Sanction screening a RODO — jak pogodzić weryfikację z ochroną danych osobowych

Stan prawny na dzień: 2026-05-20.

Masz obowiązek sprawdzać kontrahentów i klientów wobec list sankcyjnych UE — ale jednocześnie słyszysz, że nie możesz tak po prostu „grzebać w cudzych danych". To częsta obawa właścicieli firm spoza sektora finansowego. Dobra wiadomość: te dwa obowiązki — sankcyjny i ochrona danych osobowych — nie stoją w sprzeczności. Rozporządzenie o Ochronie Danych Osobowych (RODO) wprost przewiduje sytuację, w której przetwarzasz dane, bo wymaga tego prawo.

TL;DR

• Sanction screening jest przetwarzaniem danych osobowych, ale ma wyraźną podstawę prawną w RODO — art. 6 ust. 1 lit. c (obowiązek prawny administratora).
• Podstawą obowiązku screeningu są rozporządzenia UE bezpośrednio obowiązujące w Polsce, m.in. Rozporządzenie Rady (UE) nr 269/2014¹ i nr 833/2014² — nie potrzebujesz zgody osoby weryfikowanej.
• Zbierasz tylko te dane, które są niezbędne do identyfikacji — zasada minimalizacji.
• Masz obowiązek informacyjny, ale z wyjątkami — gdy informowanie podważałoby cel przetwarzania.
• Wyniki weryfikacji przechowujesz tak długo, jak wymaga tego prawo lub uzasadniony interes — z zasady nie krócej niż przez czas trwania relacji biznesowej.
• Rozwiązanie on-premise sprawia, że dane nie opuszczają Twojej infrastruktury — to prostsze do wykazania zgodności z RODO.

Czy sanction screening to przetwarzanie danych osobowych?

Tak — bez wyjątków. Gdy wpisujesz imię, nazwisko lub numer identyfikacyjny kontrahenta czy klienta do systemu weryfikującego listy sankcyjne, przetwarzasz dane osobowe w rozumieniu RODO. Dzieje się to nawet wtedy, gdy robisz to raz, jednorazowo, przed podpisaniem umowy.

RODO definiuje przetwarzanie szeroko: to każda operacja wykonywana na danych osobowych — zbieranie, przechowywanie, przeglądanie, porównywanie. Sprawdzenie, czy Jan Kowalski widnieje na Skonsolidowanej Liście UE³ lub liście MSWiA⁴, spełnia tę definicję. Nie ma tu znaczenia, że „tylko porównujesz" — to wciąż przetwarzanie.

Wiele firm z tego powodu odkłada wdrożenie screeningu, obawiając się, że naruszą RODO. To błąd w drugą stronę. Brak weryfikacji naraża Cię na odpowiedzialność z tytułu rozporządzeń sankcyjnych UE — a kara administracyjna za naruszenie ich postanowień wynosi do 20 000 000 zł⁵ (nakłada ją Szef Krajowej Administracji Skarbowej⁶).

Podstawa prawna przetwarzania — obowiązek prawny administratora

RODO nie zakazuje przetwarzania danych — wymaga jedynie, żebyś miał ku temu podstawę prawną. W przypadku sanction screeningu tą podstawą jest art. 6 ust. 1 lit. c RODO: przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Skąd pochodzi ten obowiązek prawny? Bezpośrednio z rozporządzeń Rady Unii Europejskiej. Rozporządzenia UE obowiązują wprost w każdym państwie członkowskim — bez potrzeby osobnej ustawy krajowej wdrażającej ich treść⁷. Rozporządzenie 269/2014¹ i Rozporządzenie 833/2014² nakładają na każdy podmiot — w tym firmy niefinansowe — zakaz realizowania transakcji z osobami i podmiotami objętymi sankcjami. Żeby ten zakaz przestrzegać, musisz weryfikować. Żeby weryfikować, musisz przetwarzać dane.

Podobnie działa ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835)⁸ — to polska regulacja uzupełniająca unijny reżim sankcyjny.

Ważny wniosek praktyczny: nie musisz prosić kontrahenta o zgodę na przetwarzanie jego danych do celów screeningu. Zgoda (art. 6 ust. 1 lit. a RODO) jest dobrowolna i może być odwołana — a screening musi być możliwy niezależnie od tego, czy kontrahent „chce" być sprawdzony. Podstawa lit. c eliminuje ten problem: masz obowiązek prawny, więc masz prawo przetwarzać.

