
Светът днес е глобален и все по-дигитален. Това отключва както нови начини за осъществяване на бизнес планове, така и някои съпътстващи предизвикателства като осигуряване на поверителността на личните данни и борбата срещу използване на финансовата система за незаконни цели.
Правото играе ключова роля в този процес, опитвайки се да е в крачка с динамиката на тех индустрията, докато същевременно осигурява гаранции за основни права на човека като правото на защита на личните данни и правото на собственост. Развитието на новите обществени отношения във връзка с появата на Интернет, нуждата от засилена защита на поребителите и неизследвания потенциал на блокчейн технологията днес налага по-голям фокус върху поверителността на личните данни и защитата им. Междувременно Интернет и иновативните технологии като блокчейн разкриват нови пътища за подпомагане извършването на сериозни правонарушения и престъпления като пране на пари и финансиране на тероризма.
Като начинаеща или утвърдена тех компания или стартъп, често е възможно да се озовете в позиция, в която сте субект на два самостоятелни правни режима и на произтичащите от тях задължения, в частност правилата за защита на личните данни и мерките срещу изпирането на пари и финансирането на тероризма (“БИП/БФТ” – Борба срещу изпирането на пари и финансирането на тероризма).
Общият регламент на ЕС относно защитата на данните (GDPR) и Директивата на ЕС в областта на борбата срещу изпирането на пари и финансирането на тероризма (“Директивата”), с всички изменения, са законодателни стожери в съответните области и оказват влияние върху законодателствата и на други юрисдикции (включително извън ЕС).
Поначало тези два регулаторни режима преследват различни цели.
Въпреки това, администратор на лични данни, обработващ лични данни и задължен субект по БИП/БФТ (често пъти едно лице е и в трите качества) срещат трудности при ефективното им прилагане на практика и респективно избягване на нежелани проверки и контрол от страна на надзорните органи.
Субектите на данни, когато например са клиенти на доставчик на платежни услуги като Revolut или на доставчик на услуги за обмяна между виртуални валути и фиат (crypto exchange), също се оказват потърпевши от все по-строгите мерки за БИП/БФТ с оглед на правата си за поверителност и защита на личните данни.
Взаимодействието между защитата на личните данни и БИП/БФТ
Затруднен ли е принципът за законосъобразност на обработването?
GDPR установява цялостен правно-регулаторен режим като определя общи принципи за обработване на лични данни, както и правата и задълженията на субектите на данни, администраторите, обработващите лични данни и други участници. При нарушаване на задълженията по GDPR е предвидена процедура за обезщетяване на претърпените вреди като са установени и големи по размер глоби за нарушенията от страна на задължените лица (администратори, обработващи лични данни).
Правото на защита на личните данни е основно право, закрепено в Хартата на основните права на ЕС (чл. 8), която тясно следва Европейската конвенция за правата на човека (ЕКПЧ). Това право обаче не е абсолютно и е обект на законови ограничения.
Намесата в правото на защита на личните данни следва да има своето правно основание. Член 6 GDPR предвижда, че обработването на данни (действия и операции по събиране, съхранение, използване, разкриване, изтриване и т.н.), независимо дали се извършва в ЕС или не, е законосъобразно, когато „обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора“. В тази връзка Директивата определя редица правни задължения за задължените субекти като прилагане на мерки за комплексна проверка на клиентите (най-често идентифициране и проверка на тяхната идентификация) при наличието на определени условия. Това задължение по своята същност е неразривно свързано с оказване на въздействие върху личните данни на клиентите и изисква извършването на различни операции с тях като по този начин се намесва в правото на защита на личните данни.
При прилагането на Директивата, клиентите (субектите на данни) получават уверението на европейския законодател, че техните лични данни ще бъдат обработвани „само за целите на предотвратяването на изпирането на пари и финансирането на тероризма […] и няма да бъдат допълнително обработвани по начин, който е несъвместим с тези цели."
На теория принципът за законосъобразност е осигурен.
А на практика?
Практически проблем се появява още на съвсем начално равнище, а именно че не е отнапред определено какви категории данни се събират и дали на практика е спазен принципът за свеждане на данните до минимум (data minimisation), който гласи, че събираните данни следва да са “подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.”
