Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski rekordową karę – ponad 18 milionów złotych. Powodem była nieuzasadniona praktyka masowego skanowania dowodów osobistych klientów oraz potencjalnych klientów. UODO wskazał, że bank nie wykazał celowości i proporcjonalności takiego działania, naruszając tym samym podstawowe zasady RODO.

Choć sprawa dotyczy jednego z największych banków w Polsce, powinna być sygnałem ostrzegawczym dla całego rynku – także dla sektora MŚP, który często nie dysponuje rozbudowanymi działami prawnymi czy compliance.

Dlaczego dane z dowodu osobistego są tak wrażliwe?

Dowód osobisty zawiera pełen zestaw danych identyfikacyjnych, m.in. imię i nazwisko, PESEL, numer dokumentu, serię, datę ważności, a nawet wizerunek. Posiadanie skanu dowodu w niepowołanych rękach otwiera drogę do poważnych nadużyć:

• wyłudzeń kredytów i pożyczek,
• fałszowania tożsamości,
• rejestracji fikcyjnych działalności gospodarczych,
• dostępu do usług na cudze nazwisko.

Dlatego zarówno klienci, jak i przedsiębiorcy muszą być szczególnie ostrożni przy udostępnianiu i przetwarzaniu tego dokumentu.

Kiedy można skanować dowód osobisty zgodnie z prawem?

RODO i przepisy szczególne dopuszczają skanowanie lub kopiowanie dowodu osobistego tylko w ściśle określonych sytuacjach, gdy istnieje wyraźna podstawa prawna. Przykłady:

• Banki i instytucje finansowe – w zakresie wynikającym z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).
• Operatorzy telekomunikacyjni – przy zawieraniu umów na usługi telekomunikacyjne, gdy wymagają tego przepisy.
• Pracodawcy – tylko w szczególnych przypadkach, np. przy zatrudnianiu cudzoziemców, jeśli wymaga tego prawo.
• Notariusze i podmioty rynku kapitałowego – w ramach realizacji obowiązków ustawowych.

W każdym innym przypadku administrator danych powinien ograniczyć się do spisania niezbędnych danych z dokumentu, bez jego kopiowania.

Wnioski dla przedsiębiorców z sektora MŚP

Sprawa ING Banku Śląskiego pokazuje, jak istotne jest:

• weryfikowanie, czy istnieje podstawa prawna do kopiowania dokumentu,
• wdrażanie zasady minimalizacji danych (zbieramy tylko te dane, które są rzeczywiście potrzebne),
• dokumentowanie podstaw prawnych w politykach i procedurach,
• szkolenie pracowników, aby wiedzieli, kiedy wolno, a kiedy nie wolno kopiować dokumentów tożsamości.

Kara 18 mln zł dla dużego banku unaocznia również, że UODO nie bagatelizuje naruszeń w tym obszarze. Dla MŚP konsekwencje finansowe mogłyby być równie dotkliwe – proporcjonalnie do skali działalności.

Wniosek: Wdrożenie RODO w praktyce to nie tylko obowiązek formalny, ale realna ochrona klientów i samego biznesu. Nieuzasadnione kopiowanie dowodów osobistych to ryzyko, na które żadna firma nie powinna sobie pozwolić. Fundacja Entropia i jej eksperci posiadają wieloletnie doświadczenie we wdrażaniu rozwiązań z obszaru przetwarzania danych osobowych (RODO) w sektorze MŚP. Dzięki naszej pomocy wiele organizacji nie musi się martwić, czy ich procesy są zgodne z przepisami oraz czy nie narażają działalności na ryzyko naruszenia ochrony danych osobowych a co za tym idzie kar finansowych nakładanych przez PUODO.

W celu wypracowania indywidualnych rozwiązań dostosowanych do Twojej organizacji, skontaktuj się z Fundacją Entropia. Nie ryzykuj kary. Postaw na zgodność z RODO – audyty, wdrożenia i szkolenia szyte na miarę Twojej firmy.

Szybki kontakt możliwy jest z wykorzystaniem formularza kontaktowego:

Artykuł ING Bank Śląski ukarany za RODO – lekcja dla całego rynku pochodzi z serwisu .

Orange Belgium — dane 850 tysięcy klientów naruszone

21 sierpnia 2025 roku Orange Belgium poinformowało o cyberataku na swoje systemy informatyczne. W jego wyniku nieuprawnione osoby uzyskały dostęp do danych osobowych około 850 000 klientów, takich jak imię i nazwisko, numer telefonu, numer karty SIM, kod PUK oraz dane dotyczące planu taryfowego. Chociaż operator zapewniał, że nie wykradziono „krytycznych” informacji, eksperci zwracają uwagę na realne ryzyko związane z tzw. SIM swap — czyli przeniesieniem numeru na kartę kontrolowaną przez przestępców, co umożliwia przechwycenie kodów weryfikacyjnych stosowanych m.in. w bankowości.

