Capitolul vii - PROTECŢIA DATELOR ŞI PĂSTRAREA EVIDENŢELOR - Regulamentul 1624/31-mai-2024 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanţării terorismului
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 19 Iunie 2024
CAPITOLUL VII:PROTECŢIA DATELOR ŞI PĂSTRAREA EVIDENŢELOR
Art. 76: Prelucrarea datelor cu caracter personal
(1)În măsura în care acest lucru este strict necesar în scopul prevenirii spălării banilor şi a finanţării terorismului, entităţile obligate pot prelucra categoriile speciale de date cu caracter personal menţionate la articolul 9 alineatul (1) din Regulamentul (UE) 2016/679 şi datele cu caracter personal privind condamnări penale şi infracţiuni menţionate la articolul 10 din regulamentul respectiv, sub rezerva garanţiilor prevăzute la alineatele (2) şi (3) de la prezentul articol.
(2)Entităţile obligate pot să prelucreze datele cu caracter personal care intră sub incidenţa articolului 9 din Regulamentul (UE) 2016/679, în condiţiile în care:
a)acestea îşi informează clienţii sau clienţii potenţiali că astfel de categorii de date pot fi prelucrate în scopul respectării cerinţelor prezentului regulament;
b)datele provin din surse fiabile, sunt corecte şi actualizate;
c)acestea nu iau decizii care ar conduce la rezultate părtinitoare şi discriminatorii pe baza datelor respective;
d)acestea adoptă măsuri care asigură un nivel ridicat de securitate în conformitate cu articolul 32 din Regulamentul (UE) 2016/679, în special în ceea ce priveşte confidenţialitatea.
(3)Entităţile obligate pot să prelucreze datele cu caracter personal care intră sub incidenţa articolului 10 din Regulamentul (UE) 2016/679 dacă îndeplinesc condiţiile prevăzute la alineatul (2) de la prezentul articol şi dacă:
a)aceste date cu caracter personal se referă la spălarea banilor, la infracţiuni premisă în domeniul spălării banilor sau la finanţarea terorismului;
b)entităţile obligate dispun de proceduri care permit, în cadrul prelucrării acestor date, distincţia între acuzaţii, anchete, proceduri şi condamnări, ţinând seama de dreptul fundamental la un proces echitabil, de dreptul la apărare şi de prezumţia de nevinovăţie.
(4)Datele cu caracter personal sunt prelucrate de entităţile obligate în baza prezentului regulament doar în scopul prevenirii spălării banilor şi a finanţării terorismului şi nu sunt prelucrate ulterior într-un mod incompatibil cu acest scop. Se interzice prelucrarea datelor cu caracter personal în baza prezentului regulament în scopuri comerciale.
(5)Entităţile obligate pot adopta decizii care rezultă din procese automatizate, inclusiv crearea de profiluri în sensul definiţiei de la articolul 4 punctul 4 din Regulamentul (UE) 2016/679, sau din procese care implică sisteme de inteligenţă artificială în sensul definiţiei de la articolul 3 punctul 1 din Regulamentul (UE) 2024/xxx al Parlamentului European şi al Consiliului (45), cu condiţia ca:
(45)Regulamentul (UE) 2024/xxx al Parlamentului European şi al Consiliului din xxx de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (nepublicat încă în Jurnalul Oficial).
a)datele prelucrate de astfel de sisteme să se limiteze la datele obţinute în temeiul capitolului III din prezentul regulament;
b)orice decizie de a stabili o relaţie de afaceri cu un client sau de a refuza stabilirea ori menţinerea unei astfel de relaţii sau orice decizie de a efectua o tranzacţie ocazională pentru un client ori de a refuza efectuarea unei astfel de tranzacţii sau orice decizie de a extinde sau de a reduce amploarea măsurilor de precauţie privind clientela aplicate în temeiul articolului 20 din prezentul regulament să facă obiectul unei intervenţii umane semnificative pentru a se asigura corectitudinea şi caracterul adecvat al deciziei respective; şi
c)clientul să poată obţine o explicaţie cu privire la decizia luată de entitatea obligată şi să poată contesta decizia respectivă, mai puţin în legătură cu un raport astfel cum se menţionează la articolul 69 din prezentul regulament.
