prowadzenia Rejestru Czynności Przetwarzania Danych Osobowych – obejmuje on informacje na temat działań z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, podstawy przetwarzania danych, zakresu gromadzonych informacji, celu ich wykorzystania oraz okresu przechowywania,
-
przygotowania dokumentu oceny ryzyka AML – zawiera on informacje na temat kryteriów oceny, które wiążą się z dostępem do gromadzonych danych osobowych,
-
przygotowywania i przekazywania podmiotom klauzuli informacyjnej RODO – zawiera ona podobne informacje do Rejestru Czynności Przetwarzania Danych Osobowych, jednak musi zostać podpisana przez podmiot, którego dotyczy przetwarzanie danych,
-
szkolenia pracowników odpowiedzialnych za przetwarzanie danych osobowych – dotyczą one takich zagadnień, jak upoważnienia do przetwarzania danych czy umowy powierzenia tych obowiązków zewnętrznej firmie,
-
dbania bezpieczeństwo danych – konieczne jest zachowanie ich poufności i integralności. Ważny jest też dostęp do danych tylko dla osób upoważnionych i odpowiednio przeszkolonych.
Obecnie wszystkie obowiązki wymagające z ustawy o praniu pieniędzy i finansowaniu terroryzmu są zgodne z rozporządzeniem RODO.
Outsourcing AML jako sposób na przestrzeganie przepisów RODO
Wygodnym rozwiązaniem dla przedsiębiorców jest korzystanie z zewnętrznych usług związanych z ustawą o praniu pieniędzy. Outsourcing AML pozwala na łatwiejsze dopełnianie formalności związanych zarówno z tymi przepisami, jak i rozporządzeniem RODO. Specjaliści dbają o to, by dokumentacja była prowadzona w odpowiedni sposób. Dzięki temu można uniknąć poważnych konsekwencji w razie kontroli firmy przez organy państwowe.
Outsourcing AML jest szczególnie istotny w przypadku podmiotów zobowiązanych przez ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Wiedza i doświadczenie specjalistów pomagają właściwie zarządzać zgromadzonymi danymi.