Dana 20. srpnja 2021. usvojen je zakonodavni paket koji se sastoji od četiri zakonska prijedloga Europske komisije („Zakonodavni prijedlozi protiv pranja novca“) s ciljem jačanja djelovanja EU-a u borbi protiv pranja novca i suzbijanja financiranja terorizma (dalje u tekstu: SPN/FT).
Predmetni zakonodavni paket, između ostaloga, uključuje Prijedlog Uredbe Europskog parlamenta i Vijeća o sprječavanju korištenja financijskog sustava u svrhe pranja novca ili financiranja terorizma (“Prijedlog Uredbe koji se primjenjuje na privatni sektor”)1 i Prijedlog Uredbe Europskog parlamenta i Vijeća o osnivanju tijela za suzbijanje pranja novca i financiranja terorizma (“Prijedlog Uredbe o osnivanju Tijela”).2
Dana 24. svibnja 2022. svojim Pismom3 Europski odbor za zaštitu podataka (dalje u tekstu: Odbor, EDPB) ponovno skreće pozornost europskim institucijama na važna pitanja zaštite podataka koja se nameću provedbom obveza u vezi s SPN/FT. Obveznici su dužni obrađivati osobne podatke koji omogućuju izvođenje osjetljivih zaključaka o pojedincima i koji mogu dovesti do isključenja pravnih i fizičkih osoba iz prava i/ili usluge (npr. bankarske usluge). Stoga je ključno da zakonodavni prijedlozi za borbu protiv pranja novca budu u skladu sa svim zahtjevima Opće uredbe o zaštiti podataka (dalje u tekstu: Opća uredba, “GDPR”). Nadalje, novi zakonodavni prijedlozi samo djelomično provode preporuke koje je izdao EDPB u 2020. i 2021. godini.
Zaključak Odbora je da bi ovakvi zakonski prijedlozi (u svom trenutnom obliku) za borbu protiv pranja novca imali nesrazmjerno negativan učinak na prava i slobode pojedinaca i da bi doveli do značajne pravne nesigurnosti.
EDPB također naglašava da bi osiguranje bolje dosljednosti između zakonskih prijedloga propisa o sprječavanju pranja novca i načela Opće uredbe o zaštiti podataka, kao što su načelo točnosti ili načelo smanjenja količine podataka, poboljšalo učinkovitost provedbe pravnog okvira za SPN/FT.
1. Savjetovanje EDPB-a u kontekstu izrade i donošenja regulatornih tehničkih standarda, smjernica i preporuka.
EDPB napominje da bi regulatorni tehnički standardi,4 smjernice i preporuke koje treba razviti i usvojiti Tijelo ili Europska komisija, u praksi predstavljali srž standardiziranih pravila o SPN/FT.
U skladu sa zakonskim prijedlozima, ti tehnički standardi će navesti posebice informacije koje treba prikupiti u svrhu obavljanja standardne, pojednostavljene i pojačane dubinske analize korisnika.
Prije svega, EDPB smatra da kategorije osobnih podataka koje će obrađivati obveznici primjene propisa SPN/FT i dodatna pravila koja bi mogla utjecati na njihovu obradu ne bi trebale biti specificirane u regulatornim tehničkim standardima, smjernicama i preporukama, već izravno identificirane u zakonskim prijedlozima propisa o SPN/FT.
Nadalje, u skladu sa svojom obvezom osiguravanja dosljedne primjene GDPR-a, EDPB smatra da je njegovo sudjelovanje u razvoju regulatornih tehničkih standarda, smjernica i preporuka ključno za postizanje zajedničkog razumijevanja između nadležnih nacionalnih tijela za zaštitu podataka (Tijelo i Europska komisija), razjašnjavanje međusobne interakcije pravnog okvira za sprječavanje pranja novca i financiranja terorizma i GDPR-a i time osiguranje pravne sigurnosti za obveznike.
S obzirom na to, EDPB napominje da, iako uvodna izjava 58. Prijedloga Uredbe o uspostavljanju Tijela predviđa da ono „tijesno surađuje” s EDPB-om „pri izradi bilo kakvih instrumenata” ili „donošenju odluka” koje mogu imati „značajan utjecaj na zaštitu osobnih podataka“, zakonski tekst Prijedloga uključuje samo ovu obvezu suradnje u odnosu na smjernice i preporuke, bez pozivanja na regulatorne tehničke standarde.
