AUTORITATEA EUROPEANA PENTRU PROTECTIA DATELOR (AEPD)
Datele independente ale Autoritatii Europene pentru Protectia Datelor
22 septembrie 2021
Opinia 12/2021
Referitoare la prevenirea si combaterea spalarii banilor si finantarea terorismului
Autoritatea Europeană pentru Protecția Datelor (AEPD) este o autoritate independentă a UE, responsabilă în temeiul Articolului 52 Alineatul (2) din Regulamentul (UE) nr. 2018/1725 cu privire la prelucrarea datelor cu caracter personal … pentru asigurarea respectării de către instituțiile și organismele Uniunii a drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor ”și în temeiul Articolului 52 alineatul (3) din acesta … pentru consilierea instituțiilor și organismelor Uniunii și a persoanelor vizate cu privire la toate aspectele referitoare la prelucrarea datelor cu caracter personal. În temeiul articolului 58 alineatul (3) litera (c) din Regulamentul 2018 \ 1725, AEPD are puterea de a emite, din proprie inițiativă sau la cerere, avize către instituțiile și organismele Uniunii și către public cu privire la orice problemă legată de protecția datelor cu caracter personal ‘.
Wojciech Wiewiorowski a fost numit Sef al AEPD la 5 decembrie 2019 pentru un mandat de cinci ani.
În temeiul Articolului 42 alineatul (1) din Regulamentul (UE) nr. 2018/1725 Comisia „după adoptarea propunerilor pentru un act legislativ, a recomandărilor sau a propunerilor adresate Consiliului în conformitate cu articolul 218 din TFUE (Tratatul privind Functionarea Uniunii Europene) sau la pregătirea actelor de delegare sau a actelor de punere în aplicare, va consulta AEPD în cazul în care există un impact asupra protecției persoanelor” drepturilor și libertăților cu privire la prelucrarea datelor cu caracter personal și în temeiul Articolului 57 alineatul (1) litera (g), AEPD „consiliază din proprie inițiativă sau la cerere, toate instituțiile și organismele Uniunii cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ”.
Aceasta Opinie se referă la misiunea AEPD de a consilia instituțiile UE cu privire la aplicarea coerentă și consecventă a principiilor UE de protecție a datelor. Prezenta Opinie nu exclude orice comentarii sau recomandări suplimentare viitoare din partea AEPD, în special dacă sunt identificate alte probleme sau sunt disponibile informații noi. În plus, prezenta Opinie nu aduce atingere niciunei acțiuni viitoare care poate fi preluată de AEPD în exercitarea competențelor sale în conformitate cu articolul 58 din Regulamentul (UE) 2018/1725.
Rezumat:
Comisia Europeană a adoptat pe 20 iulie 2021, un pachet de propuneri legislative care vizează consolidarea combaterii spălării banilor din UE și reguli privind combaterea finanțării terorismului (CSB/ CFT) („pachetul legislativ CSB”), constând din: o Propunere de Regulament al Parlamentului European și al Consiliului privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau al finanțării terorismului; o Propunere de Directivă a Parlamentului European și a Consiliului privind mecanismele de prevenire a utilizării sistemului financiar în scopul spălării banilor sau al finanțării terorismului și de abrogare a Directivei (UE) 2015/849; o Propunere de regulament al Parlamentului European și al Consiliului de instituire a Autorității europene pentru combaterea spălării banilor și finanțării terorismului, de modificare a Regulamentelor (UE) nr. 1093/2010, (UE) 1094/2010 și (UE) 1095/2010; și o propunere de regulament al Parlamentului European și al Consiliului privind informațiile care însoțesc transferurile de fonduri și anumite cripto-active.
AEPD salută obiectivele urmărite de pachetul legislativ CSB și anume creșterea eficacității combaterii spălării banilor și combaterea finanțării terorismului, în special printr-o mai mare armonizare a normelor aplicabile și o supraveghere sporită la nivelul UE (inclusiv infiintarea Autoritatii Europene pentru Combaterea Spălării Banilor și a Finanțării Terorismului, „AMLA”).
AEPD subliniază că abordarea bazată pe riscuri pentru monitorizarea utilizării sistemului financiar pentru spălarea banilor, care se află în centrul pachetului legislativ CSB, deși este binevenită, are nevoie de specificații și clarificări suplimentare.
În acest context, AEPD face o serie de observații și recomandări, pentru a asigura respectarea principiilor necesității și proporționalității, precum și pentru a spori siguranța juridică a entităților implicate în sarcinile lor.
Pachetul legislativ CSB ar trebui să identifice categoriile de date cu caracter personal care urmează să fie prelucrate de entități pentru a îndeplini obligațiile CSB/ CFT, în loc să lase în mod sistematic această specificație pe seama standardelor tehnice de reglementare, precum și să descrie mai bine condițiile și limitele pentru prelucrarea categoriilor de date speciale cu caracter personal și date cu caracter personal referitoare la condamnări și infracțiuni.
Pachetul legislativ CSB ar trebui să specifice în special ce tipuri de categorii speciale de date cu caracter personal ar trebui prelucrate de entitățile implicate, ținând seama de principiile de necesitate și proporționalitate, ținând seama de diferitele activități și măsuri care trebuie luate (identificare, due diligence a clienților) , raportarea către Unitatile de Informatii Financiare (UIF)) și scopul specific urmărit (și anume combaterea spălării banilor sau combaterea finanțării terorismului). În special, AEPD consideră că nu ar trebui permisă prelucrarea datelor cu caracter personal legate de orientarea sexuală sau originea etnică.
În ceea ce privește registrele cu beneficiarii reali, AEPD:
– salută obligația statelor membre de a notifica Comisiei lista închisă a autorităților competente și a organismelor de autoreglementare și a categoriilor de entități implicate cărora li se acordă acces la registrele de beneficiari reali. Cu toate acestea, AEPD invită legiuitorul să specifice că accesul la registrele de proprietari beneficiari, de către autoritățile fiscale, precum și de către organismele de autoreglementare, ar trebui să fie limitat la scopul combaterii spălării banilor și finanțării terorismului și, astfel, să fie autorizat numai în acest scop;
– în ceea ce privește accesul „oricărui membru al publicului larg” la registrele de beneficiary reali, AEPD își reiterează poziția anterioară că necesitatea și proporționalitatea unui astfel de acces generalizat în scopul prevenirii spălării banilor și finanțării terorismului nu a fost clar stabilit până acum. În principiu, un astfel de acces ar trebui să fie limitat la autoritățile competente care sunt responsabile cu aplicarea legii și la entitățile implicate atunci când își asumă masurile de diligenta fata de client. AEPD este de părere că accesul la informații despre beneficiari reali motivat de alte obiective de interes general (cum ar fi îmbunătățirea transparenței) ar trebui mai degrabă considerat un drept de a obține informații. Un astfel de acces public ar necesita o evaluare separată a necesității și proporționalității și ar fi supus unui set separat de norme care să stabilească garanțiile necesare. Prin urmare, AEPD recomandă legiuitorului să evalueze necesitatea și proporționalitatea unui astfel de acces general ”și, pe baza acestei evaluări, dacă se consideră adecvat, să stabilească un cadru juridic specific în acest sens, distinct de cel legat de accesul autorităților competente;
Mai mult, AEPD recomandă cu tărie adăugarea, printre riscurile care trebuie luate în considerare de către statele membre la stabilirea criteriilor de acordare a scutirilor de acces la informațiile cu privire la bebeficiaul real, o trimitere expresă la riscurile pentru protecția datelor cu caracter personal ale persoanelor în cauză.