Francuski operator Bouygues Telecom — wylądował pod ostrzałem

Wcześniej, 7 sierpnia 2025 roku, Bouygues Telecom przyznał, że cyberatak skutkował wyciekiem danych ponad 6,4 miliona klientów. Naruszone informacje obejmowały dane umowne, dane kontaktowe, stan cywilny lub dane firmowe, a nawet numery IBAN.

Choć atak nie dotknął numerów kart kredytowych ani haseł, sam dostęp do numerów kont może ułatwić oszustom wyłudzenia lub podszywanie się pod instytucje.

Te zdarzenia stanowią jasny sygnał — sektory takie jak telekomunikacja coraz częściej stają się celem cyberprzestępców. Wyciek danych nawet pozornie niekrytycznych może prowadzić do poważnych konsekwencji dla użytkowników.

Jak działają typowe ataki phishingowe?

Phishing to obecnie najczęściej wykorzystywana metoda pozyskiwania danych od niczego nieświadomych użytkowników. Przestępcy stosują różne formy socjotechniki, aby zmanipulować ofiarę i nakłonić ją do podania poufnych informacji:

1. E-mail podszywający się pod instytucję
   Oszuści wysyłają wiadomości stylizowane na komunikaty banków, operatorów czy urzędów. Wiadomości często zawierają linki do fałszywych stron internetowych, które łudząco przypominają oryginalne serwisy.
2. Fałszywe SMS-y (smishing)
   Popularną techniką są wiadomości SMS podszywające się pod firmy kurierskie, banki czy dostawców usług. Zawierają link do rzekomego śledzenia przesyłki lub potwierdzenia płatności.
3. Połączenia telefoniczne (vishing)
   Przestępcy dzwonią, udając konsultantów banków czy operatorów, twierdząc np., że doszło do nieautoryzowanego logowania. W ten sposób nakłaniają ofiarę do podania danych logowania, haseł czy kodów SMS.
4. Phishing przez media społecznościowe
   Oszuści kontaktują się poprzez komunikatory lub platformy społecznościowe, podszywając się pod znajomych lub firmy. Celem jest uzyskanie danych, przekonanie do kliknięcia w link albo zainstalowania złośliwego oprogramowania.

Phishing bazuje na emocjach — strachu, pośpiechu, ciekawości. Dlatego najlepszą ochroną jest czujność i weryfikacja źródła informacji przed kliknięciem czy udostępnieniem jakichkolwiek danych.

Jak chronić swoje dane? Praktyczne porady dla użytkowników od ekspertów Fundacji Entropia

Zadbaj o swoje dane już dziś — bo w świecie cyfrowym nie ma czasu na później.

Aby zmniejszyć ryzyko wykorzystania Twoich danych przez hakerów, warto stosować kilka podstawowych, ale skutecznych zasad ochrony:

1. Nie udostępniaj haseł — ani nikomu, kto dzwoni, ani online
   Nigdy nie podawaj swojego hasła telefonicznie czy przez e-mail — nawet jeśli rozmówca twierdzi, że jest konsultantem operatora lub banku.
2. Stosuj silne i unikalne hasła
   Używaj długości min. 12 znaków, uwzględniaj wielkie, małe litery, cyfry i symbole. Unikaj haseł typu „hasło123” czy daty urodzin. Unikalne hasło dla każdej usługi minimalizuje szkody w razie wycieku.
3. Włącz weryfikację dwuetapową (2FA)
   To skuteczna bariera — nawet gdy ktoś pozna Twoje hasło, nie zaloguje się bez drugiego składnika, np. kodu SMS lub aplikacji uwierzytelniającej.
4. Bądź czujny przy odbieraniu telefonów
   Oszuści podszywający się pod konsultantów (operatora, banku) często działają pod presją i żądają udostępnienia danych. To typowy przykład socjotechniki — zachowaj spokój, rozłącz się i zadzwoń sam/a pod numer podany na oficjalnej stronie.
5. Nie udostępniaj poufnych danych bez weryfikacji
   Dane takie jak numery kont, hasła, PIN-y, dane do logowania czy numery kart nigdy nie powinny być przekazywane przez telefon lub e-mail, jeżeli nie masz absolutnej pewności co do tożsamości proszącego pracownika.
6. Zwracaj uwagę na nietypowe próby kontaktu — w mailu, SMS-ie, telefonie
   Podejrzane linki, błędy językowe, nieznany nadawca — to sygnały ostrzegawcze. Sprawdzaj dokładnie, zanim klikniesz lub odpowiesz.
7. Załóż zastrzeżenie PESEL i korzystaj z narzędzi zabezpieczeń
   Po wycieku danych warto zastrzec PESEL (np. poprzez mObywatel), co pomaga zapobiec wyłudzeniom kredytu lub pożyczki na Twoje dane osobowe.
8. Regularnie monitoruj swoje konta i ustawienia bezpieczeństwa
   Sprawdzaj alerty, logi logowania i historię transakcji. W razie niepokojącej aktywności reaguj szybko — zmień hasło i skontaktuj się z instytucją.

