Co mówią przepisy

Ustawa AML nakłada na instytucje obowiązane konkretne obowiązki wobec klienta i beneficjenta rzeczywistego (a także, w niektórych przypadkach - przedstawiciela klienta). W art. 46 ust. 1 ustawa AML wymaga procedur opartych na analizie ryzyka w celu ustalenia, czy klient lub beneficjent rzeczywisty jest PEP (więcej na ten temat pisałem tu); w art. 117–118 nakłada obowiązek stosowania szczególnych środków ograniczających wobec osób i podmiotów wskazanych na określonych listach; a w art. 34 ust. 5 stanowi, że przed nawiązaniem relacji gospodarczej lub transakcją okazjonalną instytucja informuje klienta o przetwarzaniu jego danych osobowych w związku z obowiązkami AML.

Po stronie RODO  - art. 14 stosuje się wtedy, gdy administrator przetwarza dane, których nie pozyskał danych od osoby, której dane dotyczą; w takim przypadku musi przekazać tej osobie informacje o źródle danych, celach, odbiorcach, okresie przechowywania, prawach i — jeśli ma to miejsce — o zautomatyzowanym podejmowaniu decyzji. Informacje należy podać w rozsądnym terminie, co do zasady nie później niż w miesiąc, chyba że wcześniej następuje pierwsza komunikacja z osobą albo pierwsze ujawnienie odbiorcy. Jednocześnie art. 14 ust. 5 RODO przewiduje wyjątki od tej zasady, w tym: gdy podanie informacji jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku, gdy obowiązek ten mógłby uniemożliwić lub poważnie utrudnić realizację celów przetwarzania, gdy pozyskanie lub ujawnienie danych jest wyraźnie uregulowane prawem, albo gdy dane muszą pozostać poufne ze względu na ustawową tajemnicę zawodową, w tym ustawowym obowiązkiem zachowania tajemnicy. Motywy 61 i 62 RODO dopowiadają, że przy wielu źródłach można podać informacje o źródle w sposób ogólny, a przy „niewspółmiernie dużym wysiłku” trzeba brać pod uwagę liczbę osób, wiek danych i przyjęte zabezpieczenia.

Bardzo ważne są przy tym wytyczne EDPB (WP28) o przejrzystości. EDPB podkreśla, że wyjątki z art. 14 należy interpretować zawężająco, że „niewspółmiernie duży wysiłek” nie może być stosowany rutynowo, oraz że administrator powołujący się na art. 14 ust. 5 lit. b powinien wykonać test równowagi i go udokumentować. EDPB wskazuje też wyraźnie, że gdy ten wyjątek jest stosowany, jednym ze środków, które administrator musi zawsze podjąć, jest publiczne udostępnienie informacji, np. na stronie internetowej. Publikacja jest koniecznym środkiem przy korzystaniu z wyjątku, ale nie zastępuje samej analizy przesłanek.

Wariant klasycznego screeningu

W praktyce rynkowej komercyjne bazy oferowane przez dostawców w rodzaju Dow Jones czy LexisNexis  faktycznie działają w kilku modelach technicznych. Publicznie dostępne materiały pokazują zarówno model „search/screening API”, w którym system zwraca wynik screeningu, statystyki sprawy i szczegóły dopiero dla rekordów dopasowanych, jak i modele batch/API oraz rozwiązania z szerszym dostępem do profili ryzyka i zautomatyzowanego monitoringu portfela klientów.

Dla obydwu wariantów, nie tylko klasycznego (match/no match), istotne jest w pierwszej kolejności ustalenie kto jest administratorem jakiego etapu przetwarzania. Wytyczne EDPB o pojęciach administratora i podmiotu przetwarzającego wskazują, że ocena musi być faktyczna, a nie formalna; że o statusie administratora decyduje wpływ na cele i „istotne środki” przetwarzania; że sama korzyść handlowa nie czyni jeszcze dwóch podmiotów współadministratorami; oraz że jeden podmiot może być administratorem tylko pewnego wycinka łańcucha operacji, a nie całego procesu.