Друг проблем възниква при практическото прилагане на примата на мерките за БИП/БФТ и дали то е ефективно и съобразено с принципите, осигуряващи защита на личните данни – ограничение на целите, свеждане на данните до минимум, прозрачност на обработването, цялостност и поверителност. Макар и правно обоснован, приматът на БИП/БФТ пред правото на изтриване (право “да бъдеш забравен“) по чл. 17 GDPR, по-специално по отношение на задълженията за запазване на данни съгласно Директивата, поражда известнa несигурност.
Субектът на данни има право на изтриване на свързаните с него лични данни, когато повече не са необходими за целите, за които са били събрани или обработвани по друг начин, при оттегляне на съгласие, върху което се основава обработването, или в други случаи, когато обработването на данните вече не е съвместимо с GDPR. Във връзка с комплексната проверка на клиента, корпоративните субекти и другите задължени лица са длъжни да “получават и разполагат” с лични данни и информация за транзакции, която може и често включва лични данни по смисъла на GDPR, за период от 5 години (съгласно настоящата рамка), подлежащ на удължаване при определени обстоятелства. От практическа гледна точка изглежда, че се открива правен вакуум по отношение на конкретни насоки и ограничения за достъп, съхранение, сигурност и разкриване на така получените и задържани данни, докато трае този срок.
Така въпросът, “Как да се постигне справедлив баланс между правото на личността на защита на личните данни и обществения интерес за борба срещу изпирането на пари и финансирането на тероризма с оглед на ефективни на практика AML/CFT мерки?”, следва да е предмет на засилен контрол от страна на законодателни и правоприлагащи органи.
Новият законодателен пакет на ЕС в областта на борбата срещу изпирането на пари и финансирането на тероризма
Нека се опитаме да потърсим отговора на този въпрос в новата регулаторна рамка на ЕС за БИП/БФТ.
На 20 юли 2021 Европейската комисия представи Пакет от законодателни предложения за укрепване на съществуващата правна рамка за БИП/БФТ. Основна предпоставка за разработване на нова правна рамка са недостатъците при прилагането на съществуващата. В Плана за действие 2020 в областта на БИП/БФТ Комисията посочва шестте направления, в които се състоят предстоящите промени:
- Гарантиране на ефективното прилагане на съществуващата рамка на ЕС за БИП/БФТ;
- Създаване на единна нормативна уредба на ЕС за БИП/БФТ;
- Въвеждане на надзор на БИП/БФТ на равнище на ЕС;
- Създаване на механизъм за подпомагане и сътрудничество за ЗФР (Звена за финансово разузнаване);
- Спазване на разпоредбите на наказателното право на равнището на Съюза и обмен на информация;
- Укрепване на международното измерение на рамката на ЕС за БИП/БФТ.
Цел
С новия законодателен пакет в областта на БИП/БФТ Комисията цели повишаване ефективността на БИП/БФТ, хармонизиране на законодателствата на държавите членки, стандартизиране на задълженията на задължените субекти и централизиране на правоприлагането със създаването на Европейски орган за борба с изпирането на пари и финансирането на тероризма („ОБИП“, “Органа”).
Съдържание
Законодателният пакет съдържа 4 Предложения за:
1) Регламент за създаване на нов европейски орган – ОБИП. Предвижда се да бъде създаден през 2024г. и да започне пълна оперативна дейност през 2026г.;
2) изцяло нов Регламент в областта на мерките за БИП/БФТ (Единен правилник, включващ част от съществуващото законодателство, включително пряко приложими правила в областта на комплексната проверка на клиентите, действителните собственици и рисковете);
3) Директива относно механизмите за предотвратяване на използването на финансовата система за целите на изпирането на пари или финансирането на тероризма и за отмяна на Директива (ЕС) 2015/849 (Шеста директива);
4) Изменение и допълнение на Регламент (ЕС) 2015/847 относно информацията, придружаваща преводите на средства и определени криптоактиви (Предложение за регламент относно криптоактивите).
Защитата на личните данни в новия законодателен пакет за БИП
От интерес в областта на защита на личните данни е разпоредбата от Предложението за Регламент за създаване на ОБИП, въвеждаща разширение на едно от правните основание за обработване на лични данни съгласно GDPR във връзка с целите за предотвратяване на ИП/ФТ, а именно:
обработването на данни е “необходимо за изпълнението на задача, осъществявана в публичен интерес, или при упражняване на официално правомощие, възложено на Органа.”