AEPD recomandă, de asemenea, să se prevadă în pachetul legislativ CSB un mecanism de raportare cu privire la utilizarea registrelor de beneficiari reali în combaterea spălării banilor și finanțării terorismului, pentru a aduna dovezi bazate pe fapte cu privire la eficacitatea sistemului, precum și susținerea posibilelor inițiative legislative viitoare.
În plus, AEPD ia act de puterile extinse de acces conferite Unitatilor de Informatii Financiare (FlUs) și invită legiuitorul să reevalueze necesitatea și proporționalitatea acestor drepturi de acces, în special în legătură cu „informațiile privind aplicarea legii” enumerate la articolul 18 alineatul (1) litera (c) din Propunerea de Directivă. Având în vedere sistemul de schimb de informații între FlUs, FIU.net, AEPD recomandă modificarea propunerii de regulament de instituire a AMLA pentru a defini în mod clar rolurile tuturor părților interesate implicate (AMLA, FlUs) din perspectiva protecției datelor în raport cu acest canal de comunicare, deoarece aceasta are impact asupra cadrului aplicabil de protecție a datelor și are implicații asupra modelului de supraveghere.
Având în vedere sursele de informații pentru CDD (Customer Due Dilligence), inclusiv „listele de supraveghere”, pachetul legislativ CSB ar trebui să clarifice în special în ce cazuri entitățile implcate ar trebui să recurgă la astfel de liste. În acest sens, AEPD invită legiuitorul să ia în considerare dacă un astfel de acces ar trebui să aibă loc numai în caz de risc ridicat de spălare a banilor sau finanțarea terorismului.
Mai mult, pentru a încuraja adoptarea codurilor de buna practica și a certificărilor care trebuie respectate de furnizorii de baze de date și liste de supraveghere utilizate în scopuri CSB/ CFT, AEPD invită legiuitorul să includă în pachetul legislativ CSB o referință la codurile de buna practica conform articolului 40 GDPR și a certificărilor conform articolului 42 GDPR, care urmează să fie dezvoltate ținând seama de nevoile specifice din acest sector.
Având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 din acesta,
Având în vedere Carta drepturilor fundamentale a Uniunii Europene, în special Articolele 7 și 8,
Având în vedere Regulamentul Parlamentului European (UE) 2016/679 și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și abrogarea Directivei 95/46 / CE (Regulamentul general privind protecția datelor) 1,
Având în vedere Regulamentul Parlamentului European (UE) nr. 2018/1725 și al Consiliului din 23 octombrie 2018 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și cu privire la circulația acestor date 2, în special articolul 42 alineatul (1),
S-A ADOPTAT URMĂTOAREA OPINIE:
- Context
Pe 20 iulie 2021, Comisia Europeană a adoptat o propunere de Regulament a Parlamentului European și a Consiliului privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau al finanțării terorismului („Propunerea de regulament”); o propunere de directivă a Parlamentului European și a Consiliului privind mecanismele de prevenire a utilizării sistemului financiar în scopul spălării banilor sau al finanțării terorismului și de abrogare a Directivei (UE) 2015/849 („Propunerea unei directive „); o propunere de regulament al Parlamentului European și al Consiliului de infiintare a Autorității Europene pentru Combaterea Spălării Banilor și Finanțării Terorismului, de modificare a Regulamentelor (UE) nr. 1093/2010 (UE) 1094/2010 și (UE) 1095/2010 ( „propunerea de regulament de stabilire a AMLA”); și o propunere de regulament al Parlamentului European și al Consiliului privind informațiile care însoțesc transferurile de fonduri și anumite cripto-active („Propunerea de regulament privind cripto-activele”) În continuare, ne referim la cele patru proiecte de propuneri ca fiind „pachetul legislativ CSB”.
- Pachetul legislativ CSB este propus în conformitate cu Planul de acțiune pentru o politică cuprinzătoare a Uniunii privind prevenirea spălării banilor și finanțării terorismului din 7 mai 2020. AEPD a emis Opinia sa privind planul de acțiune la 23 iulie 2020.
- 3. Obiectivele planului de acțiune, menționate în special în regulament, sunt:
– asigurarea punerii în aplicare eficiente a cadrului UE actual de CSB / CFT;
– înființarea unui manual unic de reglementare al UE privind CSB/ CFT;
– asigurarea supravegherii CSB/ CFT la nivelul UE;
– stabilirea unui mecanism de sprijin și cooperare pentru FlUs;
– aplicarea dispozițiilor de drept penal la nivelul UE și a schimbului de informații;
– întărirea dimensiunii internaționale a cadrului UE CSB/ CFT.
- Pachetul legislativ CSB, care include propunerea de regulament ce încorporează elemente (dispoziții) din Directiva (UE) 2018 / 843, este o inițiativă legislativă ambițioasă care vizează creșterea eficienței luptei împotriva spălării banilor. Acesta își propune să facă acest lucru în special prin centralizarea aplicării, inclusiv noua Autoritate Europeană pentru Combaterea Spălării Banilor și Finanțării Terorismului („AMLA”), o standardizare a obligațiilor pentru entitățile implicate, eficientizarea unei abordari supra-naționale și naționale bazată pe riscuri, precum și stabilirea normelor privind cooperarea dintre autoritățile de supraveghere competente și bazele de date și infrastructura relevante pentru schimbul de informații, în special FIU.net, care urmează să fie găzduite și gestionate de AMLA.
- Pe 21 iulie 2021, Comisia Europeană a solicitat AEPD să emită un aviz cu privire la Propunere, în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725. Aceste comentarii sunt limitate la dispozițiile propunerii, care sunt cele mai relevante din perspectiva protecției datelor.
2 Comentarii generale
- AEPD sprijină obiectivele pachetului legislativ CSB și salută, în special, abordarea bazată pe riscuri care inspiră urmărirea unei lupte cât mai eficiente și cât mai puțin intruzive posibil împotriva spălării banilor și finanțării teroriștilor. Mai mult, așa cum este cazul tuturor inițiativelor legislative care au un impact asupra drepturilor fundamentale la confidențialitate și la protecția datelor cu caracter personal, pachetul legislativ CSB ar trebui să ia în considerare principiul proporționalității. În acest context, AEPD dorește să sublinieze în special următoarele puncte de o importanță deosebită.
