AML vs. RODO – przywrócona równowaga?

W orzeczeniu z 22 listopada br. (orzeczenie wydane w połączonych sprawach C-37/20 i C-601/20) Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) zakwestionował nieograniczony, publiczny dostęp do informacji na temat beneficjentów rzeczywistych, tj. dostęp dla każdego i  bez konieczności spełnienia dodatkowych wymogów. Trybunał stwierdził, że pełna jawność rejestru beneficjentów rzeczywistych w nieuzasadniony sposób ingeruje w prywatność i nie jest jednocześnie niezbędna dla osiągnięcia celów w zakresie zwalczania prania pieniędzy i finansowa terroryzmu. Pełna jawność informacji zawartych w rejestrze nie jest ani konieczna, ani proporcjonalna do zamierzonego celu – w konsekwencji TSUE uznał ją za sprzeczną z Kartą Praw Podstawowych.

Powyższy wyrok niewątpliwie będzie miał wpływ na praktykę działania polskiego Centralnego Rejestru Beneficjentów Rzeczywistych („CRBR”), w szczególności  system uzyskiwania dostępu do zawartych w nim  danych będzie wymagał zmian. Co istotne, dostępu do CRBR nie utracą podmioty, które muszą stosować regulacje AML. Choć warto zauważyć, że Luksemburg już w dniu wydania wyroku zawiesił możliwość dostępu do tamtejszego odpowiednika CRBR przez Internet. Na interwencję ze strony ustawodawcy krajowego przyjdzie nam jeszcze poczekać.  Wyrok pokazuje natomiast, że pryncypia leżące u podstaw przepisów unijnego rozporządzenia o ochronie danych („RODO”) i rosnąca ochrona prywatności dotyczą już nie tylko firm oraz organizacji publicznych, ale także ustawodawcy krajowego oraz europejskiego.

Wbrew niektórym komentarzom, orzeczenie nie jest zupełnym zaskoczeniem. Od dłuższego czasu mówiło się o tym, że środki przewidziane w przepisach dotyczących AML mogą być uznane za naruszające prawo do prywatności. Wpisuje się ono też w dyskusję o danych dotyczących osób fizycznych udostępnianych w publicznych rejestrach. Przykładem podobnych kontrowersji jest chociażby kwestia numerów ksiąg wieczystych uznawanych przez Prezesa Urzędu Ochrony Danych Osobowych za dane osobowe (postępowania w sprawie kar pieniężnych nałożonych na Głównego Geodetę Kraju cały czas toczą się przed sądami administracyjnymi), czy też zakresu informacji udostępnianych w Krajowym Rejestrze Sądowym.

Dylematy te rosną wraz z łatwością przetwarzania dużych zestawów  danych i wzrastającymi wykładniczo możliwościami ich użycia. Wydane orzeczenie to kolejny przykład uznania prymatu ochrony prywatności nad innymi wartościami.

Poniżej trochę więcej szczegółów na temat samej sprawy, w której wydano orzeczenie:

• W 2019 roku ustawodawca luksemburski utworzył Registre des bénéficiaires effectifs („RBE”), odpowiednik polskiego CRBR. Podobnie jak w przypadku CRBR, dostęp do wszystkich danych zamieszczonych w RBE miał każdy użytkownik Internetu.
• Zatajenie informacji o beneficjentach rzeczywistych obwarowane zostało koniecznością wykazania, że ich jawność narażałaby beneficjenta na niewspółmierne ryzyko nadużycia finansowego, porwania, szantażu, wymuszenia, nękania przemocy lub zastraszenia. Uzasadnieniem dla utajnienia danych mogła być również małoletniość beneficjenta lub inna okoliczność rozstrzygająca o jego niepełnej zdolności do czynności prawnych.
• W sprawach, które doprowadziły do wydania wyroku przez TSUE, RBE dwukrotnie odmówił utajenia danych beneficjenta rzeczywistego. Organ wskazywał, że wnioskodawcy nie uprawdopodobnili, że spełniają przesłanki wskazane w poprzednim akapicie. Decyzje zostały zaskarżone do sądu okręgowego w Luksemburgu. Sąd ten uznał, że ujawnienie informacji zawartych w rejestrze może pociągać za sobą nieproporcjonalne ryzyko naruszenia praw podstawowych zawartych w KPP. W konsekwencji skierował do TSUE wniosek o udzielenie odpowiedzi w trybie prejudycjalnym.
• TSUE potwierdził, że rolą rejestru jest zwiększenie transparentności na rynku finansowym. Przejrzystość taka zaowocować powinna wzmożeniem kontroli społeczeństwa obywatelskiego oraz pogłębieniem zaufania inwestorów do uczciwości dokonywanych transakcji finansowych. Jak wskazał TSUE, osiągnięcie tak postawionego celu, aby pozostawało zgodne z prawem unijnym, wymaga wyważenia dwóch grup wartości. Z jednej strony na szali znajduje się ogólny interes publiczny związany z zapobieganiem praniu pieniędzy i finansowaniu terroryzmu. W tym przypadku do grupy uprawionych należą wszyscy uczestnicy obrotu. Z drugiej strony należy mieć wzgląd na prawa podstawowe beneficjentów rzeczywistych, a więc tych osób fizycznych, których dane ujmowane są w rejestrach krajowych. Prawa te nie są absolutne, stąd też mogą podlegać ograniczeniom. Wszelkie tego typu naruszenia muszą być jednak należycie uzasadnione i odpowiednio wyważone.
• Trybunał zwrócił uwagę, że transparentność rejestru może skutecznie przeciwdziałać zjawisku prania pieniędzy oraz finansowania terroryzmu. Wskazał jednak uzupełniająco, że nieograniczony dostęp może skutkować pozyskiwaniem informacji dotyczących życia prywatnego i rodzinnego beneficjentów rzeczywistych przez nieograniczoną liczbę osób, jak również ryzykiem ich utrwalania oraz dalszego rozpowszechniania.
• W konsekwencji, w ocenie TSUE art. 30 IV dyrektywy AML, wymagający zapewnienia przez państwa członkowskie dostępu do danych zawartych w rejestrach każdej osobie oraz we wszystkich przypadkach, nie licuje ze standardem ochrony praw podstawowych wynikającym z KPP, a przez to jest nieważny.

Pobierz PDF_AML vs. RODO – przywrócona równowaga?

Autorzy:

dr Marek Maciąg, partner w departamencie korporacyjnym Rymarz Zdort.

Marcin Serafin, partner w Maruta Wachta, odpowiedzialny za praktykę ochrony prywatności, szef Zespołu Ochrony Danych Osobowych.

Wojciech Piszewski, counsel, ACO (approved compliance officer) w Maruta Wachta.

Aleksandra Maciąg, radca prawny, specjalistka ds. AML w  Rymarz Zdort.

Piotr Króliński, associate w departamencie korporacyjnym Rymarz Zdort.

Jakub Szewczak, associate w departamencie rozwiązywania sporów Rymarz Zdort.