W lipcu wchodzi w życie nowa ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej: ustawa o AML), a nowe przepisy o ochronie danych osobowych (RODO) będą mieć zastosowanie od 25 maja. Nie wydaje się możliwe, aby procesy dostosowawcze w spółkach zobowiązanych do przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu można było poprowadzić zupełnie oddzielnie.

Wszak przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu polega przede wszystkim na gromadzeniu, przetwarzaniu i przekazywaniu określonym podmiotom informacji. Obejmuje to dane osobowe konkretnych podmiotów, np. klientów czy beneficjentów rzeczywistych, mających w określony sposób wpływ na klientów. Podmioty te powinny zostać zidentyfikowane i zweryfikowane. Pod pojęciem przetwarzania informacji rozumie się zgodnie z ustawą o AML każdą operację wykonywaną na informacjach, a zwłaszcza wykonywane w systemach informatycznych. Przetwarzanie to może odbywać się jedynie w celach przeciwdziałania praniu pieniędzy. W szczególności dokonuje się na potrzeby oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu oraz przyjęcia określonych środków bezpieczeństwa finansowego.

Niestety z danymi, co do których podstawa przetwarzania znajduje się w ustawie o AML mieszają się inne dane, np. adres e-mail czy numer telefonu. Stąd rekomendowane jest ostrożne podejście do zakresu zbieranych danych i należyte zabezpieczenie danych przekazywanych na potrzeby identyfikacji i weryfikacji w procesach AML.

Kogo dotyczy ustawa o AML

Oczywiście przepisy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu obejmują, przede wszystkim, instytucje finansowe, w tym banki, towarzystwa funduszy inwestycyjnych czy firmy pożyczkowe. Pojawią się także nowe podmioty, jak przedsiębiorcy, których działalność polega na tworzeniu spółek lub innych osób prawnych, pracy w charakterze dyrektora lub sekretarza spółki, czy zapewnianiu siedziby statutowej, adresu działalności czy adresu korespondencyjnego.

AML objęła też giełdy kryptowalutowe. Dookreśla definicję podmiotów prowadzących działalność w postaci wymiany walut, wskazując, że obejmuje zarówno podmioty prowadzące działalność kantorową, jak i świadczące usługi za pośrednictwem platform internetowych. Katalog podmiotów obowiązanych rozszerzono o spółki prowadzące działalność maklerską w postaci obrotu towarami giełdowymi, niebędące towarowymi domami maklerskimi. Jak dotychczas, zobowiązani do stosowania ustawy są przedsiębiorcy, stowarzyszenia czy fundacje, przyjmujący wpłaty gotówkowe. Zmniejszono jednak próg transakcji gotówkowych do 10 tys.euro.

Pewne podmioty nie będą już objęte ustawą. Pozbawiono statusu instytucji obowiązanych przedsiębiorców prowadzących: domy aukcyjne, antykwariaty, przedsiębiorców prowadzących działalność factoringową, działalność obrotu metalami lub kamieniami szlachetnymi i półszlachetnymi i sprzedaż komisową.

Czyje dane będą przetwarzane

Ustawa o AML wskazuje, że instytucje obowiązane będą przetwarzały dane osób, które powinny zostać zidentyfikowane. Na przykład dane klientów, ich reprezentantów czy pełnomocników. W grę wchodzą także beneficjenci rzeczywiści oraz osoby zajmujące eksponowane stanowiska polityczne, tzw. PEP. Katalog tych osób znajduje się w ustawie, ale jest to katalog otwarty.

Chodzi tu o krajowych PEP i tych z zagranicy, a także członków rodzin oraz osoby znane jako bliscy współpracownicy PEP. Ważną zmianą jest objęcie ustawą o AML także właśnie polskich PEP.

Relacje z RODO

Wiele zagadnień, które będą wdrażane zgodnie z ustawą o AML, będzie musiało zostać przeanalizowanych z punktu widzenia przepisów o ochronie danych osobowych. Dotyczyć to będzie zwłaszcza: - procesu dokumentowania czynności,

- dopuszczalności przetwarzania informacji zawartych w dokumentach tożsamości klienta oraz sporządzania ich kopii,

- obowiązków informacyjnych względem podmiotu, którego danego osobowe są przetwarzane,

- możliwości zastosowania sprzeciwu wobec przetwarzania danych osobowych,

- obowiązku prowadzenia Rejestru Czynności Przetwarzania Danych Osobowych,

- powierzenia przetwarzania danych w przypadku outsourcingu usług zobszaruAML,

- wewnętrznej procedury zgłaszania nieprawidłowości z zakresu AML,

- zabezpieczenia przechowywania danych,

- odpowiedniego okresu przechowywania/przetwarzania danych osobowych.