3 Comentarii specifice
3.1 Aspecte ale procesării datelor care, în conformitate cu pachetul legislativ CSB, vor fi specificate de standardele tehnice de reglementare (RTS) și de liniile directoare și recomandările care vor fi elaborate de AMLA
- Având în vedere în special propunerea de regulament, AEPD observă că RTS și ghidul, ce urmează să fie elaborate de AMLA și care privesc aspecte ale pachetului legislativ CSB relevante din perspectiva protecției datelor, ar oferi în practică nucleul de reguli standardizate CSB/ CFT.
- Acesta este cazul, în special, al RTS (standard tehnice de reglementare) și al liniilor directoare care urmează să fie elaborate de AMLA în conformitate cu următoarele articole din propunerea de regulament: articolul 15 alineatul (5) privind RTS privind aplicarea diligenței clientului; orientările privind variabilele de risc și factorii de risc în conformitate cu articolul 16 alineatul (3); orientările privind monitorizarea relațiilor de afaceri în conformitate cu articolul 21; RTS cu privire la informațiile necesare pentru efectuarea diligenței față de client în temeiul articolului 22; orientările privind definirea tendințelor, riscurilor și metodelor legate de spălarea banilor și finanțarea terorismului care implică zone geografice din afara uniunii în temeiul articolului 26; orientările privind persoanele expuse politic în temeiul articolului 32 alineatul (3); liniile directoare privind performanța terței părți a diligenței cuvenite a clienților în conformitate cu articolul 41; RTS și orientări privind raportarea tranzacțiilor suspecte în conformitate cu articolul 50 alineatul (3).
În plus, RTS va fi dezvoltat de către AMLA, astfel cum se prevede în propunerea de directivă, ținând seama și de punctele centrale de contact pentru emitenții de monedă electronică, furnizorii de servicii de plată și cripto-active în conformitate cu articolul 5 alineatul (2); stabilirea punctelor de referință și a metodologiei pentru evaluarea și clasificarea profilului de risc al entităților implicate în conformitate cu articolul 31 alineatul (2); definirea indicatorilor pentru clasificarea nivelului de gravitate al încălcărilor și criterii pentru nivelul sancțiunii în temeiul articolului 39 alineatul (7).
- AEPD ia act de faptul că RTS, implementand standardele tehnice, indicatiile și recomandările, precum și ca avizele AMLA sunt reglementate, având în vedere procedura de adoptare, în temeiul articolelor 38-44, secțiunea 7, Instrumente comune, din capitolul II, Sarcini și competențe ale AEPD, de Propunerea de regulament de infiintare a AMLA.
- În conformitate cu articolele 38, „Standardele tehnice de reglementare trebuie sa fie tehnice, sa nu implice decizii strategice sau optiuni de politică, iar conținutul lor va fi delimitat de actele legislative pe care se bazează. În același sens, articolul 42 prevede că „implementarea standardelor tehnice trebuie sa fi tehnice, sa nu implice decizii strategice sau opțiuni de politică, iar conținutul lor trebuie să determine condițiile de aplicare a acestor acte.”
- În ceea ce privește RTS privind informațiile necesare pentru efectuarea diligenței fata de clienți (CDD) în conformitate cu articolul 22 din propunerea de regulament, AEPD consideră că propunerea de regulament ar trebui să identifice deja categoriile de date cu caracter personal care vor fi prelucrate pentru a îndeplini obligațiile CSB/CFT.
- În special, condițiile și limitele pentru prelucrarea categoriilor speciale de date cu caracter personal și a datelor cu caracter personal referitoare la condamnări penale și infracțiuni ar trebui considerate elemente esențiale care trebuie definite în propunerile legislative ale pachetului legislativ CSB, mai degrabă decât în in pachetul RTS.
- Având în vedere procedura de adoptare a ghidului și recomandărilor, AEPD constată că Propunerea de regulament de infiinatare a AMLA prevede la articolul 84 alineatul (1) a doua fraza: „Atunci când se elaborează orientări și recomandări în conformitate cu articolul 43, impactul asupra protecției datelor cu caracter personal, Autoritatea, după ce a fost autorizată de Comisie, consultă Autoritatea Europeană pentru Protecția Datelor infiintata prin Regulamentul (UE) 201811725. De asemenea, Autoritatea poate invita autoritățile naționale pentru protecția datelor în calitate de observatori în procesul de elaborare a acestor date, orientări și recomandări.”; iar în temeiul articolului 77 alineatul (2) prevede: „La elaborarea de orientări și recomandări în conformitate cu art 43, având un impact semnificativ asupra protecției datelor cu caracter personal, Autoritatea cooperează strâns cu Comitetul European pentru Protecția Datelor instituit prin Regulamentul (UE) 2016\679 pentru a evita dublarea, inconsecvențele și incertitudinea juridică în sfera protecției datelor.”
- AEPD salută cerința ca AMLA, stabilită în propunerea de infiintare a AMLA, să consulte și să coopereze cu AEPD și cu EDPB (Comitetul European pentru Protectia Datelor). Cu toate acestea, AEPD ar sugera eliminarea textului de la articolul 84 alineatul (1) a doua frază, „după ce a fost autorizat de către Comisie”, deoarece nu este clar de ce ar trebui menționat un astfel de pas în dispozițiile legislative privind consultările.
3.2 Prelucrarea categoriilor de date speciale și a datelor cu caracter personal referitoare la condamnări penale și infracțiuni
- AEPD consideră că articolul 55 alineatele (1) și (2) din propunerea de regulament și articolul 53 alineatul (1) din Propunerea de directivă se referă la categorii speciale de date cu caracter personal; precum și articolul 55 alineatele (1) și (3) din Propunerea de regulament și articolul 53 alineatele (1) și (2) din Propunere sau directivă, cu privire la datele cu caracter personal referitoare la condamnări și infracțiuni penale, nu sunt suficient de detaliate. să delimiteze cu precizie domeniul de aplicare al prelucrării datelor de către entitățile implicate în măsura în care este necesar și proporțional în scopul prevenirii spălării banilor și finanțării terorismului.
- Pentru a oferi reguli suficient de clare în acest sens, propunerile ar trebui modificate pentru a specifica în special ce tipuri de date (în cadrul categoriei extinse de categorii speciale de date cu caracter personal în conformitate cu articolul 9 din GDPR) ar trebui prelucrate de către entitățile implicate, pentru care activități sau măsuri care urmează să fie luate (de ex. identificare; CDD; transmiterea rapoartelor/ tranzacțiilor suspecte către FlUs etc.) în scopul combaterii spălării banilor sau luptei împotriva finanțării terorismului, ținând cont de necesitatea și principiul proporționalității. În special, AEPD consideră că prelucrarea datelor cu caracter personal legate de orientarea sexuală sau de originea etnică nu ar trebui permisă. Având în vedere prelucrarea datelor cu caracter personal referitoare la condamnări și infracțiuni penale, AEPD consideră că trimiterea la „acuzații” (în plus fata de „investigații”, „proceduri” și „convenții”) la articolul 55 alineatul (3) litera (b) din regulament este vagă și, prin urmare, ar trebui eliminată sau definită cu precizie.
