To dwunasty wpis z naszego cyklu o AML 2026. Reżim AML wymaga przetwarzania szerokiego katalogu danych osobowych klientów, beneficjentów rzeczywistych, osób upoważnionych — często przez wiele lat. RODO wymaga minimalizacji, ograniczenia celu i czasu, prawa osób, których dane dotyczą. W teorii — sprzeczność. W praktyce — dwa reżimy są ze sobą zsynchronizowane przez wewnętrzne klauzule (art. 6 ust. 1 lit. c i lit. b, art. 9 ust. 2 lit. g RODO), ale wymagają świadomej obsługi. W tym wpisie pokazujemy, gdzie ryzyko jest największe i jak zarządzać konfliktami między ustawą AML a RODO. Mapping na ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) i rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

Podstawa prawna przetwarzania — co tak naprawdę jest podstawą?

Najczęstszy błąd, który widzimy w klauzulach informacyjnych instytucji obowiązanych: wskazywanie zgody klienta jako podstawy przetwarzania danych dla celów AML. To nie jest prawidłowe. Podstawą jest:

  • Art. 6 ust. 1 lit. c RODO — przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązki ustawy AML (identyfikacja klienta, weryfikacja, monitoring, zawiadamianie GIIF, archiwizacja) są obowiązkami prawnymi w rozumieniu lit. c.
  • Art. 6 ust. 1 lit. b RODO — przetwarzanie niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą. Dotyczy m.in. identyfikacji klienta składającego wniosek o produkt — patrz CDD/KYC.
  • Art. 9 ust. 2 lit. g RODO — dla danych szczególnych kategorii (rasa, pochodzenie etniczne, poglądy polityczne, religia, dane biometryczne, zdrowotne) — przetwarzanie niezbędne ze względów ważnego interesu publicznego, na podstawie prawa Unii lub państwa członkowskiego, z odpowiednimi zabezpieczeniami.

Zgoda nie jest podstawą dla AML. Zgoda byłaby ułomna — klient mógłby ją wycofać, a Ty masz obowiązek prawny przetwarzania niezależnie od woli klienta. Zgoda może być wprowadzona dla celów dodatkowych (marketing, profilowanie nieAML) — ale nie może być mylona z podstawą AML.

Trzy najczęstsze konflikty AML vs RODO

Konflikt 1 — prawo do bycia zapomnianym

Klient żąda usunięcia swoich danych (art. 17 RODO). Ustawa AML wymaga zachowania dokumentacji przez 5 lat od zakończenia stosunków gospodarczych albo od przeprowadzenia transakcji okazjonalnej (art. 49 ust. 1 ustawy AML). Co robić?

Odpowiedź wynika wprost z art. 17 ust. 3 lit. b RODO — prawo do usunięcia nie ma zastosowania, jeżeli przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego. Instytucja obowiązana odmawia usunięcia, informując klienta o przyczynie odmowy oraz możliwości wniesienia skargi do Prezesa UODO.

W praktyce dobra klauzula informacyjna AML powinna z góry uprzedzać klienta o tym ograniczeniu — żeby uniknąć konfliktu po fakcie.

Konflikt 2 — kopiowanie / skanowanie dowodu osobistego

Tu jest najbardziej znana rozbieżność. Stanowisko GIIF — instytucje obowiązane mogą sporządzać kopie dokumentów tożsamości na podstawie ustawy AML, zwłaszcza w kontekście weryfikacji tożsamości klienta. Stanowisko UODO (Prezesa UODO) jest bardziej restrykcyjne: kopiowanie dowodu osobistego powinno być ograniczone do przypadków, gdy jest niezbędne i proporcjonalne do celu, oraz gdy nie istnieje mniej inwazyjne narzędzie weryfikacji.

Z naszej praktyki rekomendujemy następujące podejście:

  • Kopia dowodu nie jest domyślną metodą weryfikacji. Tam, gdzie wystarczy odczyt danych z dokumentu, nie kopiujemy.
  • Kopia jest uzasadniona przy wyższym ryzyku — np. przy on-boardingu klienta z innej jurysdykcji, gdzie sama deklaracja nie wystarczy.
  • Maskowanie zbędnych danych — fotografia twarzy może być potrzebna, numer seryjny może być potrzebny, ale czy potrzebny jest pełen wzorzec biometryczny? Zwykle nie. Zalecamy pikselizację lub maskowanie zbędnych pól.
  • Dokumentacja decyzji — uzasadnienie, dlaczego skanujemy w danym przypadku, w aktach klienta.
  • Zabezpieczenia techniczne — szyfrowanie, kontrola dostępu, logowanie.

Konflikt 3 — przetwarzanie danych szczególnych kategorii

Listy sankcyjne i listy PEP zawierają informacje, które mogą obejmować dane szczególnych kategorii — poglądy polityczne, przynależność religijną, pochodzenie etniczne. Screening sankcyjny i PEP wymaga przetwarzania tych danych.