Rola administratorów danych osobowych i firm

Indywidualna ostrożność użytkowników to jedno, ale ogromna odpowiedzialność spoczywa także na administratorach danych osobowych oraz całych organizacjach.

1. Procedury bezpieczeństwa
   Firmy powinny mieć jasno określone procedury dotyczące ochrony danych osobowych, reakcji na incydenty i zgłaszania naruszeń do organów nadzorczych (zgodnie z RODO). To pozwala minimalizować ryzyko strat i kar.
2. Regularne audyty i testy bezpieczeństwa
   Przeprowadzanie testów penetracyjnych, audytów systemów IT i weryfikacja polityk haseł pomagają wykryć słabe punkty przed hakerami.
3. Budowanie świadomości pracowników
   Nawet najlepiej zabezpieczone systemy nie ochronią danych, jeśli pracownik nieświadomie kliknie w złośliwy link. Dlatego szkolenia z rozpoznawania phishingu, bezpiecznego korzystania z poczty czy procedur weryfikacji rozmówców są absolutnie kluczowe.
4. Szyfrowanie i segmentacja danych
   Dane powinny być przechowywane w formie zaszyfrowanej, a dostęp do nich mieć tylko uprawnione osoby. Segmentacja systemów IT ogranicza skutki potencjalnego wycieku.

Podsumowanie i krótkie przypomnienie jak chronić swoje dane

Poniżej 6 kluczowych zasad, które pomogą zwiększyć swoje bezpieczeństwo:

1. Nie udostępniaj haseł – ani nikomu, kto dzwoni, ani online.
2. Stosuj silne i unikalne hasła – dla każdej usługi osobne.
3. Włącz weryfikację dwuetapową (2FA) – np. za pomocą aplikacji.
4. Bądź czujny przy odbieraniu telefonów – konsultanci nie proszą o hasła czy kody.
5. Sprawdzaj dokładnie SMS-y i e-maile – błędy językowe i nietypowe adresy nadawców to sygnał ostrzegawczy.
6. Zastrzeż PESEL i monitoruj swoje konta – szczególnie po wyciekach danych.

Fundacja Entropia skutecznie wdrożyła te zasady w wielu przedsiębiorstwach MŚP. Dołącz do firm, które nie doświadczają wycieków danych – szybki kontakt możliwy jest za pośrednictwem formularza kontaktowego:

Artykuł Bezpieczeństwo RODO dla firm pochodzi z serwisu .

Co będzie w nowych przepisach?

Regulacja obejmuje swoim zakresem w szczególności warunki objęcia ochroną pracowników oraz innych osób zgłaszających lub publicznie ujawniających informacje o naruszeniach prawa, środki ochrony tych osób i ma na celu skuteczniejsze wykrywanie przypadków naruszeń oraz prowadzenie postępowań wyjaśniających i podejmowanie działań następczych.

Zapisy projektowanej ustawy definiują dwa rodzaje zgłoszenia: zewnętrzne i wewnętrzne. Przez zgłoszenie zewnętrzne należy rozumieć przekazanie informacji o naruszeniu prawa do organów  administracji publicznej w zasadzie przez nieograniczony krąg osób. Natomiast pod pojęciem zgłoszenia wewnętrznego rozumiemy dokonanie zgłoszenia o naruszeniach prawa przez pracownika, który przekazuje informacje o naruszeniu prawa do swojego pracodawcy. Naruszenie prawa zostało zdefiniowane jako działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa dotyczące m.in.: zamówień publicznych, zapobiegania praniu pieniędzy i finansowaniu terroryzmu, ochrony środowiska, ochrony konsumentów, ochrony prywatności i danych osobowych, bezpieczeństwa sieci i systemów teleinformatycznych – łącznie 14 kategorii, z których nie wszystkie będą tyczyły się każdego pracodawcy. Dodatkowo pracodawca może na swoje potrzeby umożliwić zgłaszanie innych naruszeń dotyczących obowiązujących wewnętrznych regulacji, w tym regulaminów czy też kodeksów etycznych. Podmiotem przepisów są osoby fizyczne, które zgłaszają informację o naruszeniu prawa uzyskaną w kontekście związanym z szeroko pojętą pracą – tzw. sygnaliści.