Warto też wiedzieć, że rozporządzenie 833/2014 obejmuje nie tylko osoby fizyczne z listy, ale też podmioty, w których osoba z listy posiada ponad 50% udziałów lub sprawuje nad nimi kontrolę⁹. Weryfikacja udziałowców to przetwarzanie danych dodatkowych osób — i ta sama podstawa (art. 6 ust. 1 lit. c) ją pokrywa.

Zasada minimalizacji danych w screeningu

Podstawa prawna pozwala przetwarzać dane — ale nie daje Ci prawa zbierać wszystkiego, co możesz zebrać. RODO nakazuje ograniczyć zakres przetwarzanych danych do tego, co niezbędne dla osiągnięcia celu. W przypadku screeningu sankcyjnego cel jest konkretny: sprawdzić, czy dana osoba lub podmiot widnieje na listach sankcyjnych.

Co to oznacza w praktyce? Do weryfikacji potrzebujesz identyfikatorów wystarczających do jednoznacznego rozpoznania podmiotu:

• Osoby fizyczne: imię, nazwisko, data urodzenia, opcjonalnie kraj zamieszkania lub narodowość.
• Osoby prawne: pełna nazwa firmy, kraj siedziby, numer identyfikacyjny (NIP, KRS lub odpowiednik zagraniczny).

Nie zbierasz historii zakupów kontrahenta, jego danych zdrowotnych ani czegokolwiek, co nie jest potrzebne do weryfikacji tożsamości. Minimalizacja danych to nie tylko obowiązek — to też uproszczenie procesu. Im mniej danych przechowujesz, tym mniejsza powierzchnia potencjalnych problemów z bezpieczeństwem.

W praktyce dobry system screeningu sankcyjnego sam wymusza minimalizację: przyjmuje określone pola identyfikacyjne, porównuje z listą i zwraca wynik. Nie rejestruje danych, których nie potrzebuje.

Obowiązek informacyjny wobec kontrahentów i klientów

RODO nakłada na administratora obowiązek informowania osób, których dane przetwarza — w tym o celu i podstawie przetwarzania. To reguła ogólna. Jej spełnienie w kontekście screeningu jest prostsze, niż się wydaje.

W większości sytuacji biznesowych informacja o screeningu może i powinna trafić do klauzuli informacyjnej w umowie lub regulaminie. Jeśli kontrahent podpisuje z Tobą kontrakt, dodajesz akapit o tym, że dane identyfikacyjne są przetwarzane w celu weryfikacji wobec list sankcyjnych na podstawie obowiązujących rozporządzeń UE. To wystarczy.

Są jednak sytuacje, w których pełne informowanie może kolidować z celem screeningu. RODO przewiduje ograniczenie obowiązku informacyjnego, gdy przekazanie informacji mogłoby utrudnić realizację tego celu — na przykład gdy kontrahent jest podejrzewany o powiązania z podmiotem objętym sankcjami, a powiadomienie go wcześniej mogłoby spowodować celowe działania unikowe. Decyzja o skorzystaniu z tego wyjątku powinna być udokumentowana i uzasadniona.

Praktyczna zasada: opisz screening w swojej ogólnej klauzuli informacyjnej (polityce prywatności, wzorze umowy). Nie musisz wysyłać osobnego pisma do każdego kontrahenta przed każdym sprawdzeniem.

Jak długo przechowywać wyniki weryfikacji

Sanction screening to nie jednorazowa czynność — wynik weryfikacji jest częścią Twojej dokumentacji compliance. Pojawia się pytanie: jak długo trzymać wyniki?

Żaden przepis sankcyjny nie wyznacza wprost okresu przechowywania rejestru trafień. Stosuje się tu zasadę ogólną z RODO: dane przechowujesz nie dłużej, niż jest to niezbędne dla celów, dla których są przetwarzane. Jednocześnie prawo zobowiązuje Cię do posiadania dokumentacji na wypadek kontroli lub postępowania administracyjnego.