Jeżeli instytucja obowiązana wysyła do zewnętrznego dostawcy dane własnego klienta lub beneficjenta rzeczywistego wyłącznie po to, by sprawdzić, czy występuje dopasowanie (match), a przy braku dopasowania nie uzyskuje żadnych danych osób trzecich z bazy, to nie sposób uznać, że powstaje po jej stronie obowiązek informacyjny wobec wszystkich osób z tej bazy. W takim układzie instytucja obowiązana przetwarza wyłącznie dane swojego (sprawdzanego) obecnego lub potencjalnego klienta lub beneficjenta rzeczywistego; a nie - dane milionów osób, których rekordów nigdy nie otrzymała, nie utrwaliła, nie przeglądała i nie użyła do własnego celu. Ten wniosek wydaje się zgodny zarówno z konstrukcją art. 14 RODO, jak i z funkcjonalnym podejściem EDPB do przypisywania roli administratora.

Wariant feedu i szerokiej integracji

W szerszym modelu — gdy instytucja „ładuje” portfel klientów przez batch lub API do swoich systemów, ma własne rozwiązanie on-premise albo cloud z szeroką funkcją przeszukiwania, otrzymuje lub utrzymuje lokalną kopię rekordów, albo ma techniczną możliwość sięgania „na wyciągnięcie ręki” do pełniejszych profili z watchlisty — ryzyko powstania obowiązków informacyjnych z art. 14 rośnie. Dziej się tak w przypadku, gdy takie narzędzia służą nie tylko do jednorazowego sprawdzania, ale też do ciągłego monitoringu portfela, automatycznego screeningu zmian w portfelu i zmian na listach, a nawet do pracy na obszernych profilach ryzyka. W takiej architekturze dużo łatwiej uznać, że instytucja obowiązana „pozyskała” dane z innego źródła i wykorzystuje je dla własnych celów (AML/KYC compliance) – już jako administrator danych.

Jednak nawet tej sytuacji istnieją argumenty, że przetwarzanie aktualizujące obowiązek informacyjny z art. 14 RODO nie obejmuje danych wszystkich osób figurujących w bazie. Z perspektywy RODO sama potencjalna możliwość dotarcia do danych nie musi jeszcze oznaczać, że dane te zostały rzeczywiście „pozyskane”, „użyte”, „skonsultowane” lub „udostępnione” przez daną instytucję w rozumieniu art. 4 pkt 2 RODO. Skoro EDPB konsekwentnie wiąże status administratora albo współadministratora z realnym wpływem na cele i istotne środki oraz z analizą konkretnej operacji przetwarzania, a nie z samym teoretycznym uprawnieniem technicznym, to nawet szeroki dostęp, choć zwiększa ryzyko aktualizacji obowiązku informacyjnego z art. 14 RODO, ciągle nie oznacza automatyzmu w tej kwestii (konieczna jest dokładna analiza stanu faktycznego w danej instytucji obowiązanej).

Sprawa Bisnode, niewspółmierny wysiłek i tajemnica AML

W wyroku z dnia 19 września 2023 r. w sprawie Bisnode (obecnie Dun & Bradstreet) NSA stwierdził, że obowiązek informacyjny wynikający z art. 14 ust. 1-2 RODO nie jest zależny od profilu i skali prowadzonej działalności prowadzonej przez podmiot zobowiązany do jego realizacji. Administrator danych, prowadzący taką działalność gospodarczą musi brać pod uwagę związane z tym koszty - w tym koszty związane z ochroną praw osób, których dane przetwarza. Dla zastosowania wyjątku z art. 14 ust. 5 lit. b bez znaczenia jest sama skala oraz koszty związane z realizacją obowiązku informacyjnego.

To znaczy, że duża skala przetwarzania sama z siebie nie znosi automatycznie obowiązku informacyjnego. W tę samą stronę idą wytyczne EDPB/WP29 w sprawie zasad przejrzystości: wyjątki z art. 14 mają być interpretowane wąsko, a „niewspółmierny wysiłek” nie może być rutynowym argumentem.

