Prawo

  • Obowiązki AML – nadchodzące zmiany

    W ubiegłym miesiącu Rada Ministrów przyjęła projekt przepisów nowelizujących ustawę o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Przyjęty projekt stanowi implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/843 z 30 maja 2018 r. (tzw. „Dyrektywa V AML”).

    W ubiegłym miesiącu Rada Ministrów przyjęła projekt przepisów nowelizujących ustawę o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Przyjęty projekt stanowi implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/843 z 30 maja 2018 r. (tzw. „Dyrektywa V AML”). Celem dyrektywy jest zwiększenie transparentności przepływów finansowych oraz efektywności organów odpowiedzialnych za przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu.

     

    Projektowane regulacje przewidują w szczególności:

    • rozszerzenie katalogu instytucji obowiązanych m. in. o przedsiębiorców, których podstawową działalnością gospodarczą jest świadczenie usług polegających na sporządzaniu deklaracji, prowadzeniu ksiąg podatkowych, udzielaniu porad, opinii lub wyjaśnień z zakresu przepisów prawa podatkowego lub celnego innych niż doradcy podatkowi i biura księgowe,
    • rozszerzenie katalogu podmiotów zobowiązanych do zgłaszania informacji o beneficjentach rzeczywistych m. in. o spółki partnerskie, spółki europejskie, stowarzyszenia i fundacje,
    • nałożenie na beneficjentów rzeczywistych obowiązku przekazywania informacji i dokumentów na swój temat podmiotom zobowiązanym do ujawniania beneficjentów rzeczywistych,
    • wyraźne wskazanie, że na instytucjach obowiązanych ciąży obowiązek dokumentowania okoliczności uniemożliwiających ustalenie beneficjenta rzeczywistego innego niż osoba zajmująca wyższe stanowisko kierownicze,
    • wskazanie, że ustalając beneficjenta rzeczywistego nie można bazować wyłącznie na danych ujawnionych w Centralnym Rejestrze Beneficjentów Rzeczywistych,
    • nałożenie na instytucję obowiązaną obowiązku wyjaśnienia przyczyn rozbieżności między informacjami zgromadzonymi w rejestrze a ustalonymi przez nią informacjami oraz, w przypadku potwierdzenia rozbieżności, przekazanie ich organom nadzorującym rejestr.

     

    Projekt ustawy czeka obecnie na skierowanie do Sejmu.

    Z uwagi na restrykcyjne podejście Komisji Europejskiej do sposobu implementacji przepisów dyrektyw AML należy się spodziewać, że projekt ustawy zostanie uchwalony przez Sejm bez istotnych zmian w jego treści.

  • Wysokie kary nakładane przez Prezesa UODO

    Analiza kolejnych decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) wskazuje, że organ coraz surowiej reaguje na naruszenia ochrony danych osobowych. Treść decyzji pozwala jednak administratorom ustalić, na jakie ryzyka powinni zwracać uwagę, jakich działań powinni się wystrzegać, ale również w jaki sposób powinni interpretować przepisy RODO.

    Analiza kolejnych decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) wskazuje, że organ coraz surowiej reaguje na naruszenia ochrony danych osobowych. Treść decyzji pozwala jednak administratorom ustalić, na jakie ryzyka powinni zwracać uwagę, jakich działań powinni się wystrzegać, ale również w jaki sposób powinni interpretować przepisy RODO. W grudniu minionego roku, Prezes UODO nałożył karę w wysokości ponad 1,9 mln zł na spółkę Virgin Mobile Polska. Kara była pokłosiem ataku hakerskiego, w wyniku którego nieuprawnione osoby uzyskały dostęp do jednej z baz danych klientów. Prezes UODO uznał, iż spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. W toku postępowania, spółka podnosiła co prawda, że testowała i monitorowała zastosowane środki techniczne i organizacyjne, które miały zapewnić bezpieczeństwo gromadzonych i przetwarzanych danych. UODO uznał jednak, iż działaniom tym zabrakło regularnego i kompleksowego charakteru, gdyż działania te były incydentalne i nie obejmowały wszystkich systemów, w których przetwarzane były dane. Sama dokumentacja wewnętrzna spółki nie regulowała natomiast kwestii stałego testowania, oceniania skuteczności zabezpieczeń oraz ich mierzenia. Dokonując wymiaru kary, organ wziął pod uwagę fakt, iż mimo stosunkowo krótkotrwałego dostępu do systemów, osoby nieuprawnione miały możliwość pobrania dużej ilości danych, zaś sama podatność na zagrożenie wycieku danych istniała od dawna. Okolicznością łagodzącą była jednak postawa spółki i współpraca z organem w trakcie postępowania.

     

    Również w grudniu 2020 r. Prezes UODO ukarał portal pożyczkowy MoneyMan.pl, należący do spółki ID Finance Poland sp. z o.o. w likwidacji. Spółka ta otrzymała informacje o lukach w jej zabezpieczeniach, jednak nie zareagowała na nie w sposób wystarczający (dokonała jedynie pobieżnej analizy sytuacji). Tymczasem doszło do skopiowania danych przez osobę nieuprawnioną, która usunęła je z serwera i zażądała okupu. Dopiero ten incydent skłonił spółkę do weryfikacji stosowanych środków bezpieczeństwa. W ocenie Prezesa UODO to niezdolność spółki do szybkiego stwierdzenia powstałego zagrożenia i jego usunięcia, doprowadziła do utraty danych osobowych. Z powyższych decyzji wynika, że samo wdrożenie procedur czy polityk nie jest wystarczające dla zabezpieczenia danych osobowych. W celu zapewnienia skuteczności ochrony oraz uniknięcia ewentualnych kar, kluczowym jest, by administratorzy stale monitorowali aktualność i skuteczność wdrożonej dokumentacji, a w razie potrzeby implementowali dodatkowe środki bezpieczeństwa.