3.3 Registrele cu beneficiarii reali
- AEPD ia act de faptul că Propunerea de directivă ar menține în vigoare obligația statelor membre de a înființa registre cu beneficiary reali ai entităților juridice și ai acordurilor juridice cuprinse în Directiva (UE) 2015/849, astfel cum a fost modificată prin Directiva (UE) 2018/ 843. Secțiunea I a capitolului II din Propunerea de directivă conține dispoziții privind informațiile care trebuie incluse în registrul beneficiarilor reali; despre cum să vă asigurați că aceste informații sunt adecvate, exacte și actualizate; privind interconectarea registrelor beneficiarilor reali (articolul 10); privind accesarea registrelor beneficiarilor reali de către autoritățile competente, organismele de autoreglementare și entitățile implicate (articolul 11); privind regulile specifice de acces la registrele beneficiarilor reali pentru public (articolul 12); privind excepțiile de la regulile de acces (articolul 13).
– Informații care trebuie incluse în registrele beneficiarilor reali
- În Opinia din 4 iulie 2013, AEPD a subliniat necesitatea de a specifica informațiile privind beneficiarii reali care trebuie colectate. Articolul 10 alineatul (1) din propunerea de directivă, care se referă la informațiile enumerate la articolele 44 și 47 din propunerea de regulament, ar stabili informațiile care trebuie cuprinse în registrul proprietarilor reali. AEPD salută această specificație, precum și cerința de la articolul 44 conform căreia informațiile privind beneficiarul real ar trebui să fie adecvate, exacte și actualizate. În același timp, AEPD recomandă clarificarea faptului că lista de informații de la articolul 44 este o listă exhaustivă.
– Accesarea de către autoritățile competente
- În Avizul său 1/2017 17, AEPD a recomandat să se asigure o evaluare adecvată a proporționalității măsurilor de politică propuse în raport cu scopurile urmărite, în special în ceea ce privește aplicarea abordării bazate pe riscuri, accesul la informații privind tranzacțiile efectuate de Flus și extinderea accesului la informațiile privind beneficiarul real autorităților competente și a publicului.
- Având în vedere accesul la registrele beneficiarilor reali de către autoritățile competente, AEPD salută obligația, prevăzută la articolul 11 alineatul (4) din Propunerea de directivă, ca statele membre să notifice Comisiei lista închisă a autorităților competente și a autorităţilor competente. Organismele de reglementare și categoriile de entități implicate cărora li se acordă acces la registre, precum și obligația de a notifica tipul de informații disponibile entităților implicate. Această obligație vizează specificarea și identificarea suplimentară a autorităților și organismelor care pot avea acces la registrele de proprietari beneficiari reali enumerate la articolul 11 alineatul (2), care include „autoritățile fiscale și autoritățile care au funcția de investigare și urmărire a spălării banilor.
- În acest sens, AEPD invită legiuitorul să precizeze că accesul la registrele beneficiarilor reali, al autorităților fiscale, precum și al organismelor de autoreglementare, ar trebui limitat la scopurile luptei împotriva spălării banilor și finanțării terorismului, care este obiectivul pachetului legislativ CSB (a se vedea, în acest sens, Articolul 1 din propunerea de directivă; Articolul 1 din propunerea de regulament).
– Accesul publicului
- Articolul 12 din Propunerea de directivă („Regulile specifice de acces la registrele beneficiarilor reali de catre public include dispoziția, deja inclusă în Directiva (UE) 2015/849, astfel cum a fost modificată prin Directiva (UE) 2018/843, conform careia „orice membru al publicului larg” are acces la registrele beneficiarilor reali.
- AEPD dorește să reitereze faptul că informațiile privind beneficiarul real ar trebui să fie accesibile autorităților competente doar în scopul identificării și prevenirii spălării banilor și finanțării terorismului , care sunt responsabile cu aplicarea legii și entităților implicate atunci când iau măsuri de diligență fata de clienți .
- AEPD reamintește că atât în temeiul Directivei (UE) 2015/849, astfel cum a fost modificată prin Directiva (UE) 2018/843, cât și în conformitate cu pachetul legislativ propus privind combaterea spălării banilor, investigarea și punerea în aplicare a spălării banilor și finanțării terorismului rămân apanajul autorităților publice competente. autorităților, solicitate de entități bine precizate, cărora li se cere să efectueze diligența față de client și să furnizeze informații autorităților competente în conformitate cu legislația.
- AEPD recunoaște că ONG-urile care se ocupa infractiuni și abuzuri financiare, precum și presa și jurnalismul de investigație contribuie de facto la atragerea atenției publicului larg asupra fenomenelor care ar putea fi relevante pentru aplicarea CSB/CFT. Cu toate acestea, AEPD este de părere că accesul la informații despre beneficiarul real motivat de obiective de interes general, altele decât investigarea și punerea în aplicare a spălării banilor și finanțării terorismului, cum ar fi sporirea transparenței, ar trebui mai degrabă considerat ca un drept diferit de a obține informații. Un astfel de acces public ar necesita o evaluare separată a necesității și a proporționalități și ar fi supus unui set separat de norme care să stabilească garanții adecvate. Prin urmare, AEPD recomandă legiuitorului să evalueze necesitatea și proporționalitatea unui astfel de „acces general” și, pe baza acestei evaluări, dacă este cazul, să stabilească un cadru juridic specific în acest sens, distinct de cel legat de acces de către autoritățile competente.
- În schimb, Propunerea de directivă se referă, de exemplu, în contextul excepțiilor de la regulile de acces prevăzute la Articolul 13, atât la accesul entităților obligate în contextul măsurilor de diligență fata de clienți, cat și la accesul publicului.
- Având în vedere acest articol, AEPD recomandă cu tărie adăugarea, printre riscurile care trebuie luate în considerare de statele membre atunci când acordă derogări de acces la informațiile privind proprietarul real, a unei trimiteri exprese la riscurile privind protecția datelor cu caracter personal ale persoanei ale cărei date ar putea fi accesate. AEPD recomandă, de asemenea, eliminarea termenului „excepțional” din articolul 13 prima și a doua propozitie.
- AEPD recomandă, de asemenea, prevederea în pachetul legislativ CSB a unui mecanism pentru un mecanism de raportare cu privire la eficacitatea utilizării registrelor beneficiarilor reali în lupta împotriva spălării banilor și a finanțării terorismului, cu scopul : efectuarii unei analize bazate pe dovezi a proporționalității informațiilor cu caracter personal deținute în registrele beneficiarilor reali și a regulilor de acces în lumina dovezilor colectate în acest sens.