Prijedlog Uredbe o osnivanju Tijela također predviđa, prema svom članku 84. stavku 1., da ono "može" pozvati "nacionalna tijela za zaštitu podataka" kao "promatrače" prilikom izrade takvih smjernica i preporuka.
EDPB smatra da Tijelo treba blisko surađivati s Odborom pri izradi smjernica ili preporuka, jednako kao i regulatornih tehničkih standarda. Ova bi se suradnja trebala odvijati u svim slučajevima kada smjernice, preporuke i tehnički standardi imaju „značajan utjecaj na zaštitu osobnih podataka“.
S obzirom na potencijalno ozbiljan utjecaj koje regulatorni tehnički standardi mogu imati na zaštitu osobnih podataka, Komisija bi trebala obavezno službeno konzultirati Odbor prije njihovog donošenja, kada imaju značajan utjecaj na zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka.
Nadalje, s obzirom na utjecaj smjernica i preporuka koje je Tijelo ovlašteno donositi, EDPB poziva zakonodavce da procijene mogućnost da Tijelo službeno konzultira Odbor prije donošenja ovih instrumenata, ako oni imaju značajan utjecaj na zaštitu osobnih podataka.
To ne dovodi u pitanje činjenicu da EDPB smatra da se uvjeti i ograničenja za obradu posebnih kategorija osobnih podataka i osobnih podataka koji se odnose na kaznene osude i kaznena djela trebaju smatrati bitnim elementima koji se trebaju definirati u zakonskim prijedlozima, a ne u regulatornim tehničkim standardima.
2. Potreba boljeg preciziranja uvjeta i granica obrade posebnih kategorija podataka i osobnih podataka koji se odnose na kaznene osude
Člankom 55. stavkom 1. Prijedloga Uredbe koji se primjenjuje na privatni sektor propisano je da obveznici mogu obrađivati posebne kategorije osobnih podataka iz članka 9. stavka 1. GDPR-a, u mjeri u kojoj je nužno za potrebe sprječavanja pranja novca i financiranja terorizma.
Citirani članak 55. ne navodi značenje izraza “nužno”.5 Nadalje, nisu definirane vrste osobnih podataka koji spadaju u posebnu kategoriju osobnih podataka koji se mogu obrađivati.
EDPB ističe da stoga članak 55. možda nije u skladu s načelom smanjenja količine podataka iz članka 5. stavka 1. točke (c) GDPR-a. Provedba odredbi članka 55. mogla bi dovesti do toga da obveznici obrađuju podatke koji potpadaju pod područje primjene članka 9. stavka 1. GDPR-a, ali koji nisu nužno relevantni za željenu svrhu, kao što su osobni podaci koji otkrivaju članstvo u sindikatu, podaci o zdravlju, obrada genetskih podataka, biometrijski podaci u svrhu jedinstvene identifikacije fizičke osobe, te podatke koji se odnose na spolni život ili seksualnu orijentaciju fizičke osobe.
Stoga EDPB poziva zakonodavce da razmisle o relevantnosti obrade svake posebne kategorije osobnih podataka i da, nakon takve procjene, izričito definiraju prema članku 55. posebne kategorije podataka koje bi mogle biti strogo potrebne odnosno nužne u svrhu SPN/FT.
Nadalje, Odbor podsjeća da članak 9. GDPR-a utvrđuje posebna pravila u vezi s obradom posebnih kategorija osobnih podataka prema kojima je moguće izuzeće od opće zabrane obrade posebnih kategorija osobnih podataka kada je obrada potrebna iz razloga značajnog javnog interesa, na temelju prava Unije ili države članice. Takav zakon koji dopušta obradu posebnih kategorija podataka mora biti „razmjeran željenom cilju, te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika”.
Stajalište Europskog odbora za zaštitu podataka je da posebne mjere za zaštitu temeljnih prava i interesa ispitanika predviđene sadašnjim nacrtom članka 55. nisu dovoljne. Odbor smatra da bi predmetni članak trebao odrediti specifičnu svrhu (sprječavanje pranja novca ili financiranja terorizma) za koju će se vjerojatno obraditi svaka kategorija osobnih podataka iz članka 9. Opće uredbe o zaštiti podataka.
