(Metodologia rankingu: największa waga przypisana została przepisowi, który daje najmniejsze szanse na niepopełnienie błędu przez IO/administratora.) 

I. Obowiązek oceny stosunków gospodarczych i, stosownie do sytuacji, uzyskania informacji na temat ich celu i zamierzonego charakteru (art. 34 ust. 1 pkt 3 ustawy AML).

Bezkonkurencyjna i doskonała pod każdym względem pułapka. Praktycznie bez możliwości wywinięcia się. Gwarantuje pewność nałożenia kary finansowej zarówno na gruncie ustawy AML, jak i RODO. 

Genialność konstrukcji tego obowiązku i jego zasłużone pierwsze miejsce na liście "pułapek RODO w AML" polega na tym, że możliwe są dwie zupełnie odmienne interpretacje tego przepisu - jedna (niemal) niewymagająca przetwarzania jakichkolwiek danych osobowych, druga interpretacja - wymagająca ingerencji w prywatność o niemal nieograniczonym zakresie. W tym pierwszym przypadku instytucja obowiązana ustala, z jakiego rodzaju produktów czy usług klient zamierza korzystać (rachunek osobisty, firmowy, produkty inwestycyjne, lokaty, kredyty, etc.). W tym drugim przypadku, należy zgromadzić wystarczające informacje, tak aby mieć pewność, że zidentyfikowały wszystkie istotne czynniki ryzyka na początku nawiązania stosunków gospodarczych oraz w trakcie trwania stosunków gospodarczych lub przed przeprowadzeniem transakcji sporadycznej (...) czy źródło majątku lub źródło finansowania klienta lub beneficjenta rzeczywistego można łatwo wytłumaczyć, na przykład działalnością zawodową, spadkiem lub inwestycjami? Czy wyjaśnienie jest wiarygodne? (...) zrozumienie, dlaczego klient wybrał produkty i usługi instytucji, zrozumienie wartości i źródeł finansowania, które będą przepływać przez rachunek, etc. (zob. Wytyczne EBA z 1 marca 2021 r.). 

Jeszcze dalej w oczekiwaniach, co do sposobu wykonania tego obowiązku poszedł WSA w wyroku z dnia 6 listopada 2023 r. sygn. V SA/Wa 249/23 (wyrok co prawda został uchylony, ale nie z powodu argumentacji dotyczącej tego przepisu) - na podstawie art. 34 ust. 1 pkt 3 ustawy AML WSA oczekiwał (Sąd w pełni podziela stanowisko organów …) konieczności ustalenia przez instytucję obowiązaną okoliczności związanych z obstawianiem nadwyżki wybranej konkretnej części dochodów klienta [które] - w sposób obiektywny - mogą rzutować na charakter stosunków gospodarczych. W przypadku gdy charakter stosunków zostanie określony jako rekreacyjny (związany z obstawianiem nadwyżki finansowej w wysokości do 10% dochodów), to instytucja obowiązana uzyskuje wiedzę, która pozwoli ustalić, iż przy wzroście wysokości stawek charakter transakcji uległ zmianie, albo dochód klienta uległ zmianie, bądź udział procentowy dochodów przeznaczonych na zakłady uległ zmianie. 

Tak "dogłębnie" rozumiany obowiązek określenia "charakteru relacji klienta do instytucji obowiązanej i zakładów", oznaczający konieczność ustalenia "nadwyżki finansowej" przeznaczonej na grę z dokładnością do 10%, oznacza przecież w praktyce konieczność poznania nie tylko wszystkich przychodów klienta, ale także - co oczywiste - także jego kosztów (wydatków na opłaty eksploatacyjne, edukację dzieci, alimenty, podróże, spłaty zobowiązań, etc.).  

Bez wątpienia wzorzec pułapkowy.

II. Bieżące monitorowanie stosunków gospodarczych klienta, w tym: analiza transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem (art. 34 ust. 1 pkt 4 lit. a ustawy AML).

Numer dwa na liście "pułapek RODO w AML" to konieczność porównywania transakcji realizowanych przez klienta do "ryzyka związanego z tym klientem" w sytuacji, gdy żaden przepis ustawy AML nie wymaga sporządzania ryzyka "związanego z klientem". Instytucja obowiązana ma więc trzy możliwości, każde podlegające zakwestionowaniu zarówno przez GIIF, jak i PUODO: a) tworzy się "profil ryzyka klienta" na tej (wątpliwej) podstawie prawnej, b) odnosi monitorowane transakcje do "profilu ryzyka" utworzonego na podstawie art. 34 ust. 1 pkt 3 (co multiplikuje ryzyka sankcji administracyjnej, patrz pkt 1 na liście pułapek) lub c) odnosi transakcje do oceny ryzyka związanego ze stosunkami gospodarczymi (art. 33 ust. 2). 

O licznych wątpliwościach dotyczących interpretacji art. 34 ust. 1 pkt 3 i ust. 1 pkt 4 lit. a ustawy AML pisałem więcej we wpisie z dnia 24 kwietnia 2026 r. (Pułapki przy monitorowaniu relacji z klientem).

III. Obowiązek podejmowania określonych działań w stosunku do PEP-ów (art. 46 ust. 2 ustawy AML).

Zgodnie z tym przepisem, w stosunku do osób zajmujących eksponowane stanowisko polityczne, członków rodzin oraz współpracowników takich osób stosuje się niezwykle inwazyjne środki inwigilacyjne (m. in. dotyczące źródła majątku i źródła pochodzenia wartości majątkowych pozostających w dyspozycji klienta w ramach stosunków gospodarczych lub transakcji). 