3.4 Accesul și schimbul de informații de către FlUs
- AEPD ia act de faptul că, în conformitate cu articolul 17 alineatul (3) din propunerea de directivă, AMLA ar emite orientări adresate unitatii de informatii financiare (FIU) cu privire la „natura, caracteristicile și obiectivele analizei operaționale și strategice”. În acest sens, reamintim importanța unei consultări timpurii a AEPD în conformitate cu Articolul 57 alineatul (1) litera (g) din Regulamentul (UE) 2018/1725.
- AEPD observă că articolul 18 din propunerea de directivă stabilește norme privind accesul la informații de către FIU. Un astfel de acces ar trebui limitat la ceea ce este strict necesar și funcțional legat de efectuarea analizei operaționale și strategice”, sarcini încredințate FlUs.
- AEPD consideră că „categoriile minime de informații la care trebuie să aibă acces FlUs” în conformitate cu articolul 18 din Propunerea de directivă ridică îngrijorări, deoarece lista de informații care trebuie accesată este destul de extinsă, nu exhaustivă și include „direct sau acces indirect la următoarele informații privind aplicarea legii” în conformitate cu alineatul (1) litera (c):
(i) orice tip de informații sau date care sunt deja deținute de autoritățile competente în contextul prevenirii, detectării, investigației sau urmăririi penale a infracțiunilor.
(ii) orice tip de informații sau date deținute de autoritățile publice sau de entități private în contextul prevenirii, detectării, investigației sau urmăririi penale și care sunt disponibile autorităților competente fără luarea de măsuri coercitive în temeiul legislației naționale.
Informațiile menționate la litera (c) pot include caziere judiciare, informații despre investigații, informații privind înghețarea sau sechestrarea bunurilor sau despre alte măsuri de investigație sau provizorii și informații despre condamnări și confiscări.”
În plus, în conformitate cu Articolul 18 alineatul (2), ultima teză: „În cazul în care informațiile menționate la litera (c) nu sunt stocate în baze de date sau registre, statele membre iau măsurile necesare pentru a se asigura că FlUs poate obține informațiile respective prin alte mijloace.”
- AEPD subliniază faptul că o astfel de putere extinsă de acces ar putea fi în același timp: (i) în conflict cu natura administrativă (spre deosebire de anchetă penală) a FlUs în unele (dacă nu în majoritatea) statelor membre; (ii) nu este în conformitate cu principiul proporționalității.
- Prin urmare, AEPD invită legiuitorul să reevalueze necesitatea și proporționalitatea drepturilor de acces propuse, în special așa cum sunt prevăzute la articolul 18 alineatul (1) litera (c) din propunerea de directivă. În același sens, AEPD recomandă să se precizeze clar categoriile de date cu caracter personal la care FlUs poate avea acces în contextul acestei dispoziții și să ștearga cuvintele „cel puțin” de la punctul (a), referitoare la accesul la „informații financiare”, și la punctul(b), referitoare la „informații administrative ”, din Articolul 18 alineatul (1) din Propunerea de Directivă.
- Având în vedere Articolul 27 din propunerea de directivă, „Consimțământul pentru diseminarea ulterioară a informațiilor schimbate între FlUs”, AEPD recomandă adăugarea la a doua propozitie a alineatului (2) („FIU nu refuză consimțământul pentru o astfel de diseminare decât dacă aceasta ar depăși sfera de aplicare a prevederilor sale CSB/CFT sau ar putea duce la afectarea unei investigații sau, altfel, nu ar fi în conformitate cu principiile fundamentale ale dreptului național al acelui stat membru”), la sfârșit, formularea „și cu Legislația aplicabilă privind protecția datelor”.
3.5 FIU.net și baza centrală de date CSB/CFT
- Având în vedere FlU.net, care urmează să fie găzduit, gestionat, întreținut și dezvoltat de către AMLA în conformitate cu Articolul 37 din Propunerea de regulament de infiintare a AMLA, precum și în conformitate cu Articolul 23 alineatul (1) din Propunerea de directivă , AEPD salută trimiterea expresă, printre sarcinile care intră în responsabilitatea AMLA, în temeiul Articolului 37 alineatul (3), litera (a), de a asigura” […] nivelul necesar de securitate al sistemului, inclusiv punerea în aplicare a măsurilor tehnice și organizatorice adecvate pentru a aborda și a atenua riscurile legate de protecția datelor”.
- Cu toate acestea, AEPD recomandă ca Propunerea de regulament de stabilire a AMLA sau, în alt mod, cel puțin un standard tehnic de punere în aplicare care urmează să fie adoptat de Comisie în conformitate cu Articolul 24 alineatul (3) din Propunerea de directivă, să prevadă în mod clar rolurile tuturor părților interesate implicate (AMLA, FlU) din perspectiva protecției datelor în legătură cu canalul de comunicare FIU.net, deoarece acest lucru are impact asupra cadrului aplicabil de protecție a datelor și asupra modelului de supraveghere. O astfel de calificare în instrumentul legislativ trebuie să reflecte responsabilitățile reale ale actorilor implicați.
- AEPD ia act de referinta, considerentul 51 din Propunerea de directivă, la funcționalitățile FIU.net care permit „FIU să-și coreleze datele cu datele altor FIU într-un mod anonim, cu scopul de a detecta subiecți FIU interesati în alte state member, identificarea veniturilor și fondurilor acestora, asigurând în același timp protecția deplină a datelor cu caracter personal.” În această privință, AEPD reiterează, după cum s-a indicat deja în Opinia1/2017 și în Opinia privind planul de acțiune, că se consideră mai în concordanță cu principiile proporționalității și limitării scopului o configurație juridică a competențelor FIU „bazata mai degrabă pe investigație decât bazata pe inteligență”. Această din urmă abordare ar fi mai asemănătoare cu extragerea datelor decât cu o investigație țintită, având astfel un impact suplimentar asupra protecției datelor. Specificarea în temeiul considerentului 51, care nu este reflectat, de altfel, de o dispoziție corespunzătoare din dispozitivul Propunerii de directivă, pare să se refere într-adevăr la o tehnică de extragere a datelor pentru identificarea subiecților de (doar) potențial interes. Prin urmare, AEPD recomandă ștergerea formularii menționate anterior în considerentul 51 din propunerea de directivă.
- În plus, pentru a evita neînțelegerile cu privire la aplicarea Articolului 24 alineatul (8) din Propunerea de directiva, recomandăm adăugarea unui considerent care să precizeze că „prelucrarea datelor cu caracter personal legate de schimbul de informații între FIU ar trebui sa aiba loc în conformitate cu Regulamentul (UE) 2016\679 ~ Remarcăm că aceeași considerație se aplică și Articolului 45 privind cooperarea CSB/CFT, în legătură cu care recomandăm, de asemenea, adăugarea unui considerent la Propunerea de directivă care să precizeze că „prelucrarea datelor cu caracter personal legate de cooperarea dintre autoritățile competente în sensul prezentei directive ar trebui să aibă loc în conformitate cu Regulamentul (UE) 2016\679.”