Ważnym aspektem w relacjach AML z RODO jest ocena, czy AML w danej spółce jest stosowany obowiązkowo czy dobrowolnie. Od tej oceny zależeć bowiem może podstawa przetwarzania danych osobowych, a co za tym idzie, zakres obowiązków związanych z ich ochroną.

Środki bezpieczeństwa finansowego

W ustawie o AML uregulowano nowe zasady stosowania środków bezpieczeństwa finansowego. Ustawa konsekwentnie dotychczasowe określenie „środki należytej staranności wobec klienta" zamienia terminem „środki bezpieczeństwa finansowego". Transponuje do krajowego porządku prawnego zasadę, że zakres środków bezpieczeństwa finansowego zastosowanych w danym przypadku zależy od stopnia rozpoznanego ryzyka prania pieniędzy lub finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną. W celu określenia właściwego dla danych stosunków gospodarczych lub transakcji okazjonalnej zakresu środków bezpieczeństwa finansowego instytucja obowiązana powinna najpierw rozpoznać ryzyko prania pieniędzy lub finansowania terroryzmu, a następnie je ocenić. Instytucje obowiązane, przygotowując swoje procedury oceny ryzyka, powinny korzystać z krajowej oceny ryzyka prania pieniędzy i finansowania terroryzmu, którą przygotowuje główny inspektor informacji finansowej. U podstaw analizy ryzyka leży konieczność identyfikacji, zrozumienia i ograniczenia przez państwa członkowskie UE ryzyka prania pieniędzy i finansowania terroryzmu. Wyniki oceny ryzyka należy udostępnić instytucjom obowiązanym, by umożliwić im zrozumienie i zarządzanie własnymi czynnikami ryzyka oraz ograniczenie ich.

Większość instytucji obowiązanych będzie identyfikowała i weryfikowała tożsamość swoich klientów czy beneficjentów rzeczywistych, co jest podstawowym środkiem bezpieczeństwa finansowego. Weryfikacja tożsamości klienta oraz beneficjenta rzeczywistego powinna nastąpić przed nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej.

Zakres przetwarzanych danych określa szczegółowo ustawa o AML, przy czym w zależności od podmiotu, którego dane są przetwarzane, może się różnić. Ważną zmianą jest umożliwienie przetwarzania informacji, w tym danych osobowych w grupach kapitałowych i ich przekazywania między spółkami z grupy. Możliwe stało się też przetwarzanie danych osobowych beneficjentów rzeczywistych bez ich zgody (gdyż najczęściej brakuje z nimi kontaktu w momencie nawiązywania stosunków gospodarczych). Jeśli jednak instytucja obowiązana oczekuje ponadto podania przez klienta dodatkowych informacji, np. numeru telefonu, to niezbędne jest już uzyskanie jego zgody na przetwarzanie takich danych.

Skutkiem niezastosowania jednego ze środków bezpieczeństwa powinno być:

1) nienawiązanie stosunków gospodarczych;

2) nieprzeprowadzenie transakcji okazjonalnej;

3) nieprzeprowadzenie transakcji za pośrednictwem rachunku bankowego;

4) rozwiązanie stosunków gospodarczych (jeśli pojawiają się problemy w trakcie współpracy z klientem).

W skrajnych przypadkach procedury AML mogą ograniczać swobodne prowadzenie działalności gospodarczej i mają wpływ na bezpośrednie relacje z klientami instytucji obowiązanych.