W praktyce oznacza to co najmniej dwa okresy referencyjne:

1. Na czas trwania relacji biznesowej — podczas aktywnej współpracy z kontrahentem weryfikujesz go regularnie, a wyniki zachowujesz jako dowód należytej staranności.
2. Po zakończeniu relacji — przechowujesz dokumentację weryfikacji przez okres wynikający z ryzyka odpowiedzialności: w analogii do terminów przedawnienia roszczeń lub postępowań administracyjnych, co w polskim porządku prawnym wynosi zazwyczaj 5 lat.

Konkretna decyzja o okresie retencji powinna znaleźć się w Twojej wewnętrznej polityce sankcyjnej i być proporcjonalna do skali działalności oraz ryzyka. Ważne: jeśli prowadzisz rejestr trafień (MATCH lub POSSIBLE), te rekordy mają szczególną wagę dowodową — nie usuwaj ich bez przemyślanego uzasadnienia. To, jakie pola powinien zawierać rejestr i jak długo go przechowywać, opisujemy w artykule Rejestr trafień sankcyjnych — jak go prowadzić.

Więcej o procesie weryfikacji kontrahenta krok po kroku znajdziesz w naszym poradniku.

Dlaczego on-premise jest korzystne dla zgodności z RODO

Gdy korzystasz z chmurowego systemu do screeningu, dane osobowe Twoich kontrahentów trafiają na serwery dostawcy — czyli do zewnętrznego podmiotu przetwarzającego. W myśl RODO masz obowiązek zawrzeć z takim podmiotem umowę powierzenia przetwarzania danych (DPA), a jeśli serwery dostawcy są poza EOG (np. w USA), dochodzą jeszcze wymogi dotyczące transferu danych do krajów trzecich.

Rozwiązanie on-premise odwraca ten układ. System screeningu instalowany jest w Twojej infrastrukturze — na Twoich serwerach lub serwerach Twojego centrum danych. Dane osobowe kontrahentów nie opuszczają Twojej organizacji. Nie przekazujesz ich nikomu. Jedynym miejscem ich przetwarzania jesteś Ty — jako administrator.

Z perspektywy RODO to znaczące uproszczenie:

• Brak konieczności zawierania umowy DPA z dostawcą screeningu.
• Brak ryzyka transferu danych poza EOG.
• Łatwiejsze wykazanie kontroli nad danymi przy ewentualnej kontroli organu nadzorczego.

Sanqto działa w modelu on-premise — system instalowany jest w sieci klienta, a dane kontrahentów i klientów pozostają wyłącznie pod jego kontrolą. Wynik weryfikacji zwracany jest w trzech stanach: MATCH, POSSIBLE lub CLEAR, co pozwala na szybką klasyfikację bez eksportowania danych osobowych na zewnątrz.

Jeśli prowadzisz działalność w branży ubezpieczeniowej lub nieruchomości — sektorach szczególnie wrażliwych na ochronę danych klientów — architektura on-premise jest rozwiązaniem godnym uwagi. Przeczytaj więcej o screeningu sankcyjnym dla firm ubezpieczeniowych i agencji nieruchomości.

False positive a dane osobowe — ostrożność przy klasyfikacji

False positive to sytuacja, w której system zwraca wynik MATCH lub POSSIBLE dla osoby, która nie jest podmiotem objętym sankcjami — na przykład dlatego, że ma takie samo imię i nazwisko jak ktoś z listy. To technicznie nieuniknione w każdym systemie screeningu, który działa na podstawie dopasowania tekstowego.

Problem polega na tym, że błędna klasyfikacja prowadzi do przetwarzania danych osoby niezwiązanej z sankcjami w kontekście, który może jej zaszkodzić — odmowy zawarcia umowy, blokady płatności, oznaczenia w rejestrze. To rodzi ryzyko naruszenia praw tej osoby wynikających z RODO.

Kilka zasad ograniczających to ryzyko:

Nie podejmuj automatycznych decyzji wyłącznie na podstawie algorytmu. RODO wprost ogranicza podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, gdy decyzja wywiera istotne skutki. Wynik POSSIBLE lub MATCH powinien być weryfikowany przez człowieka — pracownika compliance lub osobę odpowiedzialną za ten proces. Jak metodycznie rozstrzygać takie przypadki, opisujemy w artykule o fałszywych trafieniach w screeningu sankcyjnym.