- Având în vedere baza de date centrală CSB/CFT, care urmează să fie înființată de AMLA în conformitate cu Articolul 11 din Propunerea de regulament de instituire a AMLA, AEPD recomandă stabilirea unui termen de limitare a stocării în acest articol. Acest lucru este necesar în special având în vedere Articolul 11 alineatul (2) litera (f), care, diferit de alte puncte din Articolul 11 alineatul (2), se referă la date, care trebuie colectate și transmise în baza de date centrală CSB/CFT, care se referă în mod clar la persoane fizice identificate sau identificabile, și anume „rezultate din inspecțiile de supraveghere a dosarelor privind persoanele expuse politic, membrii familiei acestora și asociații acestora”.
3.6 Surse de informații care urmează să fie utilizate de către entitățile implicate pentru due diligence față de client (CDD)
- AEPD recomandă ca pachetul legislativ CSB să conțină specificatia – pentru fiecare obligație CSB/CFT – dacă entitatea obligată ar trebui să colecteze date numai de la client sau și din alte surse (publice/nepublice).
- Entitățile implicate ar trebui să își informeze clienții că prelucrează date colectate din (care) surse externe, precum și dacă externalizează anumite activități de prelucrare în contextul CDD. Pachetul legislativ CSB ar trebui să se refere în mod expres la aceste obligații.
- Ca observație mai largă, AEPD consideră că pachetul legislativ CSB ar trebui să adapteze în continuare procesul CDD in privinta riscurilor. Aceasta înseamnă că, de exemplu, cantitatea și categoriile de date care trebuie colectate, precum și numărul de tipologii de surse/baze de date de consultat, pentru a efectua un CDD în raport cu clienții normali ar trebui să difere (să fie mai limitat) de CDD-ul efectuat pentru Persoane Publice din Politica expuse (reprezentând, de regulă, un risc mai mare de spălare a banilor).
- Mai mult, ar trebui să existe o diferențiere clară între procesul CDD, pe de o parte și procesul Know Your Customer (KYC), pe de altă parte. Acesta din urmă urmărește oferirea de produse și servicii financiare în funcție de profilul clienților, deci necesită informații și consultarea surselor, care sunt diferite de informațiile care urmează a fi prelucrate în scopuri de combatere a spălării banilor și combaterii finanțării terorismului.
- Având în vedere sursele de informare pentru CDD, inclusiv „listele de urmărire”, pachetul legislativ CSB ar trebui să clarifice în special în ce cazuri entitățile implicate ar trebui să recurgă la astfel de surse și liste. În acest sens, AEPD invită legiuitorul să analizeze dacă accesul la listele de supraveghere ar trebui să aibă loc numai în cazul unui risc ridicat de spălare a banilor sau de finanțare a terorismului.
- În plus, un considerent ar putea specifica faptul că entitățile obligate ar trebui să verifice în mod corespunzător informațiile din listele de supraveghere, având în vedere acuratețea și fiabilitatea acestora. Această cerință, care decurge din principiul acurateței protecției datelor în temeiul Articolului 5 alineatul (1) litera (d) din GDPR, este deosebit de relevantă, din cauza riscurilor la adresa drepturilor și libertăților persoanelor în cauză.
- În plus, pentru a încuraja adoptarea de coduri de conduită și certificări care trebuie respectate de către furnizorii de baze de date și liste de supraveghere utilizate în scopuri CSB/CTF, AEPD invită legiuitorul să includă în pachetul legislativ CSB o trimitere la coduri. de conduită conform Articolului 40 GDPR și certificărilor conform Articolului 42 GDPR, care urmează să fie dezvoltate ținând cont de nevoile specifice din acest sector.
3.7 Prelucrarea datelor referitoare la persoanele expuse politic (PEPs)
- AEPD observă că Articolul 2 din Propunerea de regulament conține definiția persoanei expuse politic” (de aici, „PEPs”), făcând referire la punctul (25) la PEPs într-un stat membru (litera (a)); într-o organizație internațională (litera (b)); la nivelul Uniunii (litera (c)); și într-o țară terță (litera (d)). Propunerea de regulament oferă, de asemenea, o definiție a „membrilor de familie”, la punctul (26), și a persoanelor cunoscute ca fiind apropiate”, la punctul 27.
- Articolul 32 alineatul (3) din Propunerea de regulament prevede că AMLA va emite un ghid cu privire la criteriile de identificare a persoanelor care se încadrează în definiția persoanelor cunoscute a fi un asociat apropiat (precum și cu privire la nivelul de risc asociat cu o anumită categorie de persoane expuse politic, membrii familiei acestora sau persoane cunoscute a fi asociați apropiati).
- În această privință, AEPD salută îndrumările din partea AMLA. Cu toate acestea, tot pentru a spori securitatea juridică, ei consideră că aceasta categorie de ‘persoane despre care se știe că sunt asociati apropiati’ ar trebui specificată în Propunerea de regulament, și nu numai prin îndrumările AMLA.
3.8 „Screeningul angajaților”
- AEPD recomandă specificarea categoriilor de angajați care intră sub incidența controlului de integritate” cerut în temeiul articolului 11 din Propunerea de regulament, făcând referire, în formularea sa actuală, la „orice angajat al unei entități implicate încredințat cu sarcini legate de conformitatea entității obligate”.
3.9 Publicarea sancțiunilor și măsurilor administrative
- AEPD observă că Articolul 42 din propunerea de directivă permite autoritatii CSB să adopte, în anumite cazuri, măsuri alternative la publicarea identității și a datelor cu caracter personal ale persoanelor fizice și juridice cărora le impune o sancțiune administrativă, inclusiv să amâne publicarea acestora până în momentul în care toate motivele pentru nepublicare încetează să mai existe (Articolul 42 alineatul (1) litera (a)); să le publice în mod anonim, în conformitate cu legislația națională (Articolul 42 alineatul (1) litera (b)); sau să se abțină de la publicarea acestora, în cazul în care cele două opțiuni menționate mai sus sunt considerate fie insuficiente pentru a garanta lipsa oricărui pericol pentru stabilitatea piețelor financiare, fie atunci când o astfel de publicare nu ar fi proporțională cu clemența sancțiunii impuse (articolul 42 alin. 1)(c)).
- Aceste măsuri alternative pot fi luate în cazurile în care autoritatea competentă, în urma unei evaluări de la caz la caz, apreciază că „publicarea identității persoanelor responsabile menționate la primul paragraf sau a datelor cu caracter personal ale acestor persoane. Este considerată de autoritățile de supraveghere ca fiind disproporționată în urma unei evaluări, de la caz la caz sau în cazul în care publicarea pune în pericol stabilitatea piețelor financiare sau o investigație în curs”. AEPD recomandă includerea, într-un mod mai explicit, printre criteriile de luat în considerare de către autoritatea competentă, a riscurilor pentru protecția datelor cu caracter personal ale persoanelor în cauză.