Podstawa: art. 9 ust. 2 lit. g RODO — ważny interes publiczny. Wymaga to jednak:

  • Wprost wskazanej podstawy w prawie krajowym lub UE — w przypadku AML jest to ustawa AML (art. 117 i nast.) i rozporządzenia sankcyjne UE.
  • Środków proporcjonalnych — ograniczenia zakresu, dostępu, czasu przechowywania.
  • Środków ochronnych — szyfrowanie, kontrola dostępu, logowanie, polityka retencji.

Z naszej praktyki: w klauzuli informacyjnej AML należy wprost wskazać, że dane szczególnych kategorii mogą być przetwarzane w kontekście screeningu sankcyjnego i PEP, na podstawie art. 9 ust. 2 lit. g RODO.

Retencja — 5 lat, z możliwością przedłużenia

Art. 49 ust. 1 ustawy AML wymaga przechowywania dokumentacji uzyskanej w wyniku stosowania środków bezpieczeństwa finansowego oraz dowodów potwierdzających przeprowadzenie transakcji przez 5 lat od zakończenia stosunków gospodarczych lub od przeprowadzenia transakcji okazjonalnej.

Art. 49 ust. 2 wymaga 5-letniego przechowywania wyników bieżących analiz transakcji.

Art. 49 ust. 3 daje GIIF prawo żądać przedłużenia okresu przechowywania o dalsze 5 lat — w drodze decyzji, w celu zapobiegania przestępstwom prania pieniędzy lub finansowania terroryzmu albo wspierania toczących się postępowań.

Co istotne — okres 5-letni jest maksymalny, a nie minimalny w rozumieniu RODO. Po jego upływie dane muszą być usunięte (chyba że GIIF wydał decyzję o przedłużeniu lub trwa postępowanie, w którym dane są dowodem).

Klauzula informacyjna AML — co musi w niej być?

Z art. 13 RODO instytucja obowiązana zbierająca dane osobowe musi przekazać klientowi:

  • Tożsamość i dane kontaktowe administratora (instytucji obowiązanej).
  • Dane kontaktowe Inspektora Ochrony Danych — jeżeli jest wyznaczony.
  • Cele przetwarzania (m.in. obowiązki AML/CFT) i podstawę prawną (art. 6 ust. 1 lit. c RODO + ustawa AML).
  • Odbiorców danych (m.in. GIIF, KNF, organy ścigania, prokuratorzy, audytorzy).
  • Okres przechowywania (art. 49 ustawy AML — 5 lat z możliwością przedłużenia).
  • Prawa klienta (dostęp, sprostowanie — z ograniczeniami wynikającymi z art. 17 ust. 3 lit. b dla usunięcia).
  • Prawo wniesienia skargi do Prezesa UODO.
  • Informację, czy podanie danych jest wymogiem ustawowym (jest — wynika z art. 36 ustawy AML).

Z naszej praktyki najczęstszy błąd to klauzula szablonowa, która nie wymienia ustawy AML jako podstawy. Druga: brak wyraźnego wskazania ograniczenia prawa do usunięcia.

Czy instytucja obowiązana musi mieć IOD?

Obowiązek wyznaczenia Inspektora Ochrony Danych (IOD) wynika z art. 37 RODO. Trzy przesłanki obowiązkowego wyznaczenia:

  • Przetwarzanie przez organ lub podmiot publiczny (z wyjątkiem sądów).
  • Główna działalność administratora polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
  • Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych lub danych dotyczących wyroków skazujących.

Z naszej praktyki: większość instytucji obowiązanych powinna mieć IOD na podstawie pkt 2 lub 3:

  • Banki, KIP, MIP, instytucje pieniądza elektronicznego, CASP — przesłanka 2 (regularne i systematyczne monitorowanie).
  • Instytucje obsługujące screening sankcyjny i PEP na dużą skalę — przesłanka 3 (dane szczególnych kategorii).

Brak IOD przy dużej skali przetwarzania jest jedną z najczęstszych nieprawidłowości w postępowaniach UODO przeciwko instytucjom obowiązanym.

DPIA — kiedy jest obowiązkowa?

Art. 35 RODO wymaga oceny skutków dla ochrony danych (data protection impact assessment, DPIA), gdy przetwarzanie może wywołać wysokie ryzyko naruszenia praw lub wolności osób fizycznych — w szczególności przy nowych technologiach, dużej skali, monitorowaniu systematycznym.

W kontekście AML DPIA powinna być przeprowadzona m.in. przy:

  • Wdrażaniu systemu monitoringu transakcji (TMS) ze sztuczną inteligencją.
  • Wdrożeniu wideoweryfikacji z biometrią.
  • Pełnym screeningu sankcyjnym i PEP całej bazy klientów.
  • Outsourcingu KYC do podmiotów spoza EOG.

