Ievērot sankcijas vai raizēties par VDAR?
Kur rodas pārpratumi?
Daži Latvijā un Eiropas Savienībā bāzētie uzņēmumi uzskata, ka pašlaik pret Krieviju un Baltkrieviju vērstās sankcijas mūs neskar, jo atrodamies Eiropas Savienībā un Vispārīgā datu aizsardzības regula (VDAR vai GDPR) mūs aizsargās.
Tas liecina par to, ka lielākā daļa cilvēku, kuri ikdienā nestrādā ar nelikumīgi iegūtu līdzekļu legalizācijas novēršanas (AML) likumu, sankciju ievērošanu un VDAR jautājumiem un nesaprot, ka VDAR aizsargā tikai viņu personas datus, bet neatbrīvo viņus, kā uzņēmumu, no pienākuma ievērot sankciju ierobežojumus un pārbaudīt, vai viņi vai kāda saistītā persona ir iekļauta sankciju sarakstā. Īsumā apskatīsim VDAR un ieviestās sankcijas, kā arī iespējamās sekas, kas jāņem vērā, domājot, ka “VDAR mani pasargās” no sankcijām un AML likumiem.
No 2015.gada, AML likuma subjektiem (finanšu iestādēm, apdrošināšanas sniedzējiem, nekustamo īpašumu aģentūrām, juridiskajiem un finanšu konsultantiem u.c.) savās atbilstības programmās ir jāpiemēro datu aizsardzības garantijas. Tomēr neskaidrības rodas, kad organizācijām praktiski jāievieš gan VDAR, gan AML procedūras un jāsaprot, cik lielā mērā VDAR aizsargā personas datus un kad AML likumi ir spēcīgāki par VDAR regulu.
Ja skatāmies uz pašreizējo situāciju, daudziem uzņēmumiem ir grūti izrakt visu dokumentu, nolēmumu un citu aspektu gūzmu, lai pārliecinātos, vai persona vai uzņēmums, kas slēpjas kaut kur aiz organizācijas biezajām sienām, nav iekļauta sankciju sarakstā. Īpaši ņemot vērā nesenos notikumus, visas šīs pārbaudes ir jāveic pēc iespējas ātrāk, bet uzņēmi sastopas ar problēmām, jo nav skaidru vadlīniju, kā atrast, kur atrast, cik dziļi meklēt šīs sankcionētās personas utt. Un diemžēl, VDAR un tās ievērošana sankciju jomā nav "uzdevumu" saraksta augšgalā.
AML kā prioritāte
Raugoties no VDAR perspektīvas, daži varētu domāt, ka lielākā problēma būtu informēt personu par viņa datu izmantošanu un ko darīt, ja šī persona iebilst pret savu datu ievākšanu un apstrādi. Lai gan galvenie datu apstrādes principi, kas balstīti uz VDAR paliek spēkā, mums jāatceras, ka AML likumi būtībā ir prioritāri. Jā, nepieciešamības gadījumā mums ir jāinformē persona, ka izmantojam tās personas datus sankciju pārbaudes nolūkos, taču mums ir arī skaidri jānorāda, ka tai nav tiesību iebilst pret savu datu izmantošanu. Turklāt datu vākšanai ir jābūt saprātīgai un jāpamato mērķi, kādam mēs datus vācam. AML procesi izraisa nepieciešamību ievākt milzīgu datu apjomu, līdz mēs sasniedzam galīgo apstiprinājumu – viss skaidrs, mēs varam turpināt sadarbību.
Kāds ir nākamais solis pēc izpētes pabeigšanas? Sakārtot savāktos datus un atstāt savā uzskaitē tikai tos, kuri apstiprina nepieciešamos AML atbilstības pierādījumus uzraugošajām iestādēm, bet pārējos datus dzēst. Vai, veicot izpēti, mēs varam apkopot visu iespējamo informāciju par personu? Nē. Datu vākšana jāierobežo līdz mērķa sasniegšanai nepieciešamajam apjomam – atbilstības pārbaudei.
