UWAGA WAŻNA AKTUALIZACJA! Z uwagi na to, że od 12 lipca 2019 r. w Polsce obowiązuje ustawa o dokumentach publicznych, która przewiduje kary za tworzenie tzw. dokumentów kolekcjonerskich, pojawiły się głosy, że wykonywanie kser lub skanów dokumentów tożsamości w celu realizacji przepisów o przeciwdziałaniu praniu pieniędzy będzie karalne. To nieprawda! Szczegółowo opisałem to tutaj.
Koniec aktualizacji!
Co ma wspólnego handel narkotykami z przetwarzaniem danych osobowych? Na pierwszy rzut oka nic. Ale oczywiście, jeśli się głębiej zastanowimy nad ewentualnymi związkami, znajdziemy pewne powiązania.
Zarówno organizacje terrorystyczne jak i zorganizowane grupy przestępcze, obracają naprawdę dużą kasą. Dlatego ludzie z różnych państw walczących z terroryzmem, meksykańskimi kartelami albo naszymi lokalnymi, środkowoeuropejskimi gangami stwierdzili, że jeśli to tylko możliwe, złych ludzi należy od tych pieniędzy odcinać.
Pewnie już domyślasz się, o czym dziś napiszę – tak, o tym jak ochrona danych osobowych łączy się z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. A właściwie nie do końca łączy – bo przepisy dotyczące przeciwdziałania praniu pieniędzy trochę „wyłamują” się spod RODO.
Ale od początku – jak już wspomniałem, celem regulacji dotyczących przeciwdziałania praniu pieniędzy i finansowania terroryzmu jest odcinanie złych ludzi od kasy – głównie tej dużej. Dlatego zarówno pranie pieniędzy jak i finansowanie terroryzmu są całkiem poważnymi przestępstwami, także w Polsce.
Czym są przepisy dotyczące przeciwdziałania praniu pieniędzy i finansowania terroryzmu?
W różnych krajach przyjmuje się cały szereg uregulowań prawnych, dotyczących przeciwdziałania praniu pieniędzy i finansowania terroryzmu (tzw. AML – anti-money laundering). W Polsce też mamy takie przepisy – ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Ta ustawa jest implementacją unijnej dyrektywy AML oznaczonej numerem IV – ale to akurat mniej ważne. Ważne jest to, że ustawa jest stosunkowo świeża, gdyż weszła w życie w 2018 r. Co za tym idzie – dużo się zmieniło jeśli chodzi o przeciwdziałanie praniu pieniędzy w Polsce w ostatnim roku.
Kto musi realizować obowiązki wynikające z ustawy AML?
Na dość sporą grupę przedsiębiorców, zwaną instytucjami obowiązanymi, nałożono różne obowiązki związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. O tym kto jest instytucją obowiązaną pisałem tutaj. Dziś tylko przypomnę, że to cały szereg podmiotów – od banków, poprzez firmy inwestycyjne, towarzystwa ubezpieczeniowe, pośredników finansowych aż po kantory, giełdy kryptowalut, pośredników w handlu nieruchomościami, biura rachunkowe a nawet zwykłych przedsiębiorców przyjmujących duże płatności w gotówce.
I cała ta grupa musi spełniać różne obowiązki nałożone na nie przepisami ustawy AML. Jednym z nich jest m.in. zidentyfikowanie klienta i dokonanie wobec niego oceny ryzyka prania pieniędzy i finansowania terroryzmu.
Innymi słowy, jeżeli do banku przychodzi nowy klient, bank powinien ustalić tożsamość tego klienta. Później, jeżeli człowiek ten będzie wykonywał operacje finansowe, bank powinien również je analizować i sprawdzać, czy mogą mieć związek z praniem pieniędzy albo finansowaniem terroryzmu. Dlatego w przypadku gdy człowiek, który nigdy nie miał wielkich dochodów, nagle wpłaca na swoje konto duże kwoty w gotówce – gdzieś w banku powinna zapalić się czerwona lampka.
Jak zweryfikować tożsamość osoby? Jakie dane są potrzebne?
Siłą rzeczy, aby sprawdzić czyjąś tożsamość, a następnie analizować transakcje, które przeprowadza, trzeba przetwarzać dane osobowe. Jakie? To akurat jest łatwe do ustalenia.
Przepisy ustawy AML mówią bowiem o tym, że instytucja obowiązana w celu zidentyfikowania klienta powinna ustalić następujące dane dotyczące osoby fizycznej:
1) imię i nazwisko,
2) obywatelstwo,
3) numer PESEL,
4) datę urodzenia i państwo urodzenia – gdy klient nie ma numeru PESEL,
5) serię i numer dokumentu stwierdzającego tożsamość osoby,
6) adres zamieszkania – w przypadku posiadania tej informacji przez instytucję obowiązaną,
7) nazwę (firmę) pod jaką dana osoba prowadzi działalność gospodarczą, nr NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej.
Wiesz już, jakie dane może zbierać instytucja obowiązana w celu zidentyfikowania klienta. Jak widać, jest ich całkiem sporo. Ale to nie wszystko. Teraz bowiem dochodzimy do kluczowego pytania:
Czy instytucja obowiązana może skanować dokumenty tożsamości klientów i przechowywać je w swojej dokumentacji?
