Atitikties akademija: asmens duomenų apsaugos pažeidimų grėsmės vykdant pinigų plovimo prevenciją
Asmens duomenų apsaugos pažeidimų grėsmės vykdant pinigų plovimo prevenciją
Vytautas Vičius, „Noewe“ vyresnysis teisės paslaugų vadovas
Šiuo metu jau nieko nestebina, kad, norint atidaryti banko sąskaitą ar atlikti pavedimus finansų įstaigose, reikia pateikti šūsnį dokumentų ir paaiškinimų. Šie veiksmai aiškinami kaip pinigų plovimo prevencijos reikalavimų laikymasis, kai iš finansų įstaigos surinktų duomenų vertinama, ar atliekamos operacijos nėra susijusios su nusikalstamomis veiklomis. Vis dėlto kartais kyla abejonių, ar įgyvendinant pinigų plovimo prevencijos taisykles finansų rinkos dalyviai, rinkdami ir tvarkydami plačios apimties duomenis, nepažeidžia asmens duomenų apsaugos reikalavimų.
Renkamų duomenų apimtis
Pinigų plovimo prevencijos taisyklės atsirado kaip priemonė kovoti su nusikalstamu būdu uždirbtų pinigų legalizavimu ir teroristų finansavimu. Iš pradžių šios taisyklės buvo rekomendacinio pobūdžio, bet ilgainiui, po tokių įvykių, kaip 2001 m. rugsėjo 11 d. atakos, JAV taisyklių reikalavimai vis griežtėjo ir tapo įpareigojantys finansų rinkos dalyviams. Buvo teigiama, kad pagrindinis tikslas – apsaugoti, kad finansinėje sistemoje nebūtų naudojami neteisėtais tikslais gauti ar tokiems tikslams įgyvendinti skirti pinigai.
Įgyvendinant šį tikslą, pinigų plovimo prevencijos direktyvomis ES veikiančioms finansų įstaigoms įvesta pareiga nuodugniai pažinti savo klientus, stebėti jų finansines operacijas ir, kilus įtarimų, apie jas pranešti atsakingoms institucijoms. Taip komerciniais pagrindais veikiančios finansų įstaigos, iki tol veikusios konfidencialumo ir „banko paslapties“ pagrindais, buvo įpareigotos atlikti prevencines valstybės institucijų funkcijas. Taip buvo gerokai apribota viena pamatinių demokratinės visuomenės ginamų vertybių – asmenų teisė į privatumą.
Kad finansų įstaigos būtų labiau suinteresuotos tinkamai įgyvendinti reikalavimus, buvo įvestos ir pradėtos praktiškai taikyti reikšmingos sankcijos už pažeidimus. Kadangi konkretus galimų rinkti duomenų sąrašas įstatymais nustatytas nebuvo, o duomenys renkami teisės aktuose įtvirtintu nusikaltimų prevencijos tikslu, finansų įstaigų pinigų plovimo ir teroristų finansavimo prevencijos procesuose įsigalėjo principas, kad duomenų apie klientus ar jų ketinimą vykdyti sandorį geriau surinkti daugiau.
Finansų rinkos dalyviai, vengdami sankcijų, atlikdami net ir paprastas operacijas pradėjo rinkti ir tvarkyti didelius kiekius asmens duomenų, pvz., siekdami nustatyti galutinius naudos gavėjus, įsitikinti lėšų kilme, įvertinti planuojamo vykdyti mokėjimo aplinkybes. Neretai finansų įstaigų klientams tenka pateikti informaciją apie savo šeimos narių pajamas, ryšius su tam tikrais asmenimis (pvz., paaiškinimus, kad lėšas jam perveda asmuo, su kuriuo vedamas bendras ūkis) ar kitas asmenines aplinkybes, tiesiogiai ir netiesiogiai susijusias su planuojamomis atlikti finansinėmis operacijomis.
Finansų įstaigų klientai iš esmės negali nesutikti su tokiu asmens duomenų tvarkymu. Atsisakius pateikti visą ar dalį informacijos, pasekmės aiškios – sustabdoma mokėjimo operacija, užšaldoma sąskaita arba nutraukiami dalykiniai santykiai. Tačiau kyla klausimas, ar toks platus asmens duomenų tvarkymas pagrįstas vertinant galiojančius reikalavimus?
Asmens duomenų apsaugos rizikos
Galiojantys teisės aktai nenustato baigtinio informacijos ar dokumentų, kuriuos, vykdydamos pinigų plovimo ir teroristų finansavimo prevencijos reikalavimus, privalo surinkti finansų įstaigos, sąrašo. Lietuvos bankas laikosi pozicijos, kad visais atvejais reikėtų prašyti tiek informacijos, kiek būtina rizikai įvertinti ir valdyti.
Vis dėlto praktikoje pastebima, kad finansų įstaigos savo klientų dažnai prašo daugiau informacijos, nei tai būtina keliamai rizikai tinkamai įvertinti ir valdyti. Suprantama, jog finansų įstaigoms svarbu užtikrinti, kad jų klientai finansų sistemos nenaudotų neteisėtais tikslais. Vis dėlto, valdydamos riziką, jos turėtų taikyti šiai rizikai proporcingas priemones. Tai numato ir BDAR 23 straipsnio 1 dalis, kurioje pažymima, kad asmens privatumo apsaugos ribojimas turi būti proporcinga priemonė siekiamam tikslui užtikrinti.
Nustatant galimų rinkti duomenų apimtis, pirmiausia svarbu suprasti, kad pinigų plovimo prevencijos reikalavimai yra išimtis iš bendrojo principo, užtikrinančio privataus ir šeimos gyvenimo apsaugą nuo sekimo ar kito fiksavimo. Todėl asmens duomenų tvarkymas pinigų plovimo prevencijos tikslais turėtų būti taikomas siaurai ir kiek įmanoma mažiau apribojant asmens teises į privatumą.
