Wymiana danych AML w grupie – nowe regulacje UE
Kamila Mróz
PARTNER ASSOCIATE
DELOITTE LEGAL
Jakub Lach
Managing Associate
Deloitte Legal
AMLR1 m.in. określa różne modele współpracy lub wymiany informacji, pod określonymi warunkami, takie jak: partnerstwa na rzecz wymiany informacji (art. 75 AMLR), „reliance” – podmioty zobowiązane mogą korzystać z informacji innych podmiotów zobowiązanych w celu spełnienia niektórych wymogów należytej staranności (art. 48 AMLR), outsourcing (art. 18 AMLR), wyłączenia z zakazu „tipping–off” (art. 73 ust. 3 AMLR) czy bieżące monitorowanie stosunków gospodarczych w grupie (art. 26 ust. 1 AMLR).
Szczególną regulacją w tym zakresie jest art. 16 AMLR, który tworzy ramy wymogów dotyczących grupy. Z jednej strony grupy posiadać muszą obowiązkowe strategie, procedury i środki kontroli, z drugiej wspomniane rozwiązania mają nakładać na poszczególne podmioty obowiązek wymiany informacji – jeśli taka ma znaczenie dla określonych celów AML. W tym kontekście warto przyjrzeć się szczegółowym rozwiązaniom wspomnianej regulacji oraz jej interakcji z innymi aktami prawa, w tym z RODO2.
Zgodnie z art. 16 ust. 1 AMLR jednostka dominująca musi zapewnić stosowanie wymogów dotyczących procedur wewnętrznych, oceny ryzyka oraz personelu w grupie przez poszczególne podmioty. Podmioty zobowiązane w ramach grupy wdrażają te obejmujące całą grupę strategie, procedury i środki kontroli, uwzględniając swoją specyfikę i ryzyka, na które są narażone. Jednostka dominująca przeprowadza ocenę ryzyka obejmującą całą grupę, uwzględniając ocenę ryzyka obejmującą całą działalność przeprowadzoną przez wszystkie oddziały i jednostki zależne grupy, oraz ustanawia i wdraża strategie, procedury i środki kontroli obejmujące całą grupę, w tym w zakresie ochrony danych oraz strategii w zakresie wymiany informacji w ramach grupy.
Ustęp 3 art. 16 AMLR doprecyzowuje wspomniany ust. 1 wprost wskazując na obowiązek wymiany danych („wymagają od podmiotów zobowiązanych w ramach grupy wymiany informacji”) oraz że dla celów jego realizacji niezbędne będą dane osobowe. Przepis bowiem wskazuje, że wymagana jest wymiana informacji w ramach grupy, jeżeli taka wymiana ma znaczenie do celów należytej staranności wobec klienta i zarządzania ryzykiem prania pieniędzy i finansowania terroryzmu i obejmuje w szczególności tożsamość i cechy klienta, jego beneficjentów rzeczywistych lub osoby, w imieniu której działa klient, charakter i cel stosunków gospodarczych i transakcji sporadycznych oraz informacje na temat podejrzeń, że środki pieniężne pochodzą z działalności przestępczej lub są związane z finansowaniem terroryzmu3.
W powyższym kontekście należy przypomnieć, że co do zasady, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie na określonych w art. 6 RODO warunkach. Jedna z podstaw przetwarzania danych osobowych występuje zaś wtedy, kiedy przetwarzanie jest „niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze” (art. 6 ust. 1 lit. c) RODO). W naszej ocenie art. 16 AMLR stanowi taką właśnie podstawę przetwarzania danych osobowych.
Niezależnie od tego, samo przetwarzanie danych można oprzeć również na innych podstawach, np. na zgodzie, jednak w praktyce zbieranie oraz zarządzanie zgodami to wymagający organizacyjnie proces, który ze swojej istoty może być nieefektywny. Warto wspomnieć, że dla celów AML istotna może być również wymiana danych, które nie zawierają danych osobowych ani danych, które podlegają dodatkowym ograniczeniom przetwarzania (w postaci tajemnic sektorowych) – tzw. danych zagregowanych, które nie umożliwiają identyfikacji poszczególnych podmiotów, np. dane statystyczne.