Art. 77: Păstrarea evidenţelor
(1)Entităţile obligate păstrează următoarele documente şi informaţii:
a)o copie a documentelor şi a informaţiilor obţinute în cadrul aplicării măsurilor de precauţie privind clientela în temeiul capitolului III, inclusiv informaţiile obţinute prin mijloace de identificare electronică;
b)o evidenţă a evaluării efectuate în temeiul articolului 69 alineatul (2), inclusiv informaţiile şi circumstanţele luate în considerare şi rezultatele unei astfel de evaluări, indiferent dacă o astfel de evaluare conduce sau nu la transmiterea unui raport privind o tranzacţie suspectă către FIU, precum şi o copie a raportului privind tranzacţiile suspecte, dacă există;
c)documente justificative şi evidenţe ale tranzacţiilor, constând în documente originale sau copii admise în procedurile judiciare în temeiul dreptului intern aplicabil, necesare pentru identificarea tranzacţiilor;
d)atunci când participă la parteneriate pentru schimbul de informaţii în temeiul capitolului VI, copii ale documentelor şi ale informaţiilor obţinute în cadrul parteneriatelor respective şi evidenţe ale tuturor schimburilor de informaţii.
Entităţile obligate se asigură că documentele, informaţiile şi evidenţele păstrate în temeiul prezentului articol nu sunt ocultate.
(2)Prin derogare de la alineatul (1), entităţile obligate pot decide să înlocuiască păstrarea copiilor informaţiilor cu păstrarea trimiterilor la acele informaţii, cu condiţia ca natura şi metoda de păstrare a acestor informaţii să asigure faptul că entităţile obligate pot furniza imediat autorităţilor competente informaţiile şi că informaţiile nu pot fi modificate sau schimbate.
Entităţile obligate care recurg la derogarea menţionată la primul paragraf definesc în procedurile lor interne elaborate în temeiul articolului 9 categoriile de informaţii pentru care vor păstra o trimitere în locul unei copii sau al unui original, precum şi procedurile de recuperare a informaţiilor, astfel încât acestea să poată fi furnizate autorităţilor competente la cerere.
(3)Informaţiile menţionate la alineatele (1) şi (2) se păstrează pentru o perioadă de cinci ani de la data încetării relaţiei de afaceri sau de la data efectuării tranzacţiei ocazionale ori de la data refuzului de a stabili o relaţie de afaceri sau de a efectua o tranzacţie ocazională. Fără a aduce atingere perioadelor de păstrare a datelor colectate în scopurile altor acte juridice ale Uniunii sau ale dreptului intern în conformitate cu Regulamentul (UE) 2016/679, entităţile obligate şterg datele cu caracter personal la expirarea perioadei de păstrare de cinci ani.
Autorităţile competente pot solicita păstrarea în continuare a informaţiilor menţionate la primul paragraf, de la caz la caz, cu condiţia ca o astfel de păstrare să fie necesar pentru prevenirea, depistarea, investigarea sau urmărirea penală a spălării banilor sau a finanţării terorismului. Respectiva perioadă de păstrare în continuare a informaţiilor nu depăşeşte cinci ani.
(4)În cazul în care, la 10 iulie 2027, într-un stat membru sunt în desfăşurare proceduri judiciare care vizează prevenirea, depistarea, investigarea sau urmărirea penală a unor cazuri presupuse de spălare a banilor sau de finanţare a terorismului şi o entitate obligată deţine informaţii sau documente referitoare la respectivele proceduri în curs, entitatea obligată poate păstra informaţiile sau documentele respective pentru o perioadă de cinci ani de la 10 iulie 2027.
Fără a aduce atingere dispoziţiilor din dreptul penal intern privind mijloacele de probă aplicabile anchetelor penale şi procedurilor judiciare în curs, statele membre pot permite sau solicita păstrarea unor astfel de informaţii sau documente pentru o perioadă suplimentară de cinci ani, în cazul în care a fost stabilită necesitatea şi proporţionalitatea unei astfel de păstrări suplimentare pentru prevenirea, depistarea, investigarea sau urmărirea penală a cazurilor presupuse de spălare a banilor sau de finanţare a terorismului.
Art. 78: Punerea evidenţelor la dispoziţia autorităţilor competente
Entităţile obligate instituie sisteme care să le permită să răspundă în mod complet şi rapid la solicitările FIU sau ale altor autorităţi competente, în conformitate cu dreptul intern, prin care se urmăreşte să se stabilească dacă entităţile obligate au sau au avut în decursul unei perioade de cinci ani anterioare datei solicitării o relaţie de afaceri cu anumite persoane şi care este natura relaţiei respective, prin canale sigure şi într-un mod care să garanteze confidenţialitatea deplină a solicitărilor.