Gairės – formuojamoje praktikoje
Deja, šiuo metu nėra aktualios ES Teisingumo Teismo (ESTT) praktikos, išaiškinančios, kokiais principais remiantis nustatoma, kokia informacija gali būti proporcingai renkama pinigų plovimo ir teroristų finansavimo prevencijos tikslais. Tačiau tam tikras gaires finansų rinkos dalyviai gali rasti ESTT sprendimuose, kuriose buvo nagrinėjamos panašios situacijos.
Štai „Tele2 Sverige ir Watson“, „Privacy International“ bylose ESTT nusprendė, kad telekomunikacijos operatoriai prevenciniais tikslais negali būti įpareigoti valstybinėms institucijoms perduoti vartotojų srauto ir vietos duomenų arba saugoti jų bendrai ir nediferencijuoti, t. y. negali perduoti ar saugoti visų klientų asmeninių duomenų, nepriklausomai nuo to, ar klientai įtariami nusikalstama veika, ar ne. Be to, ESTT pažymėjo, kad minėta pareiga gali pažeisti Europos Sąjungos pagrindinių teisių chartijos garantuojamas pagrindines žmogaus teises ir BDAR 23 straipsnio 1 dalies reikalavimus. Vis dėlto pagal teismo praktiką galimas išimtinis, ribotos apimties ir trukmės bei pagrįstas duomenų rinkimas, kai yra rimtas pagrindas įtarti, kad asmenys, apie kuriuos renkami duomenys, vienaip ar kitaip susiję su teroristine veikla ar įtariami padarę nusikalstamą veiką.
Praktiką, kad asmens teisė į privatumą gali būti ribojama tik išimtiniais atvejais ir turint pagrindą, patvirtina ir pačios ES duomenų apsaugos priežiūros institucijos praktika. Šios institucijos nurodymu Europolui buvo apribota teisė valdyti interneto svetainę, skirtą ES valstybių narių priežiūros institucijoms kovoti su finansiniais nusikaltimais. Šis sprendimas buvo argumentuotas BDAR reikalavimų pažeidimu, nes svetainėje buvo tvarkomi duomenys apie asmenis, kurie nėra įtariamieji finansinių nusikaltimų tyrimuose.
Taigi, finansų rinkos dalyviai, vykdydami pinigų plovimo bei teroristų finansavimo prevenciją, turėtų labai aiškiai nustatyti, kokius asmens duomenis ketina rinkti iš savo klientų, apibrėžti, kokia šių duomenų apimtis ir kokiomis sąlygomis galima rinkti papildomus duomenis. Labai svarbu, kad praktikoje nebūtų taikomi visiems klientams vienodi duomenų rinkimo principai, o detalus kliento finansinių veiksmų patikrinimas, apribojimų taikymas ar pranešimas priežiūros institucijoms turėtų būti atliekamas tik kilus pagrįstų įtarimų atliekant įtartinas transakcijas. Be to, nereikėtų rinkti informacijos, nesusijusios su pinigų plovimo ar teroristų finansavimo nusikalstamomis veikomis. Priešingu atveju, jei tokie veiksmai būtų atliekami dėl visų asmenų, esančių finansų įstaigų klientų duomenų bazėse, ar būtų renkama neproporcingai daug informacijos, asmens duomenys, tikėtina, būtų neproporcingai tvarkomi pagal BDAR reikalavimus.
Žinoma, vykdant pinigų plovimo bei teroristų finansavimo prevenciją, reikėtų nepamiršti ir kitų BDAR reikalavimų. Šiais tikslais susirinktų duomenų nereikėtų naudoti kitais tikslais, pvz., kliento profilio analizei, tiesioginei rinkodarai ar pan. Taip pat renkant duomenis reikėtų naudoti patikimus duomenų šaltinius ir vengti pasikliauti nepatikrinta ar nepatikima informacija. Finansų rinkos dalyviai turėtų stengtis naudoti tik aktualius bei tikslius duomenis. Be to, reikėtų įvertinti, ar galima duomenis saugoti trumpiau ir, pasibaigus numatytam saugojimo terminui, ištrinti. Plačiau apie tai bus kalbama „Noewe“ atitikties akademijoje.
Siekiant pristatyti aktualiausias atitikties pareigūnų veiklos tendencijas ir padėti sustiprinti žinias, reikalingas efektyviems atitikties procesams versle užtikrinti, „Noewe“ kartu su „Verslo žiniomis“ organizuoja praktinius Atitikties akademijos mokymus, vyksiančius rugsėjo 8, 15, 22 ir 29 dieną.
Mokymuose sužinosite:
- Atitikties vadovo funkcija ir jos reikalavimai;
- Kodėl tvarumas versle yra svarbus ir kodėl verslas turi jį diegti? Žingsniai, kuriuos įmonė turi atlikti, kad atitiktų tvarumo principus;
- Prekybos atitiktis ir jos praktiniai iššūkiai;
- Virtualiosios valiutos ir kiti rizikingesni PPTF sektoriai;
- Individualus PPTF klientų rizikos vertinimas – ar gerai, kad įmonėje 99 proc. aukštos rizikos klientų?
- Asmens duomenų apsaugos reikalavimų įgyvendinimas: duomenų apsauga elektroninėje komercijoje;
- Verslas keliasi į elektroninę erdvę – kokie konkurencijos iššūkiai laukia? Aktuali teismų ir priežiūros institucijų praktikos apžvalga.
Straipsnis Verslo žiniose.