3.10 Alte sugestii specifice de redactare
- Propunerea de regulament:
AEPD salută referirea la aplicabilitatea GDPR și a legislației privind protecția datelor din considerentele 85, 86 și 90, precum și la articolele 7 și 8 din Carta Drepturilor Fundamentale („Carta”) din considerentul 99. Cu toate acestea, recomandăm reformularea considerentului 90 după cum urmează [cuvintele adăugate sunt îngroșate}: „Drepturile de acces la date ale persoanei vizate sunt aplicabile datelor cu caracter personal prelucrate în scopul prezentului regulament. Cu toate acestea, accesul persoanei vizate la orice informație legată de raportarea unei tranzacții suspecte ar submina grav eficacitatea luptei împotriva spălării banilor și a finanțării terorismului. Prin urmare, pot fi justificate excepții și restricții ale acestui drept în conformitate cu articolul 23 din Regulamentul (UE) 2076/679. Măsura legislativă menționată la articolul 23 alineatul (I) din Regulamentul (UE) 201 6/679 ar trebui să specifice elementele enumerate la articolul 23 alineatul (2) literele (a)-(h). Persoana vizată are dreptul de a solicita ca o autoritate de supraveghere menționată la articolul 57 din Regulamentul (UE) 2016\679 să verifice legalitatea prelucrării datelor și are dreptul la o cale de atac judiciară efectivă împotriva autorității de supraveghere, în conformitate cu articolul 78 din Regulamentul (UE) 20I6/679, precum și dreptul de a solicita o cale de atac judiciară împotriva unui operator sau persoane împuternicite de operator, în conformitate cu articolul 79 din regulamentul respectiv. Autoritatea de supraveghere poate acționa și din oficiu. Fără a aduce atingere restricțiilor privind dreptul de acces, autoritatea de supraveghere ar trebui să poată informa persoana vizată că au avut loc toate verificările necesare de către autoritatea de supraveghere și despre rezultatul în ceea ce privește legalitatea prelucrării în cauză.”
- Propunerea de directivă:
AEPD salută referirea la aplicabilitatea GDPR și a EUDPR din considerentul 85, precum și specificarea, în același considerent, conform căreia în cazuri specifice ar putea fi aplicabilă Directiva (UE) 2016/680. Salutăm, de asemenea, trimiterea la legea privind protecția datelor în considerentele 86 și 87, precum și la articolele 7 și 8 din Cartă în temeiul considerentului 92. Cu toate acestea, subliniem necesitatea de a corecta considerentul 87 în conformitate cu recomandările de redactare prevăzute în prezentul aviz cu privire la considerentul 90 din regulament.
- Propunerea de regulament de infiintare a AMLA:
AEPD salută referirea la aplicabilitatea GDPR și a EUDPR din considerentul 58. Cu toate acestea, recomandăm câteva îmbunătățiri, pentru securitatea juridica, care să fie reflectate în textul legal prevăzut la articolul 77.
- AEPD recomandă reformularea considerentului 58 după cum urmează: „Prelucrarea datelor cu caracter personal pe baza prezentului regulament în scopul prevenirii spălării banilor și a finanțării terorismului ar trebui considerată legală, în special în măsura în care este necesară pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității oficiale conferite Autorității în temeiul Articolului 5 alineatul (1) litera (a) din Regulamentul (UE) 2018\1725 sau al Articolului 6 alineatul (I) litera (e) din regulament 2016/679 al Parlamentului European și al Consiliului, sau atunci când este necesar pentru respectarea unei obligații legale căreia îi este supus operatorul în temeiul Articolului 5(1)(b) din Regulamentul (UE) 2018/1725 sau al Articolului 6( 1)(c) din Regulamentul 2016/679 al Parlamentului European și al Consiliului la elaborarea oricăror instrumente sau la luarea oricăror decizii care ar putea avea un impact asupra protecției datelor cu caracter personal, Autoritatea ar trebui să consulte Autoritatea Europeană pentru Protecția Datelor infiintată de Regulamentul(UE) 2018/1725. Autoritatea ar trebui să adopte norme interne în conformitate cu Articolul 25 din Regulamentul (UE) 2018/1725 care pot restricționa aplicarea drepturilor persoanelor vizate, atunci când astfel de restricții sunt necesare pentru îndeplinirea sarcinilor. „
În plus, sugerăm adăugarea următorului considerent, aliniind astfel Propunerea de regulament de instituire a AMLA la Propunerea de regulament și la Propunerea de directivă: „Se aplică Regulamentul (UE) 2016\679 al Parlamentului European și al Consiliului referitor la prelucrarea datelor cu caracter personal în sensul prezentului regulament. Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului se aplică prelucrării datelor cu caracter personal de către instituțiile și organismele Uniunii în sensul prezentului regulament. „
- Concluzii
Având în vedere cele de mai sus, AEPD:
– salută pachetele legislative privind combaterea spălării banilor care urmăresc să sporească eficacitatea luptei împotriva spălării banilor și a combaterii finanțării terorismului, în special printr-o mai bună armonizare a normelor aplicabile și o supraveghere sporită la nivelul UE (inclusiv înființarea Autorității Europene pentru Combaterea Spălarii Banilor și Finanțarii Terorismului, AMLA);
– salută abordarea legata de riscuri pentru a preveni utilizarea sistemului financiar pentru spălarea banilor, care se află în centrul pachetului legislativ CSB;
Cu toate acestea, pentru a asigura conformitatea cu principiile de protecție a datelor de necesitate și proporționalitate, precum și cu legislația aplicabilă privind protecția datelor Uniunii și a statelor membre, AEPD observă și recomandă în special următoarele:
– pachetul legislativ CSB (în special, Propunerea de Regulament) ar trebui să identifice categoriile de date cu caracter personal care urmează să fie prelucrate de către entitățile implicate să îndeplinească obligațiile CSB/CFT;
– în special, propunerea de regulament ar trebui să ofere indicații clare cu privire la condițiile și limitele de prelucrare a categoriilor speciale de date cu caracter personal și a datelor cu caracter personal referitoare la condamnări și infracțiuni penale;
– în ceea ce privește categoriile speciale de date cu caracter personal, pachetul legislativ CSB ar trebui să specifice, în special, ce tip de date (în cadrul categoriei mai largi de categorii speciale de date cu caracter personal conform articolului 9 din GDPR) ar trebui prelucrate de către entitățile implicate și in ce etapă a procesului, în scopul combaterii spălarii banilor si finanțării terorismului. În acest sens, AEPD consideră că nu ar trebui permisă prelucrarea datelor cu caracter personal legate de orientarea sexuală sau originea etnică;
– în ceea ce privește registrele beneficiarilor reali, AEPD:
– salută specificarea informațiilor privind beneficiarul real care urmează să fie păstrate în registrele beneficiarilor reali. Cu toate acestea, AEPD recomandă să se precizeze că lista de informații de la Articolul 44 din propunerea de regulament este o listă exhaustivă;
– salută obligația statelor membre de a notifica Comisiei lista autorităților competente și a organismelor de autoreglementare și a categoriilor de entități implicate cărora li se acordă acces la registre. Cu toate acestea, AEPD invită legiuitorul să precizeze că accesul la registrele beneficiarilor reali, al autorităților fiscale, precum și al organismelor de autoreglementare, în cazul în care acesta se limitează la scopul luptei împotriva spălării banilor și finanțării terorismului și, prin urmare, este autorizat numai pentru acest scop;
– observă că articolul 12 din Propunerea de directivă cuprinde dispoziții, deja incluse în Directiva (UE) 2015/849, asa cum a fost modificată prin Directiva (UE) 2018/843, conform careia „orice membru al publicului larg” are acces la registrele beneficiarilor reali.
