W ocenie GIODO przepisy ustawy z 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu jednoznacznie wskazują, że rejestr transakcji, o których mowa w art. 8 ust. 1 i 3 ustawy jest przechowywany przez pięć lat, licząc od pierwszego dnia roku następującego po roku, w którym transakcje zostały zarejestrowane.

W przypadku likwidacji, połączenia, podziału oraz przekształcenia instytucji obowiązanej do przechowywania rejestrów i dokumentacji stosuje się odpowiednio przepisy art. 76 ustawy z 29 września 1994 r. o rachunkowości. Jednocześnie informacje o transakcjach przeprowadzanych przez instytucje finansowe oraz dokumenty dotyczące transakcji są przechowywane przez pięć lat, licząc od pierwszego dnia roku następującego po roku, w którym dokonano ostatniego zapisu związanego z transakcją.

Zdaniem GIODO, przepisy ustawy nie przewidują możliwości dalszego przetwarzania danych osobowych zawartych w przedmiotowych rejestrach. Artykuł 26 ust. 1 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych stanowi, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
 
Generalny Inspektor Informacji Finansowej zwrócił się więc do wszystkich instytucji finansowych zobowiązanych do gromadzenia informacji o trwałe usunięcie – i dokonywanie tego również w przyszłości – danych osobowych z rejestrów transakcji i dotyczących ich dokumentów, które odnoszą się do okresu dłuższego niż pięć lat, licząc od pierwszego dnia roku następującego po roku, w którym transakcje zostały zarejestrowane.

T.Sz., MF