Tāpat mēs nevaram aizmirst par datu subjektu tiesībām saistībā ar datu dzēšanu (VDAR 17. pants), veicot sankciju izpēti. To arī nav tik viegli kontrolēt, jo nevar vienkārši sasmalcināt visu informāciju, tiklīdz esat pārliecinājies, ka persona nav iekļauta sankciju sarakstā vai nepārkāpj kādu no AML likumiem. Jums ir pienākums glabāt informāciju piecus gadus, gadījumam ja jums ir jāpierāda, ka esat veicis visu nepieciešamo izpēti vai arī jums par datu neesamību var draudēt naudas sods par regulējuma neievērošanu. Tātad šajā gadījumā abi noteikumi ir pretrunā — jums draud naudas sods par VDAR vai AML pārkāpumiem?
Viss tomēr nav tik melnbalts, un, par laimi, uzņēmēji var izmantot datu apstrādes pamatojumu , ko sauc par “leģitīmajām interesēm”, jo sankciju ievērošana ir uzņēmuma leģitīmā interese un šajā gadījumā ir viegli pierādāma nepieciešamība saglabāt datus. Ja mēs ejam vēl tālāk, VDAR arī nosaka, ka jebkuras juridiskās prasības ir augstākas par tiesībām uz datu dzēšanu (VDAR 17. panta 3. punkta b) apakšpunkts). Bet atkal atcerieties, ka jums ir jāsaglabā tikai tie dati, kas ir tieši saistīti ar jūsu AML pārbaudi.
Galvenais aspekts attiecībā uz uzņēmumiem, uz kuriem neattiecas AML tiesību akti:
Ir daudzi uzņēmumi un organizācijas, kurām saskaņā ar likumu nav jāveic padziļināta pārbaude un jāievēro AML likumi, tomēr viņi to dara, lai pārvaldītu iespējamos riskus saistībā ar biznesa darījumiem un pārbaudītu potenciālos un esošos klientus, lai neradītu viņiem iespējamas turpmākas problēmas nākotnē, tai skaitā, iespējamos naudas sodus.
Pastāvošā un pieaugošā šāda veida uzņēmumu problēma ir persona, kas ir pakļauta klienta identifikācijai, verifikācijai un vispārējām AML pārbaudēm. Visizplatītākā lieta ar ko uzņēmumi, kas nav AML likuma subjekti, saskaras ir pārbaudāmo personu iebildumi par savu datu sniegšanu minētajām pārbaudēm un VDAR izmantošanu kā aizsardzības mehānismu..
Ko darīt, ja persona atsakās sadarboties?
Pirmais, kas jādara, ir jāpaskaidro personai, ka viņa interesēs ir sadarboties, jo pretējā gadījumā darījums var nenotikt vai arī uzņēmums nevarēs tālāk apkalpot klientu. Otrkārt, uzņēmumam, kurš nav likuma subjekts (VDAR 6. pants), ir leģitīmas intereses nodrošināt AML atbilstību un pierādīt valsts iestādēm, ka uzņēmums ir veicis pienācīgu uzticamības pārbaudi.
Tāpēc, pat ja jums ir izdevies veikt pārbaudi un attiecīgā persona pieprasa dzēst visus personas datus, jums ir jādzēš visi dati, izņemot tos, kas tika savākti AML nolūkos. Vienmēr varat atgādināt, ka persona varēs īstenot tiesības uz AML saistītu datu dzēšanu pēc 5 gadu termiņa beigām.
Atcerieties!
100% jūsu un jūsu uzņēmuma atbildība ir
1) pārliecināties, ka dati netiek glabāti vairāk nekā nepieciešams sankciju izpētei un
2) personas datu dzēšana, tiklīdz iestājas noilguma termiņš saskaņā ar AML regulējumā norādīto 5 gadu periodu.
* Lūdzu, ņemiet vērā, ka atsauces uz AML likumā noteiktajām prasībām ir balstītas uz Latvijas tiesību aktu prasībām. Regulējums citās valstīs var būt atšķirīgs.