AML/CFT a RODO – jakie dane można przetwarzać, na jakiej podstawie, jakie prawa mają klienci i jak długo przechowywać dane?

Wiele instytucji obowiązanych – banki, biura rachunkowe, pośrednicy nieruchomości, instytucje płatnicze czy firmy pożyczkowe i in. – wypełniając wymogi powszechnie obowiązującego prawa – stosują jednoczeście przepisy regulacji: Ustawy AML/CFT oraz RODO.

Oba akty prawne nakładają obowiązki dotyczące przetwarzania danych osobowych, ale ich cele są różne.

AML/CFT ma chroni rynke przed praniem pieniędzy i finansowaniem terroryzmu. RODO chroni prawa i wolności osób fizycznych w zakresie przetwarzania danych osobowych.

W praktyce instytucje obowiązane często zastanawiają się:

  • jakie dane mogą przetwarzać w ramach AML/CFT,
  • jaka jest podstawa prawna przetwarzania,
  • jakie prawa mają klienci,
  • jak długo można przechowywać dane,
  • czy klient może sprzeciwić się przetwarzaniu danych AML/CFT.

Jakie dane można przetwarzać w ramach AML/CFT?

Ustawa AML/CFT nakłada na instytucje obowiązane m.in. obowiązek stosowania środków bezpieczeństwa finansowego (ŚBF), które wymagają przetwarzania danych osobowych klientów, beneficjentów rzeczywistych oraz osób reprezentujących podmioty będące klientami.

W ramach AML/CFT instytucja może przetwarzać m.in.:

  1. Dane identyfikacyjne klienta
    • imię i nazwisko,
    • PESEL lub data urodzenia,
    • obywatelstwo/ jeśli nie jedno – obywatelstwa ,
    • adres zamieszkania lub korespondencyjny,
    • numer dokumentu tożsamości,
    • dane z dokumentu tożsamości (np. organ wydający).
  2. Dane dotyczące działalności klienta
    • forma prawna,
    • struktura własnościowa,
    • dane beneficjentów rzeczywistych,
    • zakres działalności gospodarczej.
  3. Dane transakcyjne
    • informacje o transakcjach,
    • źródło pochodzenia środków,
    • cel i charakter relacji gospodarczej.
  4. Dane szczególne dotyczące PEP
    • status osoby zajmującej eksponowane stanowisko polityczne,
    • powiązania rodzinne i gospodarcze PEP.
  5. Dane wynikające z monitoringu relacji
    • analiza ryzyka,
    • ocena nietypowych transakcji,
    • informacje o podejrzeniach prania pieniędzy.

Co ważne:
Instytucja obowiązana może przetwarzać tylko te dane, które są niezbędne do realizacji obowiązków AML/CFT.

Jaka jest podstawa prawna przetwarzania danych AML/CFT w świetle RODO?

W kontekście AML/CFT instytucje obowiązane nie opierają się na zgodzie klienta. Podstawą przetwarzania danych jest obowiązek prawny.

Podstawy prawne z RODO:

  1. Art. 6 ust. 1 lit. c RODO – obowiązek prawny administratora
    Instytucja obowiązana przetwarza dane, ponieważ wymaga tego ustawa AML/CFT.
  2. Art. 6 ust. 1 lit. e RODO – zadanie realizowane w interesie publicznym
    AML/CFT jest regulacją o charakterze publicznym, mającą chronić system finansowy.
  3. Art. 9 ust. 2 lit. g RODO – przetwarzanie szczególnych kategorii danych
    Jeśli w ramach AML/CFT pojawią się dane wrażliwe (np. dotyczące wyroków), ich przetwarzanie jest dopuszczalne, gdy wynika z ważnego interesu publicznego.

Co ważne: zgoda klienta NIE jest podstawą przetwarzania danych AML/CFT.
Instytucja obowiązana nie może uzależniać realizacji obowiązków AML od zgody klienta ani przyjmować sprzeciwu wobec przetwarzania danych.

Jakie prawa ma klient w zakresie danych AML/CFT?

RODO przyznaje osobom fizycznym szeroki katalog praw, ale w przypadku AML/CFT część z nich jest ograniczona.

