Walka RODO z ustawą AML

Decyzja nakładająca karę ponad 18 mln zł na ING Bank Śląski dobitnie pokazuje konflikt między dwiema, wydawałoby się, równorzędnymi regulacjami. W tej sprawie górę wzięły przepisy o ochronie danych osobowych

Bank został ukarany przez prezesa Urzędu Ochrony Danych Osobowych za nieuprawnione kopiowanie dowodów osobistych klientów i osób potencjalnie zainteresowanych usługami banku. Organ wskazał, że w strukturach brakowało mechanizmów weryfikujących, czy tego rodzaju praktyka jest rzeczywiście uzasadniona obowiązkiem stosowania środków bezpieczeństwa finansowego (ŚBF) wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML). To jednak nie wysokość sankcji, lecz interpretacja relacji między przepisami RODO a ustawą AML wywołała gorącą dyskusję wśród prawników, banków i regulatorów.

Argumentacja UODO

Decyzja prezesa UODO unaocznia istotny problem normatywny wynikający z relacji między wskazanymi normami. Istota sporu sprowadza się do tego, czy wykonywanie i przechowywanie kopii dokumentów tożsamości klientów stanowi działanie nadmiarowe w świetle RODO, czy też obowiązek ustawowy wynikający z AML, realizowany w ramach stosowania ŚBF. Status instytucji obowiązanej nie oznacza bowiem pełnej swobody w zakresie przetwarzania danych osobowych, ale równocześnie ochrona danych osobowych nie powinna prowadzić do faktycznego paraliżu systemu AML. Skuteczne przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu wymaga bowiem, aby instytucje obowiązane miały realne, szerokie kompetencje do samodzielnego kształtowania ŚBF.