Równocześnie sytuacja z watchlist AML jest jednak istotnie inna niż stan faktyczny w sprawie Bisnode. Motyw 62 RODO każe patrzeć na liczbę osób, wiek danych oraz zabezpieczenia, ale także na to, czy obowiązek informacyjny czyniłby przetwarzanie niemożliwym albo poważnie utrudniał realizację jego celów. W globalnych bazach PEP/sankcyjnych podmiot korzystający często nie ma żadnych danych kontaktowych osób, które nie są jej klientami, a odtworzenie tych danych dla setek tysięcy lub milionów rekordów mogłoby być nie tylko bardzo kosztowne, lecz także praktycznie niewykonalne. Jeżeli dodatkowo model obejmuje ciągły screening i monitoring w czasie zbliżonym do rzeczywistego, argument z art. 14 ust. 5 lit. b — niemożliwość, niewspółmierny wysiłek albo poważne utrudnienie realizacji celu — może być wystarczający.

Wydaje się także, że nie da się zastosować jako podstawy wyłączenia obowiązku informacyjnego tzw. zakazu tipping-off z art. 54 ust. 1 ustawy AML

Art. 54 ustawy AML nakazuje zachować w tajemnicy fakt przekazania informacji do Generalnego Inspektora Informacji Finansowej lub innych właściwych organów oraz informacji o planowaniu wszczęcia i prowadzeniu analizy dotyczącej prania pieniędzy lub finansowania terroryzmu. To bardzo mocny argument dla etapu, gdy screening przeszedł już w etap podejrzenia, raportowania, analizy albo działań operacyjnych. Nie wynika z niego natomiast wprost, że każde rutynowe sprawdzenie przed onboardingiem lub podczas prowadzenia monitoringu relacji z klientem objęty jest blankietową tajemnicą, która sama w sobie zawsze wyłącza stosowanie art. 14 RODO.

Warto też dopowiedzieć, że art. 14 ust. 5 lit. c RODO (pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem) nie daje tu prostego „automatycznego” wyjścia z obowiązku informacyjnego tylko dlatego, że przepisy AML nakazują identyfikować PEP-ów czy osób objętych szczególnymi środkami ograniczającymi. Brak obowiązku z art. 14 RODO można wywieść z lit. c tylko wtedy, gdy prawo Unii lub państwa członkowskiego nakłada na administratora wystarczająco kompleksowy i wiążący obowiązek informacyjny równoważny z art. 14 ust. 1–4. Ustawa AML zawiera co prawda w art. 34 ust. 5 wyraźny obowiązek informowania klienta, ale nie tworzy równie szczegółowego mechanizmu informowania wszystkich osób trzecich umieszczonych w komercyjnych bazach watchlist. Dlatego wydaje się więc, że lit. c nie może być „bezpieczną” podstawą zwolnienia z obowiązku informacyjnego wobec nie-klientów.

Rekomendacje

Po pierwsze, instytucja obowiązana powinna przeanalizować model współpracy z dostawcą bazy pod kątem określenia odpowiedzialności stron: co dokładnie robi dostawca, czy utrzymuje własną bazę jako niezależny administrator, czy działa na instrukcjach zleconych przez instytucję obowiązaną, czy dochodzi do lokalnego importu danych, czy użytkownicy mogą przeglądać rekordy bez związku z konkretnym klientem, jak zbierane są logi, jak ustawiona jest retencja i zakres pobieranych danych (pól rekordów). Bez tego nie da się jednoznacznie odpowiedzieć, czy art. 14 RODO aktualizuje się wobec osób z watchlisty po stronie instytucji obowiązanej. Konieczna jest analiza stanu faktycznego, a nie opierania się wyłącznie na zapisach umownych.