Wymiana danych na podstawie art. 16 AMLR nie jest dowolna. Przede wszystkim każde przetwarzanie danych w zakresie AMLR podlega zasadom RODO, co podkreślone jest m.in. na poziomie preambuły. Oznacza to m.in, że wymiana w grupie także będzie podlegała zasadom przetwarzania danych określonym w art. 5 RODO. Ponadto wymiana jest wprost ograniczona celem wskazanym w art. 16 AMLR: znaczenie dla należytej staranności wobec klienta i zarządzania ryzykiem prania pieniędzy i finansowania terroryzmu. Jest to jednak potencjalnie szeroki zakres danych.
W naszej ocenie, mając na uwadze całość regulacji, celem art. 16 AMLR jest jak najszersza wymiana informacji w grupach, choć jednocześnie podlegająca wystarczającym gwarancjom w zakresie ich ochrony. Taki wniosek wynika już z lektury preambuły, w szczególności motywu 43, 46 oraz 102. Istotną kwestią jest jednak to, że zarówno grupa, jak i jednostka dominująca – na którą nałożone są obowiązki zapewnienia wdrożenia wymogów dla grupy – posiadają na gruncie AMLR definicje, które mogą utrudnić zastosowanie regulacji dotyczących grup do części grup kapitałowych, a z drugiej nie przewidują wprost stosowania regulacji grupowych do innych, funkcjonalnie podobnych struktur.
Warto jednak zwrócić uwagę na to, że mamy już publikację dwóch projektów RTS-ów do AMLR, które naszym zdaniem określają kierunek, zgodnie z którym należy interpretować wymianę danych w grupie na gruncie art. 16 AMLR. Najpierw opublikowano projekt RTS do art. 28 ust. 1 AMLR (tzw. RTS dot. CDD), regulujących należytą staranność wobec klienta, a następnie projekt RTS już do art. 16 AMLR, określających m.in. minimalne wymogi dotyczące strategii, procedur i środków kontroli obejmujących całą grupę, w tym minimalne standardy dotyczące wymiany informacji w ramach grupy, oraz warunki, na jakich przepisy art. 16 AMLR mają zastosowanie do podmiotów będących częścią innych struktur niż grupa.
Dlaczego warto się pochylić nad art. 16 AMLR – to obowiązek potencjalnie szerokiej wymiany danych AML w grupie, mając np. na uwadze wyrażoną preferencję w tekście towarzyszącym projektowi (tj. zakres Policy issue 2 „The scope of information-sharing within a group”, Option B). Powyższe obserwacje stanowią jedynie wstęp do szerszych rozważań na gruncie art. 16 AMLR – istnieje szereg powiązanych wątków, które warto poddać dalszej analizie (np. wymianę danych objętych reżimem sankcyjnym, wymianę danych z podmiotami niezobowiązanymi, zaadresowanie tajemnic sektorowych, spójne podejście w przypadku grup i innych form współpracy/struktur czy nawet możliwość ich współistnienia). Jako że RTS-y podlegają aktualnie konsultacjom, można mieć nadzieję, że przynamniej częściowo zapewni to doprecyzowanie niektórych kwestii. Niezależnie od powyższego, nowe zasady wymiany danych już cieszą się szczególnym zainteresowaniem rynku (ponadto zagadnienie procedur grupowych/wymiany danych w grupie było również przedmiotem niedawnego stanowiska organu nadzoru4).
1 Rozporządzenie Parlamentu Europejskiego Rady (UE) 2024/1624 z dnia 31 maja 2024 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu (Dz.U.UE.L.2024.1624), dalej: „AMLR”.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: „RODO”.
3 Wraz z analizami, na których opierają się te podejrzenia, zgłoszone FIU na podstawie art. 69, chyba że dana FIU zaleci inaczej.
4 W tym kontekście pewną wskazówką może być fakt, że już teraz (na gruncie obowiązującej Ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu), stosunkowo niedawno zostało wydane „Stanowisko UKNF dotyczące procesów realizowanych przez instytucje obowiązane w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, które powinny zostać uregulowane w procedurach wewnętrznych z 19 marca 2026 r.” dotyczące także procedur grupowych.