  1. Prawo dostępu do danych – TAK
    Klient może zapytać, jakie dane są przetwarzane.
  2. Prawo do sprostowania danych – TAK
    Jeśli dane są nieprawidłowe, instytucja musi je poprawić.
  3. Prawo do usunięcia danych („prawo do bycia zapomnianym”) – NIE
    Ustawa AML/CFT wyłącza to prawo – dane muszą być przechowywane przez określony czas.
  4. Prawo do ograniczenia przetwarzania – OGRANICZONE
    Nie można ograniczyć przetwarzania danych AML/CFT, jeśli wynika ono z obowiązku prawnego.
  5. Prawo do sprzeciwu – NIE
    Klient nie może sprzeciwić się przetwarzaniu danych AML/CFT.
  6. Prawo do informacji – TAK
    Instytucja obowiązana musi poinformować klienta o przetwarzaniu danych, ale:
    – może ograniczyć zakres informacji,
    – nie musi ujawniać, że prowadzi analizę podejrzeń prania pieniędzy.

Jak długo można przechowywać dane AML/CFT?

Ustawa AML/CFT w art. 49 wskazuje jednoznacznie:

Dane AML/CFT muszą być przechowywane przez 5 lat od zakończenia relacji gospodarczej lub przeprowadzenia transakcji okazjonalnej.

Po upływie 5 lat:

  • instytucja obowiązana może przedłużyć okres przechowywania o kolejne 5 lat,
  • ale tylko jeśli jest to niezbędne do przeciwdziałania praniu pieniędzy.

Po upływie maksymalnie 10 lat dane muszą zostać usunięte, chyba że inne przepisy nakazują ich dalsze przechowywanie (np. przepisy podatkowe).

Dlaczego okres przechowywania jest tak długi?

Ponieważ:

  • analiza ryzyka wymaga danych historycznych,
  • organy ścigania mogą potrzebować danych sprzed kilku lat,
  • pranie pieniędzy często odbywa się w długich cyklach.

Czy AML/CFT i RODO są ze sobą sprzeczne?

Nie — choć na pierwszy rzut oka może się tak wydawać.

AML/CFT nakłada obowiązek przetwarzania danych, a RODO reguluje sposób ich przetwarzania.
Oba akty prawne są komplementarne:

  • AML/CFT określa co trzeba przetwarzać,
  • RODO określa jak to robić zgodnie z zasadami ochrony danych.

Instytucja obowiązana musi więc:

  • przetwarzać dane AML/CFT,
  • ale robić to zgodnie z zasadami RODO: minimalizacji, integralności, poufności i rozliczalności.

Najczęstsze błędy instytucji obowiązanych w zakresie AML/CFT i RODO

  1. Żądanie zgody klienta na przetwarzanie danych AML/CFT – to błąd.
  2. Zbyt szeroki zakres zbieranych danych – naruszenie zasady minimalizacji.
  3. Brak informacji o przetwarzaniu danych AML/CFT – naruszenie obowiązku informacyjnego.
  4. Przechowywanie danych dłużej niż 10 lat – naruszenie art. 49 AML/CFT.
  5. Usuwanie danych przed upływem 5 lat – naruszenie obowiązku prawnego.
  6. Niedostateczne zabezpieczenia danych AML/CFT– naruszenie RODO.

Podsumowanie – AML/CFT a RODO w praktyce

AML/CFT i RODO nie stoją ze sobą w sprzeczności, ale wymagają od instytucji obowiązanych świadomego i odpowiedzialnego podejścia do przetwarzania danych.

Najważniejsze zasady:

  • Instytucje obowiązane mogą przetwarzać dane AML/CFT bez zgody klienta.
  • Podstawą przetwarzania jest obowiązek prawny (art. 6 ust. 1 lit. c RODO).
  • Klient ma ograniczone prawa – nie może żądać usunięcia danych ani sprzeciwić się ich przetwarzaniu.
  • Dane AML/CFT przechowuje się przez 5 lat, z możliwością przedłużenia do 10 lat.
  • Zakres danych musi być adekwatny i niezbędny do realizacji obowiązków AML/CFT.

Świadome stosowanie AML/CFT i RODO pozwala instytucjom obowiązanym działać zgodnie z prawem, chronić klientów i minimalizować ryzyko sankcji.