Ochrona sygnalisty

Projektowana ustawa obejmie ochroną osoby dokonujące zgłoszenia lub ujawnienia informacji lub uzasadnionych podejrzeń naruszenia prawa, pracujące w sektorze prywatnym lub publicznym, które uzyskały informacje na temat naruszenia w kontekście związanym z pracą. Przewidziane w ustawie gwarancje i środki prawne będą przysługiwały osobie dokonującej zgłoszenia naruszenia, niezależnie od podstawy i formy świadczenia pracy (m.in. umowa o pracę, umowa cywilnoprawna, prowadzenie działalności gospodarczej przez osobę fizyczną, kontrakt menedżerski, wolontariat, staż i praktyka), w tym także świadczącej pracę na rzecz podmiotów, z którymi pracodawca utrzymuje relacje gospodarcze, jak wykonawcy, podwykonawcy lub dostawcy oraz innym osobom zgłaszającym informacje o naruszeniach w kontekście związanym z pracą, jak akcjonariusze i wspólnicy oraz członkowie organów osoby prawnej. Ochroną będą objęte również osoby dokonujące zgłoszenia, których stosunek pracy ustał lub dopiero ma zostać nawiązany, w przypadku gdy informacje na temat naruszenia uzyskano w trakcie procesu rekrutacji poprzedzającego zawarcie umowy.

Co do zasady – jawne zgłoszenia

Co istotne przepisy co do zasady wykluczają zgłoszenia anonimowe chyba, że regulamin zgłoszeń wewnętrznych, stosowany przez pracodawcę, określający wewnętrzną procedurę zgłaszania naruszeń prawa taki tryb przewiduje – nie jest to więc obowiązek, ale tylko możliwość uwzględnienia przez pracodawcę zgłoszeń anonimowych w procedurze.

Ochrona sygnalisty gwarantowana przez przepisy

Biorąc pod uwagę wcześniej wymienioną zasadę braku anonimowości zgłoszeń projekt przewiduje szeroką ochronę dla zgłaszających, którzy nie mogą być niekorzystnie potraktowani z powodu dokonania zgłoszenia.

Za niekorzystne traktowanie uważa się dość oczywiste działania, jak odmowę nawiązania, wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy, obniżenie wynagrodzenia za pracę, odmowę lub utrudnienie w awansowaniu czy nałożenie lub zastosowanie środka dyscyplinarnego. Ponadto za niekorzystne traktowanie może być uznane działania polegające na nieuzasadnionym skierowaniu na badanie lekarskie, w tym badania psychiatryczne, o ile przepisy odrębne przewidują możliwość skierowania pracownika na takie badanie czy też działanie zmierzające do utrudnienia znalezienia w przyszłości zatrudnienia w danym sektorze lub branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego. Przy czym warto nadmienić, że nie tylko samo wykonanie wymienionych działań może zostać uznane za niekorzystne traktowanie, ale również groźba ich zastosowania, na przykład w sytuacji nakłaniania pracownika do wycofania zgłoszenia lub zmiany jego treści.

Obowiązek ustalenia regulaminu zgłoszeń wewnętrznych

Projektowane przepisy wprowadzają również obowiązek, zgodnie z którym pracodawcy mają zadanie ustalenia regulaminu zgłoszeń wewnętrznych, określającego wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych, zgodną z wymogami określonymi w niniejszym projekcie. Obowiązek ten dotyczy do pracodawców zatrudniających co najmniej 50 osób oraz do wszystkich niezależnie od ilości zatrudnionych, jeżeli prowadzona działalność dotyczy usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska. Dla pozostałych podmiotów utworzenie wewnętrznych kanałów dokonywania zgłoszeń nie będzie obligatoryjne, ale podmioty te będę mogły utworzyć je dobrowolnie, stosując zasady przewidziane w ustawie.

