Bank został ukarany przez prezesa Urzędu Ochrony Danych Osobowych za nieuprawnione kopiowanie dowodów osobistych klientów i osób potencjalnie zainteresowanych usługami banku. Organ wskazał, że w strukturach brakowało mechanizmów weryfikujących, czy tego rodzaju praktyka jest rzeczywiście uzasadniona obowiązkiem stosowania środków bezpieczeństwa finansowego (ŚBF) wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML). To jednak nie wysokość sankcji, lecz interpretacja relacji między przepisami RODO a ustawą AML wywołała gorącą dyskusję wśród prawników, banków i regulatorów.

Prezes UODO przyznaje prymat RODO

Decyzja prezesa UODO unaocznia istotny problem normatywny wynikający z relacji między wskazanymi normami. Istota sporu sprowadza się do tego, czy wykonywanie i przechowywanie kopii dokumentów tożsamości klientów stanowi działanie nadmiarowe w świetle RODO, czy też obowiązek ustawowy wynikający z AML, realizowany w ramach stosowania ŚBF. Status instytucji obowiązanej nie oznacza bowiem pełnej swobody w zakresie przetwarzania danych osobowych, ale równocześnie ochrona danych osobowych nie powinna prowadzić do faktycznego paraliżu systemu AML. Skuteczne przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu wymaga bowiem, aby instytucje obowiązane miały realne, szerokie kompetencje do samodzielnego kształtowania ŚBF.

Decyzja prezesa UODO może mieć dalekosiężne skutki – nie tylko dla banków, lecz także dla wszystkich instytucji zobowiązanych do stosowania przepisów AML. Można się spodziewać, że sprawa stanie się przedmiotem wnikliwej kontroli sądowej i wyznaczy kierunek dalszej praktyki na styku prawa ochrony danych i regulacji przeciwdziałania praniu pieniędzy.

Według komunikatu UODO decyzja oparta została na konsekwentnej linii interpretacyjnej, tej samej, którą UODO prezentował już w 2019 r. (pismo ZSPR.027.306.2019 do prezesa Związku Banków Polskich): instytucje obowiązane, takie jak banki, mogą kopiować dokumenty tożsamości wyłącznie wtedy, gdy istnieje ku temu wyraźne i niezbędne uzasadnienie wynikające z ustawy AML. Sama praktyka profilaktycznego skanowania dokumentów – bez powiązania z indywidualną oceną ryzyka – ma być sprzeczna z zasadami RODO, w szczególności z art. 5 ust. 1 lit. b i c, dotyczącymi celowości i minimalizacji przetwarzania danych.

W komunikacie UODO padło jednoznaczne stwierdzenie: „Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia ustawy AML zastosowaniem ŚBF”. Podkreślono przy tym, że bank powinien wdrożyć podejście oparte na ryzyku i dopiero na tej podstawie projektować ŚBF. Oznacza to, że instytucja musi najpierw przeprowadzić ocenę ryzyka prania pieniędzy i finansowania terroryzmu, a dopiero później – jeśli rzeczywiście wykaże taką konieczność – kopiować dokumenty tożsamości jako element uzasadnionych działań AML.

Rozumowanie UODO wpisuje się w charakterystyczny dla organu model „najpierw RODO, potem AML”. Innymi słowy: priorytetem jest przestrzeganie zasad celowości i minimalizacji danych (art. 5 ust. 1 lit. b i c RODO), a dopiero w dalszej kolejności – wykonywanie obowiązków z ustawy AML.

Ustawa AML nakazuje stosować środki bezpieczeństwa finansowego

Pojawia się pytanie, czy takie rozumowanie nie skutkuje naruszeniem ducha ustawy AML. Dobrą praktyką przy jej stosowaniu jest w pierwszej kolejności wdrażanie odpowiednich ŚBF. Realizując te działania, instytucja obowiązana powinna jednak pamiętać o przepisach nakazujących ograniczanie zakresu gromadzonych i przetwarzanych danych – tak aby z jednej strony skutecznie osiągać cele ustawy, a z drugiej – unikać nadmiernych obciążeń związanych z przetwarzaniem informacji.

Instytucje obowiązane mają obowiązek – nie zaś prawo – stosować środki wzmożone (art. 43 ust. 1 ustawy AML), a możliwość sięgnięcia po środki uproszczone jest jedynie uprawnieniem (art. 42 ust. 1). Przepisy ustawy AML wprost wskazują, że w relacjach z klientami musi być stosowany pełen katalog ŚBF (art. 33 ust. 1), obejmujący m.in. weryfikację tożsamości klienta (art. 34 ust. 1 pkt 1). Ustawodawca nadaje instytucjom obowiązanym prawo do przetwarzania danych z dokumentów tożsamości oraz wykonywania ich kopii (art. 34 ust. 4), traktując to jako narzędzie pomocnicze, służebne wobec generalnego obowiązku stosowania ŚBF. W konsekwencji, w każdym przypadku, gdy instytucja – kierując się oceną ryzyka – uzna sporządzenie kopii za konieczne, powinna mieć prawo to uczynić.