Dokumentuj rozstrzygnięcie. Gdy po analizie ustalisz, że trafienie to false positive, zapisz ten wniosek w rejestrze. To Twój dowód należytej staranności — zarówno wobec Szefa KAS w razie kontroli sankcyjnej, jak i wobec UODO w razie skargi od osoby, której dane przetwarzałeś.

Przechowuj dane z fałszywego trafienia tylko przez czas niezbędny. Jeśli stwierdzisz, że wynik POSSIBLE to błąd, i relacja biznesowa z kontrahentem jest prowadzona normalnie, rozważ usunięcie lub zanonimizowanie rekordu po zakończeniu procesu wyjaśniającego — chyba że przepisy wymagają zachowania dokumentacji przez określony czas.

Dowiedz się więcej o tym, jak działa proces sanction screeningu i jak klasyfikować wyniki weryfikacji.

FAQ

Czy muszę mieć zgodę kontrahenta na sprawdzenie go na liście sankcyjnej?

Nie. Podstawą przetwarzania danych w screeningu sankcyjnym jest obowiązek prawny (art. 6 ust. 1 lit. c RODO), a nie zgoda. Zgoda jest dobrowolna i odwołalna — nie nadaje się jako podstawa dla weryfikacji, którą musisz przeprowadzić niezależnie od woli kontrahenta. Rozporządzenia UE — jak 269/2014¹ czy 833/2014² — obowiązują Cię wprost, bez Twojego wyboru w tej kwestii.

Co wpisać w klauzuli informacyjnej o screeningu?

Wskaż cel przetwarzania (weryfikacja wobec list sankcyjnych), podstawę prawną (wypełnienie obowiązku prawnego wynikającego z rozporządzeń UE), kategorie przetwarzanych danych (dane identyfikacyjne: imię, nazwisko, nazwa firmy, numery identyfikacyjne) oraz okres przechowywania. Nie musisz wymieniać z nazwy każdej listy sankcyjnej — wystarczy ogólna formuła o „listach sankcyjnych obowiązujących na mocy prawa UE i prawa krajowego".

Co zrobić, gdy kontrahent żąda usunięcia jego danych po zakończeniu relacji?

Masz prawo odmówić — lub odroczyć realizację żądania — jeśli przepisy wymagają od Ciebie przechowywania dokumentacji przez określony czas. Powołaj się na obowiązek prawny i podaj szacowany okres retencji. Gdyby żądanie usunięcia wpłynęło w trakcie aktywnej relacji biznesowej, gdy screening jest nadal konieczny, możesz odmówić, wyjaśniając, że przetwarzanie danych jest konieczne do realizacji obowiązku prawnego.

Czy muszę zgłaszać przetwarzanie danych do UODO z tytułu screeningu?

W większości przypadków nie — ogólny obowiązek rejestracji przetwarzania u organu nadzorczego zlikwidowano po wejściu RODO w życie. Musisz natomiast prowadzić własny rejestr czynności przetwarzania (jeśli zatrudniasz powyżej 250 osób lub gdy przetwarzanie może powodować ryzyko dla praw osób) i uwzględnić w nim screening sankcyjny jako osobną czynność przetwarzania.

Czy on-premise zwalnia mnie z obowiązków RODO wobec pracowników obsługujących system?

Nie. Dane w systemie on-premise wciąż są przez Ciebie przetwarzane — jesteś administratorem. Masz więc wszystkie obowiązki administratora: obowiązek informacyjny, odpowiednie zabezpieczenia techniczne i organizacyjne, reagowanie na żądania praw osób. On-premise eliminuje tylko konieczność powierzania danych zewnętrznemu dostawcy oprogramowania.

Co jeśli mój kontrahent to firma zagraniczna? Czy RODO nadal obowiązuje?

Tak, jeśli siedziba lub miejsce zamieszkania przetwarzanego podmiotu jest w EOG lub jeśli Twoja firma ma siedzibę w Polsce. RODO ma szeroki zasięg terytorialny. Jednocześnie obowiązek sankcyjny — wynikający z rozporządzeń UE i ustawy z 13 kwietnia 2022 r.⁸ — obejmuje każdą transakcję realizowaną przez podmiot działający w Polsce, niezależnie od narodowości drugiej strony.