Co powinien zawierać regulamin zgłoszeń wewnętrznych

W regulaminie zgłoszeń wewnętrznych należy umieścić zapisy dotyczące w szczególności sposobu przekazywania zgłoszeń z określeniem, czy wewnętrzna procedura obejmuje przyjmowanie zgłoszeń anonimowych, tryb rozpatrywania zgłoszeń zapewniający niezależność jednostki wewnętrznej, która będzie upoważniona do ich przyjmowania i zobowiązana do rozpatrywania, procedurę rozpatrywania zgłoszeń oraz zrozumiałe i jednoznaczne informacje na temat trybu dokonywania zgłoszeń zewnętrznych do organów publicznych. Pracodawca ma oczywiście obowiązek odpowiedniego dbania o dane osób zgłaszających, w tym uniemożliwienia uzyskania dostępu do informacji objętej zgłoszeniem nieupoważnionym osobom oraz zapewnienia ochrony poufności tożsamości osoby dokonującej zgłoszenia. Pracodawca prowadzi również rejestr zgłoszeń wewnętrznych.

Co najmniej takie zapisy powinny znaleźć się w regulaminie zgłoszeń wewnętrznych. Dodatkowo projekt zezwala na rozszerzenie kręgu osób mających możliwość zgłaszania potencjalnych naruszeń oraz zwiększenie katalogu przedmiotu zgłoszeń o regulaminy i procedury wewnętrzne.

Co grozi za brak regulaminu?

Za brak ustanowienia wewnętrznej procedury whistleblowingowej, podobnie jak za brak ochrony poufności sygnalisty lub utrudnianie zgłoszenia grozić ma kara do 3 lat pozbawienia wolności.

Procedura zgłaszania nadużyć przygotowana przez prawników Fundacji

Eksperci Fundacji Entropia już dawno przygotowali dla Państwa procedurę zgłaszania nadużyć. Nasza procedura zgłaszania nadużyć jest zgodna z projektowanymi przepisami i spełnia nie tylko jej minimalne wymagania, ale również wymagania korporacyjnych kodeksów etycznych i biznesowych w zakresie podmiotów uprawnionych do dokonywania zgłoszeń, trybu ich rozpatrywania i katalogu regulacji, co do których można zgłaszać potencjalne naruszenia. Jako eksperci z dziedziny ochrony danych osobowych zapewniliśmy również, aby nasza procedura gwarantowała pełną ochronę danych osób zgłaszających i zapewniała przejrzyste zasady dla pracowników, pracodawców i kontrahentów.

Szybki kontakt możliwy jest za pośrednictwem formularza kontaktowego:

Artykuł Projekt ustawy o ochronie sygnalistów pochodzi z serwisu .

Biuro rachunkowe AML – nowe obowiązki, nowe procedury

Biura rachunkowe, jako instytucje obowiązane, muszą w szczególności monitorować transakcje zawierane przez swoich klientów i te podejrzane (których okoliczności mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu) zgłaszać do Generalnego Inspektora Informacji Finansowej. Więcej informacji o GIIF można znaleźć tutaj: https://www.gov.pl/web/finanse/generalny-inspektor-informacji-finansowej.

W związku z tym Księgowi powinni wdrożyć odpowiednie procedury AML, które opracowali i przygotowali dla Państwa specjaliści Fundacji Entropia.

Biura rachunkowe, jak wszystkie instytucje obowiązane są kontrolowane przez Generalnego Inspektora Informacji Finansowej w zakresie wypełniania przez nie obowiązków w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Najskuteczniejszą metodą potwierdzającą wywiązywanie się z obowiązków jest posiadanie odpowiedniej dokumentacji, zawierającej dopasowane dla właścicieli pracowników biura rachunkowego procedury, co gwarantuje ustalony, zgodny z przepisami sposób działania.

Obowiązek rozpoznawania i oceny ryzyka prania pieniędzy

Wypełniając obowiązki związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu biura rachunkowe przede wszystkim rozpoznają i oceniają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi zawieranymi z klientami lub z transakcjami okazjonalnymi realizowanymi przez nich. Przez klienta, zgodnie z ustawą AML, rozumiemy osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której biuro rachunkowe świadczy usługi lub dla której wykonuje czynności wchodzące w zakres prowadzonej działalności zawodowej.

Na podstawie identyfikacji i oceny ryzyka biura stosują odpowiednie, opisane we właściwej procedurze, środki bezpieczeństwa finansowego. Zadaniem tych środków jest przede wszystkim uzyskanie informacji na temat ich klientów oraz celu, dla którego korzystają oni z usług i produktów oferowanych przez instytucje obowiązane.