Po drugie, należy zdecydowanie preferować minimalizację: zapytania dotyczące konkretnego klienta/BR, ograniczenie odpowiedzi do alertów i rekordów niezbędnych do potwierdzenia albo zaprzeczenia, brak lokalnego utrwalania całej bazy i ścisłe ograniczenie dostępu przez użytkowników. Taki kierunek jest zgodny z zasadą minimalizacji danych, z podejściem opartym na ryzyku oraz zasadą, że źródła i zakres danych muszą być dokładne, wiarygodne i aktualne.

Po trzecie, niezależnie od wariantu należy opublikować klauzulę informacyjną dotyczącą wykorzystywania zewnętrznych źródeł AML/watchlist.  Publiczne udostępnienie informacji jest środkiem, który administrator musi podjąć przy korzystaniu z art. 14 ust. 5 lit. b (udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku). Taka informacja powinna więc wskazywać co najmniej: cele AML/środki ograniczające, kategorie danych, rodzaje źródeł, kategorie odbiorców, okresy przechowywania, kanał realizacji praw oraz dane kontaktowe IOD. Jeżeli źródeł jest wiele, RODO dopuszcza przedstawienie pochodzenia danych w sposób ogólny.

Po czwarte, jeśli instytucja obowiązana chce oprzeć wyłączenie obowiązku informacyjnego na art. 14 ust. 5 lit. b RODO, powinna sporządzić dokument potwierdzający analizę obejmującą opis zakresu przetwarzanych danych: liczbę osób, brak ich danych kontaktowych, globalne rozproszenie podmiotów danych, wpływ indywidualnych zawiadomień na skuteczność i czasowość screeningu, środki ochronne, jakie wdrożono, oraz ocenę skutków dla osób. Zgodnie z zasadą rozliczalności, konieczne jest w takim przypadku przeprowadzenie testu równowagi i jego udokumentowania. W praktyce dobrze jest też dołączyć opis źródeł danych i sposób oceny ich rzetelności.

Otwarte pytania

Największa praktyczna niewiadoma leży więc w konkretnych zapisach umownych oraz architekturze technicznej baz screeningowych oraz systemach teleinformatycznych instytucji obowiązanej. Bez sprawdzenia zapisów  umowy z dostawcą (regulaminu korzystania z usługi), dokumentacji przepływów danych, logów pobrań, retencji i zakresu uprawnień użytkowników nie da się z całą pewnością odpowiedzieć, czy dana instytucja obowiązana jedynie uruchamia zewnętrzny screening własnego klienta, czy jednak uzyskuje, utrzymuje i przetwarza we własnym środowisku szerszy zbiór danych osób trzecich. To jest pytanie decydujące dla poprawnego stosowania art. 14 RODO.

Jeszcze inne pole zagrożeń dotyczy samych danych w watchlistach. Dostawcy takich baz przetwarzają czasem nie tylko zwykłe dane identyfikacyjne, lecz także dane wrażliwe lub dane o wyrokach i czynach zabronionych. To problem odrębny od obowiązku informacyjnego z art. 14, ale istotny dla pełnej oceny zgodności z RODO. Innymi słowy: nawet jeśli w danym wariancie uda się obronić brak indywidualnych zawiadomień o przetwarzaniu danych do milionów osób, nie oznacza to jeszcze automatycznie, że cały model pozyskiwania i używania watchlist jest wolny od innych ryzyk związanych z art. 5, 6, 9 czy 10 RODO.

Ostatecznie więc końcowa teza mogłaby brzmieć następująco: w klasycznym, ograniczonym screeningu klienta lub beneficjenta rzeczywistego w zewnętrznej watchliście obowiązek z art. 14 RODO wobec całej populacji osób z bazy co do zasady nie powstaje; w modelu szerszego feedu lub dostępu może powstać wobec osób, których dane rzeczywiście zostały uzyskane i użyte przez instytucję obowiązaną, ale zwykle da się wtedy poważnie rozważyć zastosowanie wyjątku z art. 14 ust. 5 lit. b lub d RODO