Co konkretnie zrobić — lista kroków

1. Zinwentaryzuj czynności przetwarzania. Dopisz do rejestru czynności przetwarzania nową pozycję: „Weryfikacja kontrahentów i klientów wobec list sankcyjnych UE i krajowych". Wskaż cel, podstawę prawną (art. 6 ust. 1 lit. c RODO), zakres danych i planowany okres retencji.

2. Zaktualizuj klauzulę informacyjną. Dodaj do wzoru umowy, regulaminu lub polityki prywatności akapit o przetwarzaniu danych identyfikacyjnych w celu screeningu sankcyjnego. To wystarczy w zdecydowanej większości przypadków.

3. Ogranicz zakres zbieranych danych. Sprawdź, jakich danych faktycznie potrzebuje Twój system do weryfikacji. Usuń pola, które zbierasz, a nie używasz w procesie screeningu.

4. Wprowadź procedurę obsługi false positive. Wyznacz osobę odpowiedzialną za ręczną weryfikację wyników MATCH i POSSIBLE. Sporządź wzór notatki wyjaśniającej i włącz ją do rejestru trafień.

5. Ustal politykę retencji wyników. Zdecyduj i udokumentuj, jak długo przechowujesz wyniki weryfikacji — osobno dla wyników CLEAR (krótszy czas), osobno dla MATCH i POSSIBLE (dłuższy, jako dokumentacja dowodowa).

6. Oceń architekturę systemu. Jeśli korzystasz z narzędzia chmurowego, upewnij się, że masz aktualną umowę DPA z dostawcą i sprawdź lokalizację serwerów. Jeśli dane przetwarzane są poza EOG — oceń ryzyko i mechanizmy transferu.

7. Powiąż politykę sankcyjną z polityką prywatności. Obie polityki powinny być spójne: procedury sankcyjne opisują jak weryfikujesz, polityka prywatności opisuje po co i na jakiej podstawie przetwarzasz dane przy tej weryfikacji.

Jak Sanqto może pomóc

Sanqto to oprogramowanie do sanction screeningu instalowane bezpośrednio w Twojej infrastrukturze — model on-premise oznacza, że dane kontrahentów i klientów nie opuszczają sieci Twojej firmy. Eliminujesz tym samym konieczność powierzania danych zewnętrznemu przetwarzającemu. System zwraca wynik w trzech stanach — MATCH, POSSIBLE lub CLEAR — co daje Ci czytelną podstawę do decyzji i dokumentacji w rejestrze trafień. W pakiecie wdrożeniowym znajdziesz gotowe wzory dokumentów: politykę sankcyjną, rejestr trafień i procedurę obsługi false positive — gotowe do dostosowania pod Twój profil działalności. Przeczytaj, czym jest obowiązek sanction screeningu i kogo dotyczy, zanim zdecydujesz o wyborze narzędzia.

Podstawa prawna

• Rozporządzenie Rady (UE) nr 269/2014 z 17 marca 2014 r. w sprawie środków ograniczających w odniesieniu do działań podważających integralność terytorialną, suwerenność i niezależność Ukrainy lub im zagrażających — CELEX 32014R0269
• Rozporządzenie Rady (UE) nr 833/2014 z 31 lipca 2014 r. dotyczące środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie — CELEX 32014R0833
• Ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835) — ISAP
• Rozporządzenie Rady (UE) nr 765/2006 z 18 maja 2006 r. dotyczące środków ograniczających w odniesieniu do Białorusi — CELEX 32006R0765
• Skonsolidowana Lista UE (FSD) — publikowana przez Komisję Europejską (DG FISMA) — finance.ec.europa.eu
• Polska lista sankcyjna MSWiA — gov.pl/web/mswia/lista-osob-i-podmiotow-objetych-sankcjami
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO / GDPR) — CELEX 32016R0679

Przypisy

Informacja, nie porada prawna. Niniejszy artykuł ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej. Stan prawny na dzień: 20 maja 2026. Konkretne obowiązki Twojej firmy zależą od profilu działalności i wymagają indywidualnej oceny — w razie wątpliwości skonsultuj się z prawnikiem lub doradcą compliance.