Astfel, AEPD își reiterează poziția exprimată în Opinia AEPD 1/2017 privind un astfel de acces generalizat, și anume că informațiile privind beneficiarul real vor fi accesate – în scopul identificării și prevenirii spălării banilor și finanțării terorismului – numai de autoritățile competente care se află în sarcina de a aplica legea și de către entitățile implicate atunci când iau măsuri de diligență față de client. AEPD observă că accesul la informațiile privind beneficiarul real (de exemplu, de către ONG-uri) ar intra în joc cu un drept, diferit, de a obține și de a furniza informații. Un astfel de acces public, care răspunde unei funcții/scop diferit, ar trebui să facă obiectul unui test diferit de necesitate și proporționalitate și a unui set separat și diferit de reguli. Prin urmare, AEPD recomandă legiuitorului să evalueze necesitatea și proporționalitatea unui astfel de „acces general” și, pe baza acestei evaluări, dacă este cazul, să stabilească un cadru juridic specific în acest sens, distinct de cel legat de accesul autorităților competente;
– în plus, AEPD recomandă cu fermitate adăugarea, printre riscurile care trebuie luate în considerare de catre statele membre atunci când stabilesc criterii de acordare a scutirilor de acces la informațiile privind beneficiarul real, unei trimiteri exprese la riscurile cu privirea la protecția datelor personale ale celor vizati. AEPD recomandă, de asemenea, eliminarea termenului „excepțional” din articolul 13 prima și a doua propozitie;
- în sfârșit, AEPD ar recomanda inserarea unei dispoziții în pachetul legislativ CSB care să stabilească un mecanism de raportare privind eficacitatea utilizării registrelor beneficiarilor reali în lupta împotriva spălării banilor și a finanțării terorismului;
* având în vedere prelucrarea datelor cu caracter personal referitoare la condamnări penale și infracțiuni, trimiterea la „acuzații” (pe lângă „investigații”, „proceduri” și „condamnări”) la articolul 55 alineatul (3) litera (b) din propunere pentru un regulament este vaga și, prin urmare, ar trebui eliminata sau specificata;
* remarcă competențele extinse de acces conferite FlUs în temeiul articolului 18 din propunerea de directivă și, prin urmare, invită legiuitorul să reevalueze necesitatea și proporționalitatea acestor drepturi de acces, în special în ceea ce privește „ informatiile de punerea în aplicare a legii” enumerate la articolul 18 alineatul (1) litera (c). În același sens, AEPD recomandă să se delimiteze în mod clar și exhaustiv categoriile de date cu caracter personal la care FlUs poate avea acces în conformitate cu articolul 18 alineatul (1) litera (a) („informații financiare ”) și articolul 18 alineatul (1) litera (b) („informații administrative”);
* reiterează că o configurație juridică a competențelor și activităților FIUs ca fiind bazate “pe investigații”, mai degrabă decât „ pe informații”, ar fi mai în concordanță cu principiile de protecție a datelor privind proporționalitatea și limitarea scopului și, prin urmare, recomandă eliminarea formulării din considerentul 51 din directivă legat de detectarea „subiecților de interes”;
* având în vedere FlU.net, recomandă ca Propunerea de regulament de infiintare a AMLA, sau cel puțin un standard tehnic de implementare care urmează să fie adoptat de Comisie în conformitate cu articolul 24 alineatul (3) din Propunerea de directivă, să prevadă în mod clar rolurile tuturor părților interesate (AMLA, FlUs) din perspectiva protecției datelor, deoarece acest lucru are impact asupra cadrului aplicabil de protecție a datelor și asupra modelului de supraveghere;
* având în vedere baza de date centrală CSB/CFT, AEPD recomandă specificarea unui termen de limitare a stocării datelor cu caracter personal conținute în aceasta, în special datorită colectării de către FlUs și transmiterii către baza de date centrală CSB/CFT a „rezultatelor din inspecțiile de supraveghere ale FIUs privind persoanele expuse politic, membrii de familie și asociații lor”;
* având în vedere sursele de informații pentru CDD, inclusiv „listele de urmărire”, pachetul legislativ CSB ar trebui să clarifice în special în ce cazuri entitățile implicate ar trebui să recurgă la astfel de liste. În acest sens, AEPD invită legiuitorul să analizeze dacă un astfel de acces ar trebui să aibă loc numai în caz de risc ridicat de spălare a banilor sau finanțare a terorismului. În plus, un considerent ar putea specifica faptul că entitățile implicate ar trebui să verifice în mod corespunzător informațiile din listele de supraveghere, ținând seama în special de fiabilitatea și acuratețea acestora.
* în plus, pentru a încuraja adoptarea de coduri de conduită și certificări care trebuie respectate de către furnizorii de baze de date și liste de supraveghere utilizate în scopuri CSB/CTF, AEPD invită legiuitorul să includă în pachetul legislativ CSB o trimitere la codurile conduita conform articolului 40 GDPR și certificărilor conform articolului 42 GDPR, care urmează să fie dezvoltate ținând cont de nevoile specifice din acest sector;
* Articolul 32 alineatul (3) din Propunerea de regulament prevede că AMLA va emite orientări cu privire la criteriile de identificare a persoanelor care se încadrează în definiția persoanelor cunoscute a fi apropiate [de „persoane expuse politic”]. În această privință, AEPD consideră că aceasta categorie de „persoane despre care se știe ca sunt apropiate” ar trebui specificată în propunerea de regulament în sine, și nu (doar) în ghidul AMLA;
* AEPD recomandă specificarea categoriilor de angajați care intră sub incidența „screening-ului de integritate” cerut în temeiul articolului 11 din propunerea de regulament;
* AEPD recomandă includerea, într-un mod mai explicit, printre criteriile care trebuie luate în considerare de către autoritatea competentă atunci când publică sancțiuni și măsuri administrative, a riscurilor pentru protecția datelor cu caracter personal ale persoanelor în cauză;
* în cele din urmă, AEPD recomandă unele modificări (adăugiri și ștergeri) la formularea articolelor și considerentelor pachetului legislativ CSB care se referă la GDPR și EUDPR.