Datele personale in noua lege privind combaterea spalarii banilor

Legea 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative are niște dispoziții speciale privind prelucrarea datelor personale în art. 22

„

1)      Datele cu caracter personal sunt prelucrate de entităţile raportoare pe baza prezentei legi şi cu respectarea legislaţiei în vigoare privind prelucrarea datelor cu caracter personal doar în scopul prevenirii spălării banilor şi a finanţării terorismului şi nu sunt prelucrate ulterior într-un mod incompatibil cu acest scop. Este interzisă prelucrarea datelor cu caracter personal în alte scopuri, cum ar fi cele comerciale. 

2)      Entităţile raportoare furnizează clienţilor noi, înainte de a stabili o relaţie de afaceri sau de a efectua o tranzacţie ocazională, cel puţin informaţiile prevăzute mai jos, cu excepţia cazului în care persoana este deja informată cu privire la aceste date: 

   a) identitatea operatorului şi, dacă este cazul, a reprezentantului; 

   b) scopul prelucrării căreia îi sunt destinate datele; 

   c) orice alte informaţii suplimentare, cum ar fi: 

   1. destinatarii sau categoriile de destinatari ai datelor; 

   2. dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum şi consecinţele posibile ale evitării răspunsului; 

   3. existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal, în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată. 

3)      Informaţiile prevăzute la alin. (2) includ o informare generală cu privire la obligaţiile legale care le revin entităţilor raportoare în temeiul prezentei legi atunci când prelucrează date cu caracter personal în scopul prevenirii spălării banilor şi a finanţării terorismului. 

4)      Prelucrarea datelor cu caracter personal în contextul alin. (1) este considerată ca fiind necesară în vederea ducerii la îndeplinire a unor măsuri de interes public, în conformitate cu prevederile Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)”.

Problema este că cei care au făcut aceste dispoziții ignoră în mare măsură situația practică. De cele mai multe ori clienții sunt persoane juridice. Acestea nu transmit către entitățile raportoare datele personale ale  lor, ci date personale ale unor persoane implicate (administratori, împuterniciți, beneficiari finali ai fondurilor, etc.).

Deci furnizarea informațiilor de la alineatul al doilea către clientul persoană juridică nu constituie nicidecum o informare a persoanei vizate privind prelucrarea datelor și drepturile pe care le are privind prelucrarea datelor în înțelesul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal.

Mai corect ar fi să interpretăm că această situație intră sub incidența excepției prevăzute de art. 14 alin. 5 lit.c din Regulament, situație în care de fapt nu e nevoie de nicio informare.

Voi ce parere aveti?