(Metodologia rankingu: największa waga przypisana została przepisowi, który daje najmniejsze szanse na niepopełnienie błędu przez IO/administratora.) 

I. Obowiązek oceny stosunków gospodarczych i, stosownie do sytuacji, uzyskania informacji na temat ich celu i zamierzonego charakteru (art. 34 ust. 1 pkt 3 ustawy AML).

Bezkonkurencyjna i doskonała pod każdym względem pułapka. Praktycznie bez możliwości wywinięcia się. Gwarantuje pewność nałożenia kary finansowej zarówno na gruncie ustawy AML, jak i RODO. 

Genialność konstrukcji tego obowiązku i jego zasłużone pierwsze miejsce na liście "pułapek RODO w AML" polega na tym, że możliwe są dwie zupełnie odmienne interpretacje tego przepisu - jedna (niemal) niewymagająca przetwarzania jakichkolwiek danych osobowych, druga interpretacja - wymagająca ingerencji w prywatność o niemal nieograniczonym zakresie. W tym pierwszym przypadku instytucja obowiązana ustala, z jakiego rodzaju produktów czy usług klient zamierza korzystać (rachunek osobisty, firmowy, produkty inwestycyjne, lokaty, kredyty, etc.). W tym drugim przypadku, należy zgromadzić wystarczające informacje, tak aby mieć pewność, że zidentyfikowały wszystkie istotne czynniki ryzyka na początku nawiązania stosunków gospodarczych oraz w trakcie trwania stosunków gospodarczych lub przed przeprowadzeniem transakcji sporadycznej (...) czy źródło majątku lub źródło finansowania klienta lub beneficjenta rzeczywistego można łatwo wytłumaczyć, na przykład działalnością zawodową, spadkiem lub inwestycjami? Czy wyjaśnienie jest wiarygodne? (...) zrozumienie, dlaczego klient wybrał produkty i usługi instytucji, zrozumienie wartości i źródeł finansowania, które będą przepływać przez rachunek, etc. (zob. Wytyczne EBA z 1 marca 2021 r.). 

Jeszcze dalej w oczekiwaniach, co do sposobu wykonania tego obowiązku poszedł WSA w wyroku z dnia 6 listopada 2023 r. sygn. V SA/Wa 249/23 (wyrok co prawda został uchylony, ale nie z powodu argumentacji dotyczącej tego przepisu) - na podstawie art. 34 ust. 1 pkt 3 ustawy AML WSA oczekiwał (Sąd w pełni podziela stanowisko organów …) konieczności ustalenia przez instytucję obowiązaną okoliczności związanych z obstawianiem nadwyżki wybranej konkretnej części dochodów klienta [które] - w sposób obiektywny - mogą rzutować na charakter stosunków gospodarczych. W przypadku gdy charakter stosunków zostanie określony jako rekreacyjny (związany z obstawianiem nadwyżki finansowej w wysokości do 10% dochodów), to instytucja obowiązana uzyskuje wiedzę, która pozwoli ustalić, iż przy wzroście wysokości stawek charakter transakcji uległ zmianie, albo dochód klienta uległ zmianie, bądź udział procentowy dochodów przeznaczonych na zakłady uległ zmianie. 

Tak "dogłębnie" rozumiany obowiązek określenia "charakteru relacji klienta do instytucji obowiązanej i zakładów", oznaczający konieczność ustalenia "nadwyżki finansowej" przeznaczonej na grę z dokładnością do 10%, oznacza przecież w praktyce konieczność poznania nie tylko wszystkich przychodów klienta, ale także - co oczywiste - także jego kosztów (wydatków na opłaty eksploatacyjne, edukację dzieci, alimenty, podróże, spłaty zobowiązań, etc.).  

Bez wątpienia wzorzec pułapkowy.

II. Bieżące monitorowanie stosunków gospodarczych klienta, w tym: analiza transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem (art. 34 ust. 1 pkt 4 lit. a ustawy AML).

Numer dwa na liście "pułapek RODO w AML" to konieczność porównywania transakcji realizowanych przez klienta do "ryzyka związanego z tym klientem" w sytuacji, gdy żaden przepis ustawy AML nie wymaga sporządzania ryzyka "związanego z klientem". Instytucja obowiązana ma więc trzy możliwości, każde podlegające zakwestionowaniu zarówno przez GIIF, jak i PUODO: a) tworzy się "profil ryzyka klienta" na tej (wątpliwej) podstawie prawnej, b) odnosi monitorowane transakcje do "profilu ryzyka" utworzonego na podstawie art. 34 ust. 1 pkt 3 (co multiplikuje ryzyka sankcji administracyjnej, patrz pkt 1 na liście pułapek) lub c) odnosi transakcje do oceny ryzyka związanego ze stosunkami gospodarczymi (art. 33 ust. 2). 