Oczywiście nie oznacza to dowolności. Tam, gdzie nie istnieje relacja z klientem albo nie ma obowiązku stosowania ŚBF, kopia dokumentu nie powinna być wykonywana. W praktyce oznacza to jednak spory kłopot: skoro prezes UODO uznaje, że kopiowanie dokumentu tożsamości jest co do zasady nadmiarowe, to instytucja finansowa w każdej sytuacji znajduje się między młotem i kowadłem – z jednej strony KNF i generalny inspektor informacji finansowej oczekują stosowania procedur Know Your Customer (KYC), z drugiej – UODO może zarzucić naruszenie RODO.

Na marginesie należy wskazać, że sierpniowa decyzja UODO pozostaje w zgodzie z jego dotychczasowym stanowiskiem, zgodnie z którym sporządzanie kopii dowodów tożsamości przez instytucje finansowe jest legalne jedynie wtedy, kiedy konieczne jest zastosowanie ŚBF, ale nie w każdej sytuacji.

Kara za stosowanie ustawy AML

Nie można również pominąć konstytucyjnego aspektu sprawy. Zasada zaufania obywatela do państwa, wynikająca z art. 2 konstytucji, nakazuje organom władzy publicznej unikanie sytuacji, w której prawo staje się swoistą pułapką dla adresatów norm. Tymczasem o takim ryzyku można mówić po ostatniej decyzji prezesa UODO. Skoro ustawodawca stworzył szczegółowy reżim AML dla instytucji obowiązanych (art. 2 ust. 1 ustawy AML), to przepisy o charakterze generalnym – jak RODO – muszą być stosowane zgodnie z klasyczną regułą kolizyjną lex specialis derogat legi generali.

Nie oznacza to oczywiście, że RODO przestaje obowiązywać. Przeciwnie – reguluje ono te obszary, które nie są pokryte normami AML, a także wyznacza granice stosowania ŚBF. Kluczowe jest jednak to, aby instytucja obowiązana, która zgodnie z zasadą risk-based approach wdrożyła odpowiednie ŚBF, mogła się powołać na przesłanki legalności przetwarzania wynikające z ustawy AML. Dopiero w granicach tak wyznaczonego reżimu znajduje zastosowanie ocena zgodności z RODO.

Innymi słowy, instytucja nie może być karana za to, że realizując obowiązki AML, wybrała intensywniejsze ŚBF, o ile jej decyzja wynikała z prawidłowej oceny ryzyka i była proporcjonalna do zagrożeń. Zawsze jednak konieczne jest respektowanie zasady minimalizacji i proporcjonalności przetwarzania danych osobowych – bo to one stanowią wspólny mianownik dla obu reżimów prawnych.

Przedsiębiorca między UODO a KNF

Opisane rozbieżności prowadzą do powstania compliance trap. Instytucja obowiązana, nawet działając w dobrej wierze, może nie być w stanie równocześnie zadowolić wszystkich regulatorów. Jeżeli zastosuje bardziej szczegółowe środki bezpieczeństwa, ryzykuje sankcję od prezesa UODO. Jeżeli ograniczy zakres działań, naraża się na zarzut niewystarczającej staranności w oczach nadzorcy finansowego.

W praktyce oznacza to ogromne wyzwania dla działów compliance. Banki będą musiały jeszcze bardziej dokumentować proces oceny ryzyka i wykazywać, dlaczego kopiowanie dokumentów jest – lub nie jest – uzasadnione. Każdy przypadek będzie wymagał indywidualnego uzasadnienia, co zwiększy koszty, obciążenia administracyjne i ryzyko błędu.

Były przypadki naruszeń

Trzeba jednak uczciwie przyznać, że w części przypadków sankcjonowanych przez UODO decyzja była uzasadniona. Przykładem są sytuacje, w których bank uzależniał przyjęcie reklamacji od zgody osoby fizycznej na skanowanie dowodu osobistego – choć relacja gospodarcza jeszcze nie istniała. W takich przypadkach faktycznie trudno doszukać się podstawy w ustawie AML, a wystarczające mogło być jedynie porównanie danych z dokumentu z informacjami podanymi przez klienta i sporządzenie krótkiej notatki służbowej. ©℗

Praktyczne rekomendacje

Aby minimalizować ryzyko nałożenia sankcji przez prezesa UODO, a jednocześnie spełnić obowiązki AML w odpowiedni sposób, instytucje obowiązane powinny:

1. Opracować matrycę decyzyjną określającą, w jakich sytuacjach sporządza się kopię dokumentu, a w jakich wystarczy notatka służbowa czy wideoweryfikacja tożsamości.

2. Dokumentować ocenę ryzyka AML i powiązać ją bezpośrednio z decyzją o zakresie ŚBF (dla celów kontroli).

3. Minimalizować zakres danych – maskować elementy zbędne na gruncie AML (np. imiona rodziców, płeć).

4. Zapewnić bezpieczne przechowywanie i retencję – ograniczyć czas przechowywania kopii do minimum i wdrożyć mechanizmy automatycznego usuwania.

5. Pamiętać o szkoleniach dla pracowników, najlepiej połączonych szkoleniach AML i RODO na bazie kazusów praktycznych.

6. Stosować alternatywne środki identyfikacji – eID, mObywatel, usługi zaufania, które mogą ograniczyć konieczność wykonywania kopii.

7. Prowadzić rejestry i audyty wewnętrzne – umożliwiające wykazanie regulatorowi spójności stosowanych praktyk. ©℗