Od razu odpowiem na to pytanie: tak, może. W ustawie AML znajdziemy bowiem taki przepis: Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.
Na czym polega analiza ryzyka AML?
Czyli instytucje obowiązane mogą sporządzać kopie dokumentów tożsamości. Ale to nie oznacza, że muszą. Kto podejmuje decyzję w tym zakresie? Sama instytucja obowiązana. Powinna ona bowiem stosować środki bezpieczeństwa finansowego (a więc m.in. identyfikować klientów) adekwatnie do dokonywanej oceny ryzyka – przy czym ta ocena ryzyka może dotyczyć całej działalności przedsiębiorstwa, jak również współpracy tylko z niektórymi (bardziej „podejrzanymi”) klientami. Kluczowe będzie to aby instytucja obowiązana rzeczywiście taką ocenę przeprowadziła i na jej podstawie uznała, że powinna zbierać kopie dokumentów tożsamości.
Jeżeli tak wyszło z „analizy ryzyka”, może od nas żądać tego dowodu osobistego, a my albo go damy, albo będziemy musieli sobie odpuścić korzystanie z usługi danego podmiotu. Niektórzy zalecają, aby na kopii dowodu wyraźnie zaznaczyć, że został przekazany danej instytucji w celu skorzystania z jej usług – tak aby nikt nie posłużył się kopią w jakimś innym celu. Czasami udaje się nawet zakryć lub zamazać pewne elementy takiego dowodu (te nieistotne) – ale nie ma żadnego przepisu prawa, który nakazywałby instytucji obowiązanej się na to zgodzić.
W praktyce inne jest bowiem ryzyko prania pieniędzy w przypadku klientów takiego podmiotu jak giełda kryptowalut (z całym szacunkiem), a inne w przypadku prowadzenia przez jednoosobowego przedsiębiorcę małego kantoru, który może zdecydować się na tworzenie kopii dokumentów tożsamości tylko w przypadku klientów, którzy dokonują naprawdę dużych transakcji. Jeszcze inne ryzyko jest np. w związku z prowadzeniem działalności jako biuro rachunkowe, pośrednik ubezpieczeniowy czy też np. pośredników w obrocie nieruchomościami. Nie można więc wykluczyć sytuacji, że dany przedsiębiorca, mimo iż jest instytucją obowiązaną, stwierdzi że ryzyko związane z jego działalnością jest tak niskie, że nie musi on wcale sporządzać kopii dokumentów swoich klientów.
Na jakiej podstawie instytucje obowiązane przetwarzają dane osobowe?
I w końcu ostatnia kwestia. Skoro instytucje obowiązane mogą zbierać dane od swoich klientów, a także sporządzać kopie dowodów osobistych, paszportów albo innych dokumentów, to musimy sobie odpowiedzieć na pytanie, jaka jest podstawa do przetwarzania tych danych, znana z RODO. Ważna rzecz: nie jest to zgoda. Oznacza to, że jeżeli ktoś mówi wam, że musicie wyrazić zgodę na przetwarzanie danych w postaci kopii dowodu osobistego (albo innego dokumentu) to albo się nie zna, albo coś kręci.
Podstawą do przetwarzania danych osobowych w związku z realizacją przez instytucję obowiązaną obowiązków wskazanych w ustawie AML jest właśnie (tu nie będzie zaskoczenia) obowiązek prawny nałożony na administratora na podstawie przepisów prawa, czyli przepis art. 6 ust. 1 lit c) RODO. Oczywiście instytucja obowiązana powinna spełnić wobec nas (klientów) obowiązek informacyjny w związku z przetwarzaniem danych osobowych. Obowiązek ten powinien zawierać wskazanie podstawy prawnej wymienionej powyżej oraz wzmiankę, że nasze dane będą przetwarzane w związku z realizacją obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu
W konsekwencji, odpowiadając na częste pytanie, pt. czy bank może zrobić ksero dowodu osobistego – tak może. Banki zresztą mają dwie podstawy do tworzenia takich kopii – jedna znajduje się właśnie w ustawie o AML, a druga bezpośrednio w przepisach prawa bankowego.
Kto nie może robić kopii dowodu osobistego?
Ostatnia sprawa – to, że liczba podmiotów, które mogą żądać od nas naszego dowodu osobistego i zrobić jego kopię jest stosunkowo duża (bo duża jest liczba podmiotów, które ustawa AML uznaje za instytucje obowiązane), nie oznacza, że liczba ta jest nieskończona. Dlatego trzeba bardzo wyraźnie powiedzieć, że prawa do robienia kopii dokumentów tożsamości albo brania ich w zastaw nie mają:
a) przedsiębiorstwa telekomunikacyjne,
b) kluby sportowe,
c) wypożyczalnie sprzętu wodnego,
d) hotele (przynajmniej w Polsce - w niektórych krajach UE jest inaczej).
Jeśli w takim miejscu ktoś będzie chciał wziąć Twój dowód osobisty i go zachować, schować, zrobić kopię albo zanieść do pokoju, w którym nie będziesz miał go na widoku – masz pełne prawo zaprotestować.