O licznych wątpliwościach dotyczących interpretacji art. 34 ust. 1 pkt 3 i ust. 1 pkt 4 lit. a ustawy AML pisałem więcej we wpisie z dnia 24 kwietnia 2026 r. (Pułapki przy monitorowaniu relacji z klientem).

III. Obowiązek podejmowania określonych działań w stosunku do PEP-ów (art. 46 ust. 2 ustawy AML).

Zgodnie z tym przepisem, w stosunku do osób zajmujących eksponowane stanowisko polityczne, członków rodzin oraz współpracowników takich osób stosuje się niezwykle inwazyjne środki inwigilacyjne (m. in. dotyczące źródła majątku i źródła pochodzenia wartości majątkowych pozostających w dyspozycji klienta w ramach stosunków gospodarczych lub transakcji). 

W tym przypadku pułapka także została dobrze zaprojektowana - po pierwsze, nie ma żadnego imiennego wykazu osób zajmujących takie stanowiska, nie mówiąc już o tym, by obejmował on także członków rodziny czy współpracowników (osób znanych jako bliscy współpracownicy osoby zajmującej eksponowane stanowisko polityczne). Po drugie, w celu ustalenia, czy klient lub beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne, instytucje obowiązane wdrażają procedury oparte na analizie ryzyka w tym mogą przyjmować od klienta oświadczenie w formie pisemnej lub formie dokumentowej, że jest on albo nie jest osobą zajmującą takie stanowisko. W przypadku błędnego oszacowania ryzyka, niestaranności bądź nieświadomości klienta składającego oświadczenie - instytucja obowiązana ląduje na polu minowym nadmiarowych i niezwykle wrażliwych informacji o kliencie lub beneficjencie rzeczywistym. Pisałem o tym dwukrotnie 19 kwietnia br. (Ryzykowne relacje z PEP-em oraz Czy obowiązki IO w stosunku do PEP-ów są wykonalne). 

W pełni zasłużone trzecie miejsce na liście.

IV. Obowiązek zachowania w tajemnicy faktu przekazania do GIIF lub innym właściwym organom informacji określonych w rozdziałach 7 i 8 ustawy AML, oraz informacji o planowaniu wszczęcia oraz o prowadzeniu analizy dotyczącej prania pieniędzy lub finansowania terroryzmu (art. 54 ust. 1 ustawy AML).

O wątpliwościach dotyczących skuteczności ograniczania prawa klienta do dostępu do informacji na swój temat (tzw. zakaz tipping-off) pisałem obszernie we wpisie z 18 kwietnia br. (Czy zakaz ujawniania klientowi IO informacji na swój temat jest zgodny z RODO) więc tu tylko przypomnę podstawowy mechanizm pułapki - przepisy RODO w art. 23 stawiają surowe warunki, w przypadku potrzeby ograniczenia praw podmiotu danych, w tym prawa dostępu do swoich danych. Ustawa AML nie spełnia co najmniej kilku z tych wymogów - m. in. nie zawiera szczegółowych przepisów o ryzykach naruszenia praw lub wolności osoby, której dane dotyczą (art. 23 ust. 2 lit. g RODO) oraz kategoriach danych osobowych (art. 23 ust. 2 lit. b RODO). 

V. Sporządzanie kopii informacji zawartych w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu na potrzeby stosowania środków bezpieczeństwa finansowego (art. 34 ust. 4 ustawy AML). 

Tej pułapce także nie sposób odmówić finezji - zgodnie ze stanowiskiem PUODO z dnia 26 sierpnia 2025 r. dopiero jeśli instytucja obowiązana wykaże, że w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest stosowanie środków bezpieczeństwa finansowego wiążące się z przetwarzaniem informacji zawartych w dokumentach tożsamości oraz sporządzaniem ich kopii (skanów), wtedy ma prawo żądać ich wykonania. 

Aby zatem legalnie skanować/kopiować dokument tożsamości klienta instytucja obowiązana musi wykazać nie tylko że robi to w związku ze stosowaniem środków bezpieczeństwa finansowego, ale także - że stosowanie środków bezpieczeństwa finansowego wiąże się z przetwarzaniem informacji zawartych w dokumentach tożsamości. Można to zatem interpretować w ten sposób (pułapka!), że nie wystarczy tylko zakwalifikowanie danej osoby do określonej kategorii ryzyka ML/FT (np. średnie albo wysokie) - konieczne jest także zidentyfikowanie ryzyka związanego z dokumentem tożsamości (np. w trakcie weryfikacji tożsamości klienta lub BR). Jak pisze PUODO w ww. komunikacie: Zadaniem banku jest przeprowadzenie indywidualnej oceny ryzyka prania pieniędzy i finansowania terroryzmu i zaprojektowanie środków bezpieczeństwa odpowiednich do jej wyniku (podejście oparte na ryzyku).