Štoviše, posebne mjere (identifikacija, detaljna analiza korisnika, izvještavanje FOJ-a) za koje se te kategorije osobnih podataka mogu obraditi također bi trebale biti identificirane u zakonskim prijedlozima za borbu protiv pranja novca.
Kako bi se izbjeglo da se odluke donose na temelju diskriminirajućih čimbenika, također treba navesti da se procjena obveznika ne temelji samo na obradi posebnih kategorija osobnih podataka.
Nadalje, članak 55. trebao bi zahtijevati od obveznika primjene usvajanje najsuvremenijih sigurnosnih mjera, kao što su ograničenja pristupa, prikrivanje, šifriranje, pseudonimizacija ili odvajanje.
Druge zaštitne mjere koje Odbor preporučuje mogle bi uključivati primjenu specifičnih tehnika minimiziranja podataka, osposobljavanje osoblja za rukovanje posebnim kategorijama osobnih podataka, kao i posebne odredbe o transparentnosti i odgovornosti za rukovanje posebnim kategorijama osobnih podataka.
2.2. Obrada osobnih podataka koji se odnose na kaznene presude i kaznena djela
Člankom 55. stavkom 3. točkom (b) Prijedloga Uredbe koja se primjenjuje na privatni sektor propisano je da obveznici mogu obrađivati ne samo podatke koji se odnose na kaznene osude već i „navode“.
EDPB smatra da obrada takvih podataka predstavlja visoku razinu rizika, s obzirom na to da pojam “navodi” nije definiran i da nisu precizno navedeni izvori iz kojih se mogu prikupljati informacije o navodima. Osim toga, EDPB napominje da bi utjecaj na dotičnu osobu mogao biti značajan (npr. odbijanje banke da stupi u komercijalni odnos s osobom na koju se navod odnosi). Stoga bi pojam "navod" iz citiranog članka trebao biti ili jasno definiran ili brisan.
EDPB također podsjeća da članak 10. Opće uredbe utvrđuje posebna pravila u vezi s obradom osobnih podataka vezanih uz kaznene presude i kaznena djela. Obrada takvih podataka može se provesti kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanika. Sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti.
U tom smislu, EDPB napominje da članak 55. stavak 3. točka b) predviđa, kao posebnu zaštitnu mjeru, da obveznici primjene provode postupke koji omogućuju, prilikom obrade takvih podataka, da naprave razliku između optužbi, istraga, postupaka i osuda, uzimajući u obzir temeljno pravo na pravično suđenje, pravo na obranu i pretpostavku nevinosti.
Unatoč tome, EDPB smatra da zaštitne mjere za prava i slobode ispitanika iz članka 55. jednostavno nisu dovoljne i stoga se zalaže za uvođenje dodatnih zaštitnih mjera. Konkretna preporuka u tom smislu je da članak 55. precizira da optužbe ili sudski postupci ne bi trebali imati isti učinak na procjenu rizika osobe kao kaznena osuda.
3. Potreba za dodatnim odredbama u odnosu na izvore informacija i posebnim pravilima za obradu osobnih podataka od strane pružatelja tzv. lista za praćenje
Prema članku 55. stavku 2. točki (b) Prijedloga Uredbe koji se primjenjuje na privatni sektor, obveznici mogu obraditi posebne kategorije podataka obuhvaćenih člankom 9. GDPR-a „pod uvjetom da podaci potječu iz pouzdanih izvora, te da su točni i ažurirani.“
EDPB smatra da bi se obveza korištenja pouzdanih, točnih i ažuriranih izvora trebala proširiti na svaku informaciju koju obveznici obrađuju u svrhu SPN/FT.
Štoviše, s obzirom na to da bi obrada netočnih i irelevantnih podataka rezultirala kršenjem načela iz članaka 5. (1)(c) i 5. (1)(d) GDPR-a, kako bi se osigurala usklađenost s ovim načelima "smanjenja količine podataka" i "točnosti" , kao i s načelom "pouzdanosti" navedenim u članku 5. stavku 2. GDPR, EDPB preporučuje dodavanje posebnih zaštitnih mjera u vezi s izvorima koje će koristiti obveznici. Treba postojati izričito upućivanje na obvezu obveznika da koriste samo točne i pouzdane izvore (kao što je rečeno, za svaku obradu osobnih podataka), te da se doda posebna obveza obveznika da dokumentiraju procjenu pouzdanosti i točnosti svakog korištenog izvora informacija.