Rejestr beneficjentów rzeczywistych

W przepisach europejskich położono także nacisk na tworzenie w krajach członkowski UE podobnych systemów gromadzenia informacji, które ułatwiłyby i przyśpieszyły pracę nie tylko krajowych jednostek analityki finansowej i innych organów zwalczających przestępczość, ale i wymianę informacji w UE. Służyć temu mają rejestry beneficjentów rzeczywistych. Polska ustawa o AML wprowadza dla tego obowiązku 18-miesięczny vacatio legis. Określone podmioty (wybrane spółki prawa handlowego) będą zobowiązane przekazywać dane swoich beneficjentów rzeczywistych. W założeniu informacje o nich miałyby dostarczać same podmioty. Obowiązek ten – gdyby miał być wykonywany zgodnie z postanowieniami ustawy, zdjąłby wiele pracy z barków instytucji obowiązanych, bo dane te byłyby dostępne w rejestrze. Pojawiają się już jednak komentarze, że w rejestrze można będzie zweryfikować dane, ale nie zwalnia to instytucji zobowiązanej z obowiązku stosowania innych środków bezpieczeństwa finansowego. Pytanie bowiem, czy dane te będą np. na bieżąco aktualizowane w rejestrze. W najbliższym czasie będą w Ministerstwie Finansów przygotowywane rozporządzenia regulujące funkcjonowanie tego rejestru.

PEP a klienci

Gdy np. do przedsiębiorcy przychodzi klient, to właśnie na przedsiębiorcy ciąży obowiązek ustalenia, czy to PEP czy nie. W celu ustalenia, czy klient lub beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne, instytucje obowiązane wdrażają procedury oparte na analizie ryzyka, w tym mogą przyjmować od klienta oświadczenie w formie pisemnej, że jest albo nie jest osobą zajmującą takie stanowisko. Składane powinno być pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia. Zakwalifikowanie klienta jako osoby zajmującej eksponowane stanowispowoduje konieczność stosowania określonych w ustawie o AML środków bezpieczeństwa. Kolejną trudnością jest odpowiedź na pytanie, jak długo można przetwarzać dane takiej osoby związane z zajmowaniem eksponowanego stanowiska politycznego. Wydawałoby się, że naturalnym momentem jest zakończenie pełnienia funkcji. Jednak ustawa o AML niejednoznacznie ustala, że od dnia opuszczenia eksponowanego stanowiska politycznego do dnia ustalenia, że nie wiąże się z tą osobą wyższe ryzyko, jednak nie krócej niż przez 12 miesięcy, instytucja obowiązana stosuje wobec niej środki uwzględniające to ryzyko. Podobne zasady stosuje się do członków rodziny osoby zajmującej eksponowane stanowisko polityczne oraz osób znanych jako jej bliscy współpracownicy.

Wewnętrzna procedura zgłaszania nieprawidłowości

Na koniec zwróćmy uwagę na bardzo ważny aspekt nowych przepisów o AML, w których należy uwzględnić zasady ochrony danych osobowych. Jest nim wprowadzenie obowiązku opracowania i wdrożenia wewnętrznej procedury anonimowego zgłaszania nieprawidłowości przez pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej. Wprowadzenie obowiązku wdrożenia takiej procedury w kolejnym obszarze prawa jest ukłonem w kierunku Compliance. Nie jest jednak idealnym rozwiązaniem, gdyż wciąż brak ustawowych gwarancji rozsądnej ochrony sygnalistów. Procedury zgłaszania nieprawidłowości, po raz kolejny jednak pozostawione zostały miękkim regulacjom wewnętrznym – w tym przypadku instytucjom obowiązanym do stosowania ustawy o AML. Zgłaszanie nieprawidłowości zdają się zaś być regulowane w różnych aspektach nieco wyrywkowo, np. pojawił się projekt zmiany do ustawy o zwalczaniu nieuczciwej konkurencji, który dostosowując problematykę ochrony tajemnicy przedsiębiorstwa do przepisów unijnych wskazuje, że pozyskanie, ujawnianie i wykorzystanie informacji stanowiących tajemnicę przedsiębiorstwa nie jest czynem nieuczciwej konkurencji, gdy nastąpiło w ramach ujawniania nieprawidłowości.

Procedura anonimowego zgłaszania naruszeń w obszarze AML określa w szczególności:

1) osobę odpowiedzialną za odbieranie zgłoszeń;

2) sposób ich odbierania;

3) sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami represyjnymi, dyskryminacją lub innym niesprawiedliwym traktowaniem;

4) sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, (zgodnie z przepisami o ochronie danych osobowych, który będzie musiał uwzględniać zasady wynikające z RODO);

5) zasady zachowania poufności w przypadku ujawnienia tożsamości osób, o których mowa w pkt 4 powyżej, lub gdy ich tożsamość jest możliwa do ustalenia;

6) rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia;

7) termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.

Autorka jest radcą prawnym, autor jest aplikantem w Kancelarii KOLS