Wprowadzenie
"Chcemy zebrać kopię twojego dowodu osobistego, PESEL, dane o działalności, beneficjentów rzeczywistych i strukturę własnościową" - tak brzmi KYC. "Minimalizacja danych, cel przetwarzania, prawo do bycia zapomnianym" - tak brzmi RODO.
Te dwa światy muszą istnieć razem. I istnieją - bo prawo przewiduje rozwiązania tej pozornej sprzeczności.
Podstawa prawna przetwarzania danych osobowych w AML
RODO nie zabrania przetwarzania danych osobowych - tylko wymaga, żeby przetwarzanie miało podstawę prawną. W przypadku AML ta podstawa istnieje i jest silna.
Art. 6 ust. 1 lit. c RODO: "przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Obowiązki AML (identyfikacja klienta, monitoring transakcji, raportowanie do GIIF) wynikają z ustawy AML - a więc zbieranie danych KYC jest "niezbędne do wypełnienia obowiązku prawnego".
To oznacza: instytucja obowiązana ma prawne uzasadnienie do zbierania i przetwarzania danych klienta na potrzeby AML - i nie potrzebuje zgody klienta na to przetwarzanie.
Co to znaczy dla klienta - ograniczenia praw RODO
Klient ma szereg praw wynikających z RODO: prawo dostępu do danych, prawo do sprostowania, prawo do usunięcia ("prawo do bycia zapomnianym"), prawo do ograniczenia przetwarzania.
Jednak w kontekście AML, część tych praw jest ograniczona:
Prawo do usunięcia: klient nie może żądać usunięcia danych, jeśli ich przetwarzanie jest wymagane przez prawo. Ustawa AML wymaga przechowywania dokumentów KYC przez 5 lat od zakończenia relacji - więc instytucja może odmówić usunięcia danych przed upływem tego terminu.
Prawo do informacji o przetwarzaniu: generalnie instytucja musi informować klienta o tym, jak przetwarza jego dane. Ale - i to ważny wyjątek - ustawa AML zakazuje "tippingu off", czyli informowania klienta o zgłoszeniu do GIIF. Więc instytucja nie może poinformować klienta, że jego dane zostały przekazane organom.
Jak poprawnie skonfigurować informacje RODO dla AML
Klauzula informacyjna RODO (art. 13 RODO) musi zawierać informację o przetwarzaniu danych w celach AML. Powinna wskazywać:
Administrator danych: nazwa instytucji. Cel przetwarzania: "wypełnienie obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy". Podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z ustawą AML. Odbiorcy danych: GIIF (Generalny Inspektor Informacji Finansowej), organy ścigania, inne instytucje w ramach wymiany informacji AML. Okres przechowywania: 5 lat od zakończenia relacji biznesowej.
Ważne: instytucja powinna poinformować klienta o tym przetwarzaniu - ale nie powinna informować o konkretnych zgłoszeniach do GIIF (zakaz tippingu off).
Minimalizacja danych - co zbierać, czego nie
Mimo że AML daje silną podstawę prawną, zasada minimalizacji danych (zbierasz tylko to, co niezbędne) nadal obowiązuje. Oznacza to, że:
Nie zbierasz danych "na wszelki wypadek" - zbierasz tylko to, czego faktycznie wymaga ocena ryzyka konkretnego klienta. Nie przechowujesz danych dłużej niż nakazuje ustawa AML - 5 lat od zakończenia relacji, chyba że inne przepisy wymagają dłuższego okresu. Dostęp do danych AML ograniczasz do pracowników, którzy faktycznie potrzebują ich do wykonywania obowiązków.
Podsumowanie
RODO i AML mogą, a nawet muszą współistnieć. Kluczem jest właściwa podstawa prawna przetwarzania, rzetelna klauzula informacyjna i świadomość ograniczeń praw klientów w kontekście AML.
Pytanie praktyczne: czy twoja instytucja ma aktualną klauzulę informacyjną RODO uwzględniającą przetwarzanie danych AML - i czy pracownicy wiedzą, czego nie mogą powiedzieć klientowi w związku z zakazem tippingu off?
Dyskusja