Obowiązek raportowania o transakcjach

Kolejny obowiązek dotyczy przekazywania informacji o tzw. transakcjach ponadprogowych, tj. takich, których równowartość przekracza wartość 15 tys. EUR i które są:

• wpłatą lub dokonaną wypłatą środków pieniężnych (czyli transakcją gotówkową),
• transferem środków pieniężnych (w tym transferem przychodzącym spoza terytorium Rzeczpospolitej Polskiej na rzecz odbiorcy, którego dostawcą usług płatniczych jest instytucja obowiązana), z wyłączeniem pewnych wyjątków wskazanych w ustawie,
• transakcją kupna lub sprzedaży wartości dewizowych,
• czynnością notarialną, określoną w ustawie.

Obowiązek blokowania rachunków i wstrzymania transakcji

Na żądanie Generalnego Inspektora Informacji Finansowej instytucje obowiązane (biura rachunkowe) mają obowiązek zablokowania rachunków i wstrzymania transakcji oraz przekazania lub udostępnienia GIIF posiadanych informacji i dokumentów. Wstrzymywanie transakcji lub blokady rachunku dokonywane jest również na podstawie stosownego postanowienia prokuratora.

W celu przeciwdziałania terroryzmowi i finansowaniu terroryzmu, występuje również po stronie instytucji obowiązanej konieczność stosowania szczególnych środków ograniczających przeciwko osobom i podmiotom wskazanym na listach publikowanych w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw finansów publicznych. W przypadku wystąpienia okoliczności, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, jak również o przypadkach powzięcia uzasadnionego podejrzenia, że określona transakcja lub określone wartości majątkowe mogą mieć związek z jednym z przestępstw biura rachunkowe zawiadamiają Generalnego Inspektora Informacji Finansowej.

Obowiązek identyfikowania beneficjentów rzeczywistych

Biura rachunkowe muszą również identyfikować beneficjentów rzeczywistych firm, które obsługują. Beneficjentem rzeczywistym jest osoba mająca realny wpływ na działalność przedsiębiorcy (klienta biura rachunkowego). Z zapisów ustawy AML wynika, że beneficjentem rzeczywistym może być każda osoba fizyczna sprawująca bezpośrednio lub pośrednio kontrolę nad przedsiębiorcą – poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez przedsiębiorcę, lub każda osoba fizyczna, w imieniu której są nawiązywane stosunki gospodarcze lub jest przeprowadzana transakcja okazjonalna.

Link do tzw. cerbera znajdziecie Państwo tutaj: https://www.podatki.gov.pl/crbr/.

Wdrożenie procedur AML w biurze rachunkowym

Ustawa AML przewiduje również szereg czynności związanych oceną ryzyka i identyfikacji podejrzanych transakcji, które muszą być realizowane przez instytucje obowiązane. Konieczne będzie wdrożenie odpowiednich dokumentów opisujących procedury zgłaszania podejrzanych transakcji oraz postępowania z klientami. Także w tym wypadku przygotowana dla konkretnego biura rachunkowego procedura będzie gwarantowała dołożenie należytej staranności przy wykonywaniu nałożonych ustawą obowiązków.

Zgodnie z ustawą AML należy wyznaczyć pracownika zajmującego kierownicze stanowisko, który będzie odpowiedzialny za zapewnienie zgodności (o dokumentacji compliance pisaliśmy tutaj: https://fundacjaentropia.pl/dokumentacja-compliance/) działalności z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, czyli za realizację obowiązków w zakresie AML (należy mieć na uwadze różne formy prowadzenia działalności przez biura rachunkowe – obowiązek wyznaczenia osób odpowiedzialnych/osoby odpowiedzialnej ciąży również na podmiotach prowadzących jednoosobową działalność gospodarczą). Ponadto w dokumentacji powinny znaleźć się zapisy dotyczące metodyki oceny ryzyka oraz systemu monitorowania w odniesieniu do klientów i ich transakcji. Biuro rachunkowe powinno mieć również zdefiniowane stosowanie określonych środków bezpieczeństwa finansowego dla budzących podejrzenie transakcji, bądź też zachodzi uzasadnione podejrzenie, że transakcja może mieć związek z popełnieniem przestępstwa.

Raportowanie do GIIF

Jednym z najważniejszych punktów dokumentacji jest sposób raportowania do Generalnego Inspektora Informacji Finansowej. Również w tym zakresie specjaliści Fundacji Entropia po analizie profilu klienta wskazują odpowiednie rozwiązania dopasowane do skali i rodzaju działalności biura rachunkowego.

Procedury AML w biurze rachunkowym

W opracowanej przez Fundację Entropia procedurze znajdują się również wymagane zapisy dotyczące zasad kontroli wewnętrznej. Oczywiście zapisy będą dostosowane do potrzeb i wielkości danego biura rachunkowego.

