Zarówno wśród podmiotów nowo utworzonych, jak i działających na rynku od pewnego czasu rośnie świadomość obowiązków wynikających z regulacji dotyczących prania pieniędzy i finansowania terroryzmu (dalej: AML). Przedsiębiorcy z różnych branż, w tym z branży technologicznej, nie zawsze zdają sobie jednak sprawę, że obowiązki te mają zastosowanie jedynie do określonych podmiotów, wskazanych w przepisach AML. Część przedsiębiorców, choć nie są objęci przepisami AML, stosuje wobec swoich klientów procedury weryfikacji tożsamości klientów (know your customer, KYC) odpowiadające tym wynikającym z przepisów AML. Problem polega na tym, że taka nadgorliwość może stanowić naruszenie przepisów prawa dotyczących innej dziedziny, w szczególności przepisów dotyczących ochrony danych osobowych, w tym przede wszystkim rozporządzenia ogólnego o ochronie danych osobowych (RODO).
Obowiązki wynikające z regulacji dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu
Na gruncie zarówno obecnie obowiązujących przepisów, jak i nowej ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, która weszła w życie 13 lipca br., obowiązki z zakresu KYC ciążą na instytucjach obowiązanych wskazanych w ustawie. Oznacza to, że każdy podmiot, zanim zacznie przeprowadzać jakiekolwiek czynności mające na celu identyfikację i weryfikację tożsamości klientów, powinien ustalić, czy jest wymieniony w katalogu instytucji obowiązanych. Jeżeli nie jest instytucją obowiązaną, nie ma na podstawie przepisów AML formalnego obowiązku przeprowadzania procedur z zakresu KYC.
Dla przykładu, na gruncie dotychczasowych przepisów AML instytucjami obowiązanymi nie były giełdy kryptowalut. Podmioty te zostały objęte formalnie obowiązkami w zakresie KYC dopiero na podstawie nowej ustawy.
Jeżeli dany podmiot ustali, że należy do kręgu instytucji obowiązanych, powinien przeprowadzić m.in. identyfikację klienta, która obejmuje np. ustalenie imienia i nazwiska oraz numeru PESEL osoby fizycznej będącej klientem instytucji obowiązanej.
Ograniczenia wynikające z przepisów dotyczących ochrony danych osobowych
Stosowanie procedur KYC przez podmioty, które nie zaliczają się do kręgu instytucji obowiązanych w rozumieniu przepisów AML, może powodować naruszenie przepisów dotyczących danych osobowych. Będzie tak w szczególności, jeżeli obowiązek przeprowadzania procesów KYC przez te podmioty nie wynika z innych przepisów prawa niż przepisy AML.
Powszechną praktyką podmiotów, które słusznie lub niesłusznie są przekonane, że na gruncie przepisów o przeciwdziałaniu praniu pieniędzy są instytucjami obowiązanymi do stosowania procedur KYC, jest przechowywanie skanów/zdjęć dowodów.
Podmioty te mogą nie zdawać sobie sprawy, że wizerunki twarzy, także te na dowodach tożsamości, mogą stanowić dane szczególnie chronione na gruncie RODO. Na marginesie należy wskazać, że Główny Inspektor Danych Osobowych wielokrotnie krytykował przechowywanie skanów dowodów, np. przez dostawców usług telekomunikacyjnych.
Aby można było przetwarzać dane – zarówno zdjęcia/skany, jak i „zwykłe dane”, tzn. np. imiona, nazwiska i numery PESEL – musi istnieć ku temu podstawa w przepisach z zakresu danych osobowych. Przetwarzanie danych osobowych bez takich podstaw będzie sprzeczne z prawem.
Przepisy AML co do zasady stanowią podstawę przetwarzania danych osobowych, nawet bez zgody osoby, której dane dotyczą. Zasada ta dotyczy jednak tylko tych podmiotów, które są formalnie zobowiązane do stosowania przepisów AML. W przypadku podmiotów, które nie podlegają formalnie przepisom AML, ale przeprowadzają proces KYC, zbieranie danych osobowych może być bardziej problematyczne. Warto o tym pamiętać, gdyż nadgorliwość może prowadzić do wielu poważnych problemów prawnych.
Katarzyna Szczudlik