Органът (ОБИП) има правомощието да приема вътрешни правила, които “могат да ограничат упражняването на правата на субектите на данни, когато такива ограничения са необходими за изпълнението на задачи” на задължените субекти, когато обработват специални категории данни и лични данни, свързани с присъди и престъпления, включително предикатни престъпления (чл. 84 Регламента за създаване на ОБИП).
В тази връзка си заслужава да се спомене Становището на Европейския надзорен орган по защита на данните от септември 2021 относно пакета от законодателни предложения за БИП/БФТ, чиито насоки и препоръки са навременни и адекватни:
- да се идентифицират категориите лични данни, които да се обработват от задължените лица;
- да се ограничи обработването на специалните категории лични данни;
- да се преразгледат обширните правомощия за достъп, предоставени на ЗФР;
- да се установи ясно необходимостта и пропорционалността на общия достъп от „всеки член на широката общественост“ до регистрите на действителните собственици;
- да се изясни в кои случаи задължените субекти трябва да прибягват до т. нар. „списъци за наблюдение“;
- да бъдат определени ясно ролите на Органа и ЗФР от гледна точка на защитата на данните;
- да се включи в законодателния пакет позоваване на кодексите за поведение за защита на данните.
Какво се променя за бизнеса с криптоактиви?
ЕС цели разширяване на изискванията за БИП/БФТ спрямо целия сектор, свързан с криптоактиви.
Предложената законодателна рамка се съсредоточава върху доставчиците на услуги за криптоактиви като разширява списъка на задължените субекти, за да се включи по-широк кръг от доставчици на услуги за криптоактиви, както и нерегулираните платформи за колетивно финансиране (съгласно Регламент (ЕС) 2020/1503). По този начин Предложението за Регламент за БИП/БФТ задължава всички доставчици на услуги за криптоактиви да извършват комплексна проверка на своите клиенти. Освен това, на кредитните институции, финансовите институции и доставчиците на услуги, свързани с криптоактиви, е забранено да предоставят попечителство на анонимни портфейли от криптоактиви.
Лицата (ЛУАИФ), управляващи Алтернативен Инвестиционен Фонд (АИФ)), също попадат в обхвата на предстоящия Регламент за БИП/БФТ.
В своето Становище от декември 2021 г. Европейският икономически и социален комитет предлага операторите на (пазара на) незаменяеми токени (NFTs) да бъдат включени в списъка на задължените субекти.
Предлага се разширяване на приложното поле на Регламента относно информацията, придружаваща преводите на средства, в което да се включат определени криптоактиви. Предложението предвижда задължението на доставчиците на услуги за криптоактиви да събират и осигуряват достъп до данни относно инициаторите и бенефициерите на обработваните от тях преводи на криптоактиви.
В заключение, видно е, че във финансовия сектор ще продължат да преобладават интересите в областта на БИП/БФТ спрямо правата, свързани с поверителността на личните данни. Новите реалности представляват още едно предизвикателство пред всеки съвременен законодател особено по отношение на стандартите за защита на данните и правилата за БИП/БФТ в блокчейн/DLT мрежи (т.нар. “permissionless networks”). Въпреки че анонимността на криптоактивите ги излага на рискове от злоупотреба за престъпни цели и че са необходими действия за борба срещу това, е препоръчително да се вземе предвид самата същност на технологията, която стои в основата им. Блокчейн/DLT е технология със засилен фокус върху поверителността. Това, на което сме свидетели днес, е подлагането на тази технология, фокусирана върху поверителността на субектите й, и на нейните надграждания (DeFi, стабилни криптопари, stablecoins) на все по-строги изисквания. Това може да бъде оправдано стига да се постигне справедлив баланс между регулаторните и законодателни мерки, предприети за общия интерес, а именно за целите на предотвратяване на изпирането на пари и финансирането на тероризма, и едновременно със зачитането на основните права като правото на личен живот и защита на личните данни .
Павла Цветкова
© 2022 | 1Legal.Net Blog Copyright
Всички публикувани материали в блога са защитени с авторски права и никаква част от тях не може да се използва без изричното съгласие на авторите.
Няма публикувани коментари.