Prowadzenie i przechowywanie dokumentacji potwierdzającej wykonanie obowiązków stanowi realizację zasady przejrzystości, jak również gwarantuje rozliczalność spełnienia przepisów w przypadku ewentualnej kontroli.

Dodatkowo Fundacja Entropia pomoże zorganizować również wymagane przepisami regularne szkolenia w zakresie przeciwdziałania praniu brudnych pieniędzy i finansowaniu terroryzmu.

Podsumowując, realizację nowych obowiązków przez biura rachunkowe można przedstawić jako zamknięty cykl powtarzających się działań. Na działania te składają się rozpoznanie ryzyka (pierwsza ocena ryzyka dokonywana jest przez ekspertów Fundacji Entropia na podstawie informacji uzyskanych od klienta), identyfikacja klienta oraz jego beneficjentów rzeczywistych i prowadzonych przez klienta operacji gospodarczych, stosowanie odpowiednich środków bezpieczeństwa oraz procedur wykrywania i zgłaszania do GIIF naruszeń, a także szkolenia, czyli bieżące podnoszenie wiedzy pracowników instytucji obowiązanej. Należy również pamiętać, że za niedopełnienie obowiązków wynikających z ustawy AML przepisy przewidują możliwość nałożenia na biuro rachunkowe administracyjnej kary finansowej. Należy więc uznać, że obowiązek wdrożenia procedury jest istotnym i dość pilnym obowiązkiem ciążącym na przedsiębiorcy prowadzącym biuro rachunkowe.

Prawnicy fundacji służą pomocą wszystkim zainteresowanym. Kontakt możliwy jest za pośrednictwem poniższego formularza kontaktowego:

Artykuł Biuro rachunkowe AML pochodzi z serwisu .

W związku z szybko postępującą cyfryzacją życia w warunkach pandemii jesteśmy coraz bardziej narażeni na ryzyko utraty danych osobowych. Tylko w ostatnim czasie media informowały o dwóch potężnych wyciekach danych. Pierwszy z nich, którego śmiało nazwać możemy globalnym, dotyczył aż 530 milionów kont użytkowników facebooka, z czego ok. 2 miliony należały do obywateli RP. (zob. https://www.geekweek.pl/news/2021-04-04/dane-530-milionow-uzytkownikow-facebooka-w-tym-2-milionow-z-polski-dostepnie-w-sieci/). W drugim przypadku, do Sieci wyciekły imiona, nazwiska, numery PESEL, adresy mailowe i adresy zatrudnienia ponad 20 tys. przedstawicieli polskich służb, agencji i instytucji państwowych ze strony Rządowego Centrum Bezpieczeństwa (sic!) (zob. https://spidersweb.pl/2021/04/rcb-wyciek-danych-funkcjonariuszy.html).

Gdy poweźmiesz wiadomość, że Twoje dane wyciekły, rozważ podjęcie następujących działań:

1. zażądaj wyjaśnień,
2. wystąp o odszkodowanie lub zadośćuczynienie,
3. zgłoś sprawę na policję i ewentualnie zastrzeż swoje dokumenty,
4. złóż skargę do PUODO.

Prawo do informacji

W pierwszej kolejności, jako osobie, której dane zostały ujawnione, przysługuje Ci prawo do uzyskania od Administratora danych wyjaśnień związanych z incydentem tj.  w szczególności informacji jakie dokładnie dane wyciekły, do kogo te dane trafiły lub do kogo mogły trafić oraz czy wyciek został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO). Uzyskane w ten sposób informacje na temat szczegółów zdarzenia pozwolą Ci ocenić, jakie ewentualnie kroki w celu zminimalizowania zagrożeń dla Twoich interesów lub/i wizerunku jesteś w stanie podjąć w dalszym etapie.

Fundacja radzi…

Zachowaj korespondencję z Administratorem danych, jak również wszelkie komunikaty publiczne jakie uda Ci się znaleźć w związku z wyciekiem danych. Zgromadzony w ten sposób materiał okaże się niezwykle pomocny, bez względu na to, którą metodę działania obierzesz.

W trakcie wymiany zdań z Administratorem, możesz również wystąpić o przyznanie  rekompensaty np. w formie rabatu na usługi. W takim przypadku decyzja ma charakter uznaniowy – pozostaje w gestii Administratora.

Kiedy należy się odszkodowanie za wyciek danych osobowych?

