SMJERNICA FINANCIJSKOG INSPEKTORATA VEZANA UZ ZAŠTITU OSOBNIH PODATAKA

Uvodne odredbe

Ovu Smjernicu donosi Financijski inspektorat Republike Hrvatske na temelju ovlasti iz članka 88. Zakona o sprječavanju pranja novca i financiranja terorizma (Narodne novine, broj 108/17, 39/19 i 151/22, dalje u tekstu Zakon).

 

Svrha i primjenjivost smjernice

Svrha je ove Smjernice dati dodatna pojašnjenja u vezi s obvezama o obradi i čuvanju osobnih podataka  koje obveznici Zakona o sprječavanju pranja novca i financiranja terorizma prikupljaju prilikom provedbe mjera i radnji za sprječavanje pranja novca i financiranja terorizma.

Ova Smjernica izrađena je nakon provedenih konzultacija s Agencijom za zaštitu osobnih podataka (AZOP).

Smjernica je primjenjiva za sve obveznike iz članka 9. stavak 2. Zakona za nadzor kojih je nadležan Financijski inspektorat.

 

Prikupljanje, obrada i čuvanje osobnih podataka

 Prikupljanje i obrada osobnih podataka od strane obveznika u svrhu provedbe mjera i radnji koje se poduzimaju radi sprječavanja i otkrivanja pranja novca i financiranja terorizma obavlja se na temelju i u skladu s odredbama Zakona.

Obrada osobnih podataka na temelju i u skladu s odredbama Zakona o sprječavanju pranja novca i financiranja terorizma smatra se pitanjem od javnog interesa u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (članak 6 st. 1. toč. (e) navedene Uredbe), kako je to i propisano člankom 73. Zakona.

Svaki je obveznik dužan poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnoga gubitka ili uništenja i od nedopuštenoga pristupa, nedopuštene promjene, nedopuštenoga objavljivanja i svake druge zloupotrebe, te obvezati osobe koje su zaposlene u obradi podataka na potpisivanje izjave o povjerljivosti.

Obveznici iz nadležnosti Financijskog inspektorata dužni su podatke, informacije i dokumentaciju prikupljenu primjenom Zakona, na temelju njega donesenih podzakonskih akata te Uredbe (EU) 2015/847 čuvati deset godina nakon prestanka poslovnoga odnosa, obavljanja transakcije iz članka 16. stavka 1. točaka 2., 3. i 4. Zakona, prikupljanja podataka iz članka 16. stavka 2. i 3.  Zakona ili pristupa sefu iz članka 27. Zakona.

Prikupljena dokumentacija mora sadržavati:

  1. dokumentaciju na temelju koje je utvrđen identitet stranke (preslika službenoga osobnog dokumenta, preslika izvoda iz sudskoga ili drugoga registra i dr.)
  2. podatke i dokumentaciju o poduzetim mjerama utvrđivanja stvarnoga vlasnika stranke (može uključivati i preslike osobnih dokumenata)
  3. dokumentaciju o poslovnim odnosima i računima stranke
  4. dokumentaciju o poslovnoj korespondenciji obveznika sa strankom
  5. zapise i evidenciju potrebnu za identifikaciju i praćenje nacionalnih i prekograničnih transakcija
  6. dokumentaciju koja se odnosi na utvrđivanje pozadine i svrhe složenih i neobičnih transakcija te rezultate analize tih transakcija
  7. drugu pripadajuću dokumentaciju dobivenu prilikom provođenja mjera dubinske analize stranke ili provođenja pojedinačnih transakcija uključujući i rezultate provedenih analiza i
  8. ako postoje, informacije dobivene sredstvima elektroničke identifikacije, relevantnim uslugama povjerenja kako je propisano Uredbom (EU) 910/2014 te bilo kojim drugim sigurnim, daljinskim ili elektroničkim postupkom identifikacije koji su regulirala, priznala, odobrila ili prihvatila relevantna nadležna tijela.

Opseg prikupljene dokumentacije o strankama, poslovnim odnosima i transakcijama mora biti dovoljan da omogući rekonstrukciju pojedinačnih poslovnih događaja kako bi se, u slučaju potrebe, nadležnim državnim tijelima pružili dokazi potrebni za kazneni postupak.

Obveznik je dužan čuvati i podatke, te odgovarajuću dokumentaciju o ovlaštenoj osobi i zamjeniku ovlaštene osobe, procjeni rizika stranke, stručnome osposobljavanju i izobrazbi zaposlenika i provođenju unutarnje revizije i to u razdoblju od pet godina.

Sukladno navedenom, svaki je obveznik, kao voditelj obrade osobnih podataka, dužan u svojim aktima i evidencijama koje vodi u skladu i na temelju Zakona o sprječavanju pranja novca i financiranja terorizma, te propisa iz područja zaštite osobnih podataka istaknuti zakonsku osnovu obrade, koju čini važeći Zakon o sprječavanju pranja novca i financiranja terorizma (Narodne novine, broj 108/17, 39/19 i 151/22), a za podatke starijeg datuma prikupljanja, ako nije nastupila obveza brisanja istih zbog proteka rokova čuvanja, zakonska osnova može biti i prethodni Zakon o sprječavanju pranja novca i financiranja terorizma (Narodne novine, broj 87/08 i 25/12).

 

Obveznici su dužni uspostaviti djelotvoran sustav periodičnog pregledavanja rokova čuvanja podataka sadržanih u njihovim evidencijama, koji uključuju u uvođenje mehanizama aktivne i efektivne kontrole proteka propisanih rokova za brisanje ili uništavanje osobnih podataka kako bi se podaci adekvatno uklonili iz evidencija.

***

Pages: 1 2