W tym przypadku pułapka także została dobrze zaprojektowana - po pierwsze, nie ma żadnego imiennego wykazu osób zajmujących takie stanowiska (istnieje jedynie wykaz funkcji/stanowisk uznawanych za eksponowane politycznie), nie mówiąc już o tym, by obejmował on także członków rodziny czy współpracowników (osób znanych jako bliscy współpracownicy osoby zajmującej eksponowane stanowisko polityczne). Po drugie, w celu ustalenia, czy klient lub beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne, instytucje obowiązane wdrażają procedury oparte na analizie ryzyka w tym mogą przyjmować od klienta oświadczenie w formie pisemnej lub formie dokumentowej, że jest on albo nie jest osobą zajmującą takie stanowisko. Po trzecie, i to jest prawdziwy majstersztyk, w okresie od dnia zaprzestania zajmowania przez osobę eksponowanego stanowiska politycznego do dnia ustalenia, że nie wiąże się z tą osobą wyższe ryzyko, jednak nie krócej niż przez 12 miesięcy, instytucja obowiązana stosuje wobec takiej osoby środki uwzględniające to ryzyko. Można wywalić się zarówno na ustaleniu daty "zaprzestania zajmowania przez osobę eksponowanego stanowiska politycznego", jak i ocenie, czy "nie wiąże się z tą osobą wyższe ryzyko". W przypadku błędnego oszacowania ryzyka, niestaranności bądź nieświadomości klienta składającego oświadczenie - instytucja obowiązana ląduje na polu minowym nadmiarowych i niezwykle wrażliwych informacji o kliencie lub beneficjencie rzeczywistym. Pisałem o tym dwukrotnie 19 kwietnia br. (Ryzykowne relacje z PEP-em oraz Czy obowiązki IO w stosunku do PEP-ów są wykonalne). 

W pełni zasłużone trzecie miejsce na liście.

IV. Obowiązek zachowania w tajemnicy faktu przekazania do GIIF lub innym właściwym organom informacji określonych w rozdziałach 7 i 8 ustawy AML, oraz informacji o planowaniu wszczęcia oraz o prowadzeniu analizy dotyczącej prania pieniędzy lub finansowania terroryzmu (art. 54 ust. 1 ustawy AML).

O wątpliwościach dotyczących skuteczności ograniczania prawa klienta do dostępu do informacji na swój temat (tzw. zakaz tipping-off) pisałem obszernie we wpisie z 18 kwietnia br. (Czy zakaz ujawniania klientowi IO informacji na swój temat jest zgodny z RODO) więc tu tylko przypomnę podstawowy mechanizm pułapki - przepisy RODO w art. 23 stawiają surowe warunki, w przypadku potrzeby ograniczenia praw podmiotu danych, w tym prawa dostępu do swoich danych. Ustawa AML nie spełnia co najmniej kilku z tych wymogów - m. in. nie zawiera szczegółowych przepisów o ryzykach naruszenia praw lub wolności osoby, której dane dotyczą (art. 23 ust. 2 lit. g RODO) oraz kategoriach danych osobowych (art. 23 ust. 2 lit. b RODO). 

V. Sporządzanie kopii informacji zawartych w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu na potrzeby stosowania środków bezpieczeństwa finansowego (art. 34 ust. 4 ustawy AML). 

Tej pułapce także nie sposób odmówić finezji. Zgodnie z tym przepisem instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Literalnie rzecz biorąc, instytucja obowiązana może więc sporządzać kopię dokumentu tożsamości, jeśli tylko robi to na potrzeby stosowania środków bezpieczeństwa finansowego (np. weryfikuje tożsamość klienta). Jednak PUODO rozumie ten przepis tak: kopiowanie, o którym mowa w art. 34 ust. 4 ww. ustawy, jest uprawnieniem przysługującym instytucjom obowiązanym i nie można uznać, że na podmiotach tych spoczywa obowiązek kopiowania dokumentów tożsamości. Każdorazowa decyzja o przetwarzaniu danych osobowych pozyskiwanych poprzez skopiowanie (zeskanowanie) dokumentu tożsamości, czy też żądanie przedstawienia jego kopii, powinny być poprzedzone analizą i zweryfikowaniem z uwzględnieniem także przepisów rozporządzenia 2016/679, czy rzeczywiście taka czynność jest niezbędna. 

Pułapka polega na tym, że PUODO (moim zdaniem prawidłowo) analizując przepisy AML wskazuje, że jak wynika z powyżej powołanych wyżej przepisów, proces stosowania środków bezpieczeństwa finansowego przez instytucje obowiązane jest dwuetapowy. W pierwszym z nich, instytucja taka musi dokonać oceny ryzyka prania pieniędzy i finansowania terroryzmu. Dopiero w sytuacji, gdy wynik tej oceny uzasadnia podejmowanie dalszych działań, należy przejść do drugiego etapu, tj. doboru adekwatnych środków bezpieczeństwa finansowego (w odpowiednim zakresie oraz o właściwej intensywności) oraz ich zastosowania.  Zatem wg PUODO, możliwe jest (teoretycznie) niestosowanie w ogóle któregoś ze środków bezpieczeństwa finansowego (np. weryfikacji tożsamości klienta), np. w przypadku rozpoznania bardzo niskiego ryzyka, co jest stanowczo wykluczane przez GIIF (należy zawsze stosować wszystkie śbf).