Jeżeli propozycja Administratora co do polubownego rozwiązania sprawy nie jest dla Ciebie zadowalająca, a w wyniku ujawnienia danych osobowych poniosłeś szkodę majątkową lub niemajątkową, możesz ubiegać się o uzyskanie odszkodowania lub zadośćuczynienia na drodze postępowania cywilnego. 

Podstawą prawną takiego roszczenia są przepisy RODO oraz Kodeksu cywilnego o ochronie dóbr osobistych.

W myśl art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (ust. 1). Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (ust. 2). Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (ust. 3).

W razie podjęcia decyzji o wystąpienie na drogę sądową musisz jednak liczyć się z kosztami operacyjnymi (opłata od pozwu, wynagrodzenie pełnomocnika), chyba że ze względu na swą sytuację materialną otrzymasz zwolnienie od kosztów sądowych lub pomoc adwokata z urzędu. Podstawowa opłata dla pozwu o ochronę danych osobowych wynosi 600 zł. Jeśli dodatkowo wnosisz o odszkodowanie, wysokość opłaty będzie uzależniona od wysokości dochodzonej kwoty.

W tym aspekcie możesz także zwrócić się po pomoc do fundacji. Nasi prawnicy posiadają  niezbędną wiedzę i doświadczenie w zakresie prowadzenia spraw z tytułu naruszenia ochrony dóbr osobistych. Kontakt możliwy jest przez formularz:

Nie zwlekaj z zawiadomieniem organów ścigania

W sytuacji kiedy podejrzewasz, że związku z wyciekiem danych określona osoba dopuściła się czynu karalnego, o którym mowa w art. 107 ustawy o ochronie danych osobowych poprzez przetwarzanie danych osobowych przez osobę do tego nieuprawnioną lub przetwarzanie danych, których przetwarzanie było zabronione, możesz zgłosić zawiadomienie o podejrzeniu popełnienia przestępstwa na Policji. 

Pamiętaj, że jeżeli sprawa zakończy się wyrokiem skazującym Sąd może może orzec obowiązek naprawienia w całości, lub w części wyrządzonej przestępstwem szkody lub zadośćuczynienia za doznaną krzywdę.

Jeżeli wyciekły Twoje dane wrażliwe, takie jak numer dowodu osobistego lub innego dokumentu tożsamości, numer PESEL, numer karty bankomatowej – pamiętaj, aby zastrzec je w odpowiedniej instytucji. Usługi takie oferują np. banki, policja, urząd gminy.

Czy wiesz, że…

Istnieje uniwersalny, międzybankowy System Zastrzegania Kart płatniczych? W przypadku kradzieży/utraty/wycieku danych z karty płatniczej (numer karty oraz kod CVV znajdujący się na odwrocie karty) możesz niezwłocznie zastrzec swoją kartę,  pod numerem  (+48) 828 828 828.

Poinformuj o wszystkim Prezesa Urzędu Ochrony Danych Osobowych

Nawet jeśli nie poniosłeś konkretnej straty materialnej lub niematerialnej w związku z wyciekiem danych osobowych do Sieci, możesz złożyć skargę do PUODO (strona urzędu: https://uodo.gov.pl/).

Prawo do wniesienia skargi jako jednego ze środków ochrony prawnej zostało uregulowane w art. 77 RODO. Zgodnie z przepisem art. 77 ust. 1, każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO. W tym przypadku musisz jednak pamiętać, że finansowo nic na tym nie zyskasz, ponieważ PUODO nie ma kompetencji do wydawania decyzji o rekompensacie pieniężnej na rzecz zgłaszającego. Pisaliśmy jednak wyżej, kiedy przysługuje Ci odszkodowanie za wyciek danych.

PUODO może jednakże zobowiązać w swojej decyzji Administratora danych do wykonania określonych czynności związanych z przetwarzaniem danych lub ich zakazać, jak również nałożyć nań dotkliwą karę pieniężną.

Gdzie możesz sprawdzić, czy Twoje dane wyciekły?

Co do zasady w przypadku wycieku danych każdy Administrator ma poinformować osoby, które ucierpiały na skutek takiego zdarzenia. Niestety nie wszyscy Administratorzy postępują rzetelnie i zgodnie z przepisami. Z pomocą przychodzą takie strony jak np. https://haveibeenpwned.com/, gdzie możemy zweryfikować czy nasz numer telefonu lub adres e-mail nie zostały wykradzione. Strona analizuje publicznie dostępne bazy danych i koreluje je z informacjami o wyciekach

Artykuł Jak dostać odszkodowanie za wyciek danych osobowych? pochodzi z serwisu .