Nadalje, velika većina obveznika trenutno koristi pružatelje usluga6 (pružatelji tzv. “lista za praćenje”) u kontekstu obavljanja svojih aktivnosti u skladu sa zahtjevima propisa o SPN/FT. EDPB uvažava potrebu da se obveznici oslanjaju na ovu vrstu usluga kako bi ispunili svoje obveze. Pružatelji lista za praćenje obveznicima nude lakši i brži pristup informacijama.
Međutim, obrada osobnih podataka koju obavljaju ti "popisi za praćenje" postavlja važna pitanja zaštite podataka. Pružatelji ovih „popisa za praćenje” djeluju zapravo kao voditelji obrade, kako je taj pojam definiran u članku 4. stavku 7. Opće uredbe o zaštiti podataka.
Oni obrađuju posebne kategorije osobnih podataka i osobnih podataka koji se odnose na kaznene presude i kaznena djela, čija obrada mora biti u skladu s posebnim pravilima iz članaka 9. i 10. GDPR-a. Štoviše, pravna osnova (članak 6. GDPR-a) na temelju koje ti davatelji mogu obrađivati osobne podatke nije jasna, a s tim u vezi postavlja se pitanje u vezi primjene načela smanjenja količine podataka i načela točnosti iz članka 5. stavka 1. (c) i (d) GDPR-a.
U svjetlu rizika za temeljna prava i slobode ispitanika i potrebe za pružanjem pravne sigurnosti tim pružateljima i obveznicima, Europski odbor za zaštitu podataka smatra da bi posebna pravila mogla biti uključena u zakonske prijedloge ili putem posebne zakonodavne inicijative.
Ova posebna pravila moraju biti u skladu sa zahtjevima GDPR-a i trebala bi dopustiti, ako je potrebno, obradu posebnih kategorija podataka i osobnih podataka koji se odnose na kaznene presude i kaznena djela, pod strogim uvjetima definiranim u člancima 9. i 10. Opće uredbe.
Treba navesti prirodu osobnih podataka koje pružatelji tih usluga mogu obraditi u skladu s načelom smanjenja količine podataka (članak 5. stavak 1. točka (c) Opće uredbe). Također treba uspostaviti snažne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.
U slučaju da takva pravila nisu predviđena, nacionalna nadzorna tijela imaju zadatak provoditi propise o zaštiti podataka u slučaju kršenja od strane pružatelja i obveznika, posebice u vezi s obradom posebnih kategorija osobnih podataka i osobnih podataka koji se odnose na kaznene presude i kaznena djela.
Konačno, u slučaju kada bi se za te pružatelje usluga osigurala posebna pravila, EDPB poziva zakonodavca da u zakonske prijedloge za borbu protiv pranja novca uključi svakako upućivanje na kodekse ponašanja (prema članku 40. GDPR-a) i na certificiranje (prema članku 42. GDPR-a), koje treba razviti uzimajući u obzir specifičnosti ovog sektora.
Tihana Kozina Barišić
____________________________________________
^ 1 https://eur-lex.europa.eu/resource.html?uri=cellar:0a4db7d6-eace-11eb-93a8-01aa75ed71a1.0006.02/DOC_1&format=PDF
^ 2 https://eur-lex.europa.eu/resource.html?uri=cellar:ce0c29bb-ead1-11eb-93a8-01aa75ed71a1.0012.02/DOC_1&format=PDF
^ 3 https://edpb.europa.eu/system/files/2022-05/edpb_letter_out2022-0030_aml_cft_proposal_council_en.pdf
^ 4 Članak 38. Prijedloga Uredbe o osnivanju Tijela.
^ 5 Engleska verzija predmetnog propisa sadrži sintagmu „strictly necessary“ koja je u hrvatskoj verziji prevedena kao nužno (op. a.).
^ 6 Vidjeti npr. https://sumsub.com/knowledgebase/global-watchlist-screening/ (pristup 29. svi. 2022.)
