Prawne aspekty przechowywania dokumentacji klienta – GIIF i KNF mówią jasno

Dla pośredników kredytowych – zarówno hipotecznych, jak i konsumenckich – jednym z kluczowych obowiązków regulacyjnych jest prawidłowe przechowywanie dokumentacji klienta. Dotyczy to nie tylko umów, ale również formularzy informacyjnych, zgód, danych osobowych oraz dokumentów związanych z przeciwdziałaniem praniu pieniędzy (AML/CFT). W tym zakresie nadzór sprawują dwie instytucje: KNF i GIIF, a obowiązki są precyzyjnie określone zarówno w ustawach sektorowych, jak i w ustawach horyzontalnych.

Jakie dokumenty należy przechowywać?

Obowiązek dotyczy m.in.:

• formularzy informacyjnych i umów pośrednictwa,
• potwierdzeń przekazania informacji przed umownych (np. formularz ESIS),
• oświadczeń o sytuacji finansowej klienta (w tym analizy zdolności kredytowej),
• dokumentów tożsamości i potwierdzenia tożsamości klienta (KYC),
• zgód marketingowych i dokumentacji RODO,
• dokumentów AML: m.in. wyników oceny ryzyka, weryfikacji beneficjentów rzeczywistych, podejrzeń transakcji nietypowych.

Jak długo trzeba przechowywać dokumentację?

Ustawa AML (art. 49 ust. 1 ustawy z 1 marca 2018 r.):

„Instytucje obowiązane przechowują dokumentację dotyczącą stosowania środków bezpieczeństwa finansowego przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku zakończenia stosunków gospodarczych lub transakcji okazjonalnej”.

Ustawa o kredycie hipotecznym i konsumenckim:

Wymóg przechowywania dokumentacji wynika również z przepisów tych ustaw – w zakresie obowiązków informacyjnych, przejrzystości i należytej staranności – jednak nie wskazują one precyzyjnego okresu przechowywania. W praktyce stosuje się termin przedawnienia roszczeń (6 lat) jako minimalny okres dla dokumentów umownych.

Rozporządzenie RODO (art. 5 ust. 1 lit. e):

Dane osobowe powinny być przechowywane nie dłużej niż jest to konieczne do celów, w których są przetwarzane. Jeśli ich podstawą jest wymóg ustawowy (np. AML, KNF), to obowiązują terminy ustawowe.

Kto odpowiada za przechowywanie?

• Pośrednik – jeśli działa jako niezależny lub prowadzi działalność gospodarczą, odpowiada samodzielnie.
• Agent – dokumentacja musi być przekazywana do pośrednika głównego, który jest podmiotem rejestrowanym.
• W przypadku współpracy z bankiem – część dokumentacji może być archiwizowana przez instytucję nadrzędną, ale pośrednik nadal ponosi odpowiedzialność za kompletność przekazu i retencję lokalnych danych.

Sankcje za brak dokumentacji

Zarówno KNF, jak i GIIF w swoich kontrolach wskazują na przechowywanie dokumentacji jako podstawowy obowiązek dowodowy. Brak dokumentacji może oznaczać:

• karę administracyjną (np. do 1 mln zł w przypadku naruszenia AML),
• zakaz wykonywania czynności agencyjnych (art. 74 ustawy hipotecznej),
• uznanie działania za niezgodne z przepisami konsumenckimi (kontrole UOKiK),
• w skrajnych przypadkach – odpowiedzialność karna za niedopełnienie obowiązku AML lub RODO.

Dobre praktyki dla pośrednika

1. Stwórz wewnętrzną politykę retencji dokumentów – z rozróżnieniem na dane AML, dane RODO i dokumenty umowne.
2. Używaj systemów elektronicznych z zabezpieczeniami – chmura, szyfrowanie, kontrola dostępu.
3. Wyznacz osobę odpowiedzialną za archiwizację – nawet w mikrofirmach.
4. Regularnie weryfikuj kompletność dokumentów – kontrola wewnętrzna raz na kwartał.
5. Zachowaj dowody przekazania informacji klientowi – np. podpisany formularz, e-mail z potwierdzeniem lub logi z systemu CRM.

Podstawa prawna:

• Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2023 poz. 1124),
• Ustawa z dnia 23 marca 2017 r. o kredycie hipotecznym (Dz.U. 2023 poz. 2193),
• Ustawa z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. 2022 poz. 246),
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO),
• Komunikaty GIIF, stanowiska KNF dotyczące zasad dokumentacji AML.