en_GBpl_PL
AML a RODO

W praktyce stosowania przepisów ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: Ustawa AML) często pojawia się pytanie, czy instytucja obowiązana ma prawo przetwarzać dane osobowe swoich klientów w świetle przepisów RODO*. Wątpliwości te wynikają przede wszystkim z faktu, że Ustawa AML nie zawiera odrębnego rozdziału poświęconego zasadom ochrony danych osobowych.

Obowiązki instytucji obowiązanych wynikające z ustawy AML

Odpowiadając na tą wątpliwość należy w pierwszej kolejności wskazać, że instytucje obowiązane mają obowiązek stosowania środków bezpieczeństwa finansowego. W tym identyfikacji i weryfikacji tożsamości klienta. Nie jest to ich wybór, ale konieczność wynikająca z obowiązujących przepisów prawnych. Ponadto instytucja obowiązana, która nie zastosuje środków bezpieczeństwa finansowego, choć miała taki prawny obowiązek, naraża się na karę administracyjną. 

Podstawa prawna przetwarzania danych osobowych – AML a RODO

Prawny obowiązek (a nie dobrowolność) stosowania przepisów Ustawy AML przez instytucję obowiązaną powoduje, że na gruncie RODO powstaje podstawa prawna do przetwarzania danych osobowych w tym celu. Zgodnie bowiem z art. 6 ust. 1 lit. c RODO:

"Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze."

Oznacza to, że w relacji AML a RODO nie ma sprzeczności – RODO dopuszcza przetwarzanie danych osobowych, jeżeli obowiązek ten wynika wprost z przepisów prawa powszechnie obowiązującego.

Zakres danych osobowych przetwarzanych na podstawie AML

Należy jednak pamiętać, że instytucja obowiązana może przetwarzać dane osobowe wyłącznie w zakresie niezbędnym do realizacji obowiązków wynikających z Ustawy AML. Zakres ten jest określony w przepisach ustawy i nie może być dowolnie rozszerzany.

Jeżeli instytucja obowiązana przetwarzałaby dane osobowe wykraczające poza katalog przewidziany w Ustawie AML, konieczne jest wskazanie innej podstawy prawnej przetwarzania danych.

Podsumowanie – AML a RODO

Podsumowując - instytucje obowiązane na podstawie RODO mają prawo przetwarzać dane osobowe klientów w celu realizacji obowiązków AML. Jest to zgodne z prawem, pod warunkiem że:

  • przetwarzanie odbywa się na podstawie obowiązku prawnego,
  • zakres danych osobowych jest zgodny z Ustawą AML,
  • przestrzegane są ogólne zasady przetwarzania danych wynikające z RODO.

Radca prawny Błażej Wojnicz

* RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych

Zapraszamy do zapoznania się z innymi informacjami i publikacjami

Osoby odpowiedzialne za AML w instytucji obowiązanej

I. Stan prawny i obowiązki do 10 lipca 2027 r.…
czytaj dalej

Najczęstsze błędy firm w zakresie AML

Informacje o tym, które obszary bywają zaniedbywane przez przedsiębiorców dostarcza…
czytaj dalej

Kryptowaluty a AML 

Sprawa giełdy Zondacrypto pokazuje, że ten obszar działania może generować…
czytaj dalej

AMLA - Bezpośredni nadzór AML nad wybranymi podmiotami zobowiązanymi

Przepisy unijne powołujące do życia Urząd ds. Przeciwdziałania Praniu Pieniędzy…
czytaj dalej
Nieniejszy mail jest pułapką na osoby rozsyłające niechciane wiadomości. Prosimy o nie wysyłanie na niego żadnych wiadomości gdyż Państwa adres może zostać pernamentnie zablokowany. alexander@secretcats.pl. Jeśli jesteś właścicielem niniejszej strony możesz usunąć tę notkę jednak pamiętaj, że ta pułapka ogranicza niechciane maile wpadające na Twoje skrzynki pocztowe.
secretcats.pl - tworzenie stron internetowych