DPIA powinna zawierać: opis przetwarzania, ocenę niezbędności i proporcjonalności, ocenę ryzyka, opis środków minimalizujących ryzyko. UODO publikuje listę typów operacji wymagających DPIA — warto z niej korzystać.

Naruszenia ochrony danych w kontekście AML

Naruszenia ochrony danych (incydenty bezpieczeństwa) w instytucji obowiązanej zgłaszamy na zasadach ogólnych RODO:

  • Art. 33 RODO — zgłoszenie do Prezesa UODO bez zbędnej zwłoki, nie później niż w 72 godziny od stwierdzenia, chyba że incydent jest mało prawdopodobny do wywołania ryzyka.
  • Art. 34 RODO — zawiadomienie osób, których dane dotyczą — gdy ryzyko jest wysokie.

Co istotne: zgłoszenie do UODO nie zastępuje zgłoszenia do GIIF w sytuacjach, w których incydent dotyczy także prania pieniędzy (np. wyciek bazy klientów może być spowodowany atakiem mającym na celu obejście AML).

Zakaz tipowania a obowiązek transparentności RODO

Tu jest pułapka. RODO wymaga transparentności (art. 12–14) — informowania osób o przetwarzaniu danych. Ustawa AML wymaga zachowania w tajemnicy faktu przekazania informacji do GIIF (art. 54). Co wygrywa?

W tej kwestii art. 54 ustawy AML jest lex specialis w stosunku do art. 12–14 RODO. RODO samo dopuszcza ograniczenia obowiązków informacyjnych, gdy wynikają one z prawa krajowego lub UE i są niezbędne do ochrony interesów publicznych (art. 23 RODO). Ustawa AML jest takim ograniczeniem.

Praktycznie: klauzula informacyjna AML mówi „możemy przekazywać Twoje dane GIIF i innym uprawnionym organom”; nie informuje o konkretnym fakcie zgłoszenia.

Stanowiska UODO i GIIF — gdzie się różnią?

Z naszej praktyki kluczowe rozbieżności między stanowiskami obu organów:

KwestiaStanowisko GIIFStanowisko Prezesa UODO
Kopiowanie dowodów osobistychDopuszczalne, jeżeli uzasadnione celemDopuszczalne tylko gdy niezbędne i proporcjonalne; preferencja dla mniej inwazyjnych metod
Zakres danych KYCPełen zakres z art. 36 ustawy AMLZakres minimalny — tylko niezbędny do celu
Przechowywanie kopii dowoduAkceptowalne w aktach klientaTylko gdy niezbędne; preferowane przechowywanie zaszyfrowanych haseł
Profilowanie klientów dla AMLDozwolone w celu oceny ryzykaOgraniczone do niezbędnego, z poszanowaniem zasady minimalizacji

W razie konfliktu rekomendujemy podejście kompromisowe — przyjąć stanowisko bardziej restrykcyjne (zazwyczaj UODO), z wyjątkiem sytuacji, w których GIIF wprost wymaga konkretnego działania w wytycznych pisemnych.

Najczęstsze błędy AML/RODO — z naszej praktyki

  • Zgoda jako podstawa AML — błąd w klauzuli informacyjnej.
  • Brak ograniczenia prawa do usunięcia — klauzula nie wymienia art. 49 ustawy AML.
  • Brak wskazania GIIF jako odbiorcy danych — klauzula informacyjna mówi tylko ogólnie „organy państwa”.
  • Bezterminowe przechowywanie — dane są w systemie po 5 latach, mimo że nie ma decyzji GIIF o przedłużeniu.
  • Brak DPIA dla wdrożenia TMS / wideoweryfikacji / biometrii.
  • Brak wyznaczenia IOD mimo dużej skali przetwarzania.
  • Skanowanie dowodów na zasadzie domyślnej bez analizy proporcjonalności.

W kolejnym wpisie cyklu — „Outsourcing AML i nadzór nad agentami” — pokazujemy, co można i czego nie wolno przekazać podmiotom trzecim w obszarze AML, jakie wymogi musi spełniać umowa outsourcingowa i kto realnie odpowiada w razie naruszenia.

Źródła i podstawy prawne

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), art. 6, 9, 13–14, 17, 23, 33–35, 37.
  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 49, 54 — Dz.U. 2025 poz. 644 t.j.
  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych — Dz.U. 2019 poz. 1781 ze zm.
  • Stanowiska Prezesa UODO dotyczące przetwarzania danych w sektorze AML.
  • Stanowiska GIIF dotyczące przetwarzania danych osobowych.
  • Wytyczne EROD 03/2019 dotyczące przetwarzania danych osobowych w sektorze finansowym.
  • Wytyczne EBA Joint Guidelines on CDD — interakcja z RODO (JC 2017 37).

Co dalej w cyklu?