Stan faktyczny aktualny na dzień: 29.07.2020
Europejski Inspektor Ochrony Danych (W. Wiewiórowski) opublikował opinie dot. oceny skutków inicjatyw określonych w planie działania Komisji Europejskiej w obszarze AML/CFT (komentarz do sześciu filarów Action Planu z maja b.r. – https://www.linkedin.com/posts/krzysztofteofilski_eu-aml-cft-activity-6665492353328926720-Wi1r) w zw. z ochroną danych osobowych.
EIOD podkreśla, że mimo niewątpliwej istotności i konieczności działań UE w zakresie AML/CFT, osiągniecie tych uzasadnionych i ważnych celów nie powinno odbywać się kosztem ochrony prywatności i praw podmiotów danych. Kluczowe jest stosowanie zasady proporcjonalności celem zachowania równowagi pomiędzy ingerencją, która jest naprawdę konieczna a prawem do prywatności i prawami podmiotów.
EIOD z zadowoleniem przyjmuje najważniejsze zmiany wprowadzane AMLD VI, które w jego opinii są zgodne z zasadami systemu ochrony danych.
W zakresie poszczególnych filarów planu Komisji Europejskiej z 7 maja 2020 r.:
I filar – EIOD popiera pogląd, że wśród inicjatyw Komisji w zakresie AML/CFT priorytetem powinno być zapewnienie rygorystycznego i skutecznego wdrożenia istniejących przepisów UE w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu przez poszczególne państwa członkowskie. Obejmuje to również pełną zgodność z ramami ochrony danych podczas wdrażania takich środków.
Wśród planowanych środków szczególne znaczenie z punktu widzenia ochrony danych ma ustanowienie (i) scentralizowanych automatycznych mechanizmów pozwalających na identyfikację posiadaczy rachunków bankowych oraz płatniczych, a także skrytek depozytowych oraz (ii) centralnych rejestrów beneficjentów rzeczywistych, ponieważ mają one na celu połączenie baz danych zawierających duże ilości danych osobowych (np. nazwisko, data urodzenie, obywatelstwo, kraj zamieszkania, numer konta bankowego itp.). W związku z tym EIOD z zadowoleniem przyjmuje zobowiązanie Komisji do ścisłego monitorowania tworzenia tych centralnych systemów (rejestrów), aby zapewnić, że są one wypełnione danymi wysokiej jakości i możliwie najbardziej aktualnymi, zgodnie z zasadą prawidłowości. Podkreślane jest tutaj także znaczenie stosowania podejścia opartego na privacy by design i by default.
II filar – EIOD zgadza się z Komisją Europejską, że harmonizacja przepisów dotyczących AML/CFT przyniosłaby znaczne korzyści w walce z praniem pieniędzy poprzez przyjęcie rozporządzenia zapewniającego bezpośrednie stosowanie głównych zasad, a także ich jednolitą wykładnię przez TSUE. Dalsza harmonizację tych przepisów na szczeblu UE miałaby korzystny wpływ nie tylko na walkę z praniem pieniędzy i terroryzmem, ale także na wzmocnienie i usprawnienie zabezpieczeń ochrony danych na szczeblu europejskim w tym obszarze.
EIOD z zadowoleniem przyjmuje fakt, że Komisja zamierza zastosować podejście oparte na ryzyku do nowych środków wzmocnionego systemu przepisów, polegające m.in. na stosowaniu mniej inwazyjnych procedur w mniej ryzykownych sytuacjach. Podejście to jest zgodne z zasadami ochrony danych, a w szczególności z potrzebą oceny konieczności i proporcjonalności środków legislacyjnych w świetle wpływu takich środków na prawo do prywatności i prawa podmiotów.
Prowadzone procesy CDD powinny obejmować gwarancje ochrony danych zgodnie z RODO, aby np. zapewnić, że podmioty w ramach KYC nie podlegają decyzjom opartym na danych osobowych, które albo nie powinny były zostać zebrane, albo/i nie są konieczne do nawiązania stosunków gospodarczych lub zostały ponownie wykorzystane do innych niezgodnych celów. Przepisy dot. CDD powinny również uwzględniać i być dostosowane do ograniczeń automatycznego podejmowania decyzji w indywidualnych przypadkach, w tym profilowania, określonych w art. 22 RODO, w szczególności, gdy te procesy mogą skutkować przygotowaniem zgłoszenia SAR.
III filar – EIOD podkreśla konieczność dokładnego określenia ram prawnych działania planowanego na szczeblu UE „super nadzorcy” w obszarze AML/CFT, w szczególności zakresu i podstaw przetwarzania przez niego danych osobowych oraz wskazania precyzjach ram wymiany informacji pomiędzy poszczególnymi organami.
IV filar – EIOD zwraca uwagę na brak rozporządzenie w sprawie wymiany informacji między jednostkami analityki finansowej państw członkowskich a jednostkami analityki finansowej państw trzecich, które doprowadziło do niezharmonizowanego podejścia do takiej wymiany. Inspektor zaznacza również konieczności zachowania zasad ochrony danych wraz z rozwojem sieci FIU.net służącej krajowym jednostkom analityki finansowej.
V filar – EIOD w odniesieniu do wskazanego w planie działania wezwania do wzmocnienia koordynacji w sprawach wywiadu finansowego między organami ścigania a jednostkami analityki finansowej państw członkowskich, oraz biorąc pod uwagę ich różny charakter działalności i zakres uprawnień w poszczególnych państwach, podkreśla, że taka koordynacja i wymiana danych muszą być zawsze zgodne z ramami ochrony danych. Środki technologiczne wykorzystywane do wymiany informacji między tymi organami powinny obejmować odpowiednie rozwiązania techniczne i organizacyjne w celu ochrony danych przed przypadkowym lub niezgodnym z prawem zniszczeniem, przypadkową utratą, zmianą lub bezprawnym ujawnieniem.
VI filar – EIOD z zadowoleniem przyjmuje ambicje Komisji Europejskiej, aby odgrywać większą rolę w pracach FATF oraz w ustalaniu międzynarodowych standardów w zakresie AML/CFT. Inspektor zachęca Komisje, aby dążyła do włączenia zasad ochrony danych UE do propagowanych procesów zgodności z AML/CFT jako zabezpieczenia podstawowych praw osób fizycznych. Po przyjęciu RODO UE udowodniła, że potrafi wpływać na systemy prawne krajów trzecich i podnosić ich standardy ochrony danych. Taka działalność powinna zostać kontynuowana np. przy omawianiu międzynarodowych standardów AML/CFT dotyczących procesów CDD, zgłoszeń podejrzeń itp., gdzie prawa osób, których dane dotyczą oraz zasady minimalizacji danych i ich prawidłowość ma ogromne znaczenie.
Autor: Krzysztof Teofilski