Powszechny dostęp do danych osobowych w Centralnym Rejestrze Beneficjentów Rzeczywistych. Odpowiedź MF
- Trybunał Sprawiedliwości Unii Europejskiej w listopadzie 2022 r. uznał za nieważny przepis dyrektywy unijnej przewidującej publiczny dostęp do informacji o beneficjentach rzeczywistych
- Tymczasem w Centralnym Rejestrze Beneficjentów Rzeczywistych są powszechnie dostępne dane osobowe beneficjentów rzeczywistych, w tym nr PESEL
- Rzecznik Praw Obywatelskich po raz kolejny interweniuje w sprawie rejestru w Ministerstwie Finansów i prosi o zmianę przepisów
- AKTUALIZACJA 10.07.2024: Na podstawie art. 78 ust. 1 dyrektywy (UE) 2024/1640 państwa członkowskie zobowiązane są do transpozycji wskazanych przepisów w terminie do 10 lipca 2025 r. Polskie przepisy zostaną dostosowane do nowych norm unijnych we wskazanym terminie ich transpozycji w ramach nowelizacji ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
RPO przedstawia swe uwagi w celu zapewnienia skutecznej ochrony wolności i praw człowieka i obywatela w związku z powszechnym dostępem do danych osobowych beneficjentów rzeczywistych.
Zwraca uwagę na potrzebę kompleksowych i systemowych zmian w regulacjach odnoszących się do funkcjonowania jawnych rejestrów publicznych, w których na szeroką skalę udostępniane są dane osobowe obywateli.
Centralny Rejestr Beneficjentów Rzeczywistych
Prowadzony przez resort finansów Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) to system gromadzenia i przetwarzania informacji o osobach fizycznych, które sprawują kontrolę nad określonymi podmiotami gospodarczymi - m.in. spółkami, spółdzielniami, stowarzyszeniami, fundacjami.
Rejestr jest jawny i ma formę elektroniczną, a wszystkie zawarte w nim informacje są udostępniane bezpłatnie. Jego celem jest przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.
Beneficjentem rzeczywistym zawsze jest osoba fizyczna lub osoby fizyczne, które dzięki posiadanym uprawnieniom, wynikającym z uwarunkowań prawnych lub faktycznych, sprawują bezpośrednio lub pośrednio kontrolę nad podmiotem gospodarczym zobowiązanym do wpisu w CRBR. Dzięki swoim uprawnieniom może wywierać decydujący wpływ na działania podmiotu gospodarczego. Mogą to być np. udziałowcy spółki, wspólnicy uprawnieni do reprezentacji, fundatorzy fundacji, członkowie zarządu stowarzyszeń.
Rejestr wprowadziła ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Utworzenie CRBR jest realizacją przepisów unijnej dyrektywy
RPO już wcześniej zgłaszał zastrzeżenia co do zasad przetwarzania danych osobowych w tym rejestrze. W odpowiedzi resort finansów wskazał, że pełna jawność danych w CRBR jest związana z implementacją do polskiego prawa przepisów UE.
W piśmie z 10 marca 2022 r. podkreślono, że objęcie danych z CRBR zasadą jawności służy ochronie szczególnie ważnego interesu publicznego - zapewnieniu bezpieczeństwa i porządku publicznego. Chodzi o umożliwienie pozyskiwania przez organy państwa, ale także inne podmioty - zaangażowane w system przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu - informacji dla przeciwdziałania poważnych przestępstw godzących w konstytucyjne podstawy państwa.
Wyrok TSUE: publiczny dostęp do informacji o beneficjentach rzeczywistych to poważna ingerencja w prawo do ochrony prywatności i danych osobowych
Rzecznik zwraca uwagę, że Trybunał Sprawiedliwości Unii Europejskiej wyrokiem z 22 listopada 2022 r. w połączonych sprawach C-37/20 i C-601/20, uznał nieważność art. 30 ust. 5 akapit pierwszy lit. c) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu. Przepis ten przewiduje, że państwa członkowskie UE zapewniają, aby informacje o beneficjentach rzeczywistych podmiotów o charakterze korporacyjnym i innych podmiotów prawnych utworzonych na ich terytorium były we wszystkich przypadkach udostępniane każdej osobie.
Trybunał podkreślił, że publiczny dostęp do informacji o beneficjentach rzeczywistych przewidziany w tym przepisie stanowi poważną ingerencję w prawa podstawowe do ochrony prywatności oraz danych osobowych zapisane w art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej. Zwrócił uwagę, że „nieodłącznym elementem (…) publicznego udostępnienia (…) informacji jest to, że informacje te są wówczas dostępne dla potencjalnie nieograniczonej liczby osób tak, że takie przetwarzanie danych osobowych może umożliwić swobodny dostęp do tych informacji również osobom, które ze względów niezwiązanych z celem realizowanym przez ten środek dążą do uzyskania informacji na temat sytuacji w szczególności materialnej i finansowej beneficjenta rzeczywistego. (…) Potencjalnie poważne konsekwencje dla zainteresowanych osób wynikające z ewentualnego niewłaściwego wykorzystania ich danych osobowych powoduje fakt, że po ich publicznym udostępnieniu dane te mogą być nie tylko swobodnie przeglądane, ale także przechowywane i rozpowszechniane, a w przypadku takiego kolejnego przetwarzania trudniejsza, a nawet iluzoryczna staje się dla tych osób skuteczna obrona przed niewłaściwym wykorzystaniem”.
Nie można uznać, że ingerencja w prawa zagwarantowane w art. 7 i 8 Karty, wynikająca z publicznego dostępu do informacji dotyczących beneficjentów rzeczywistych, jest ograniczona do tego, co ściśle konieczne – stwierdził TSUE.
Zasady przetwarzania danych osobowych beneficjentów rzeczywistych do zmiany
W związku z tym konieczna jest zmiana przepisów ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, dotyczących zasad przetwarzania danych osobowych beneficjentów rzeczywistych.
Art. 67 ustawy, przewidujący jawność CRBR, nie ma oparcia w art. 30 ust. 5 akapit pierwszy lit. c) dyrektywy 2015/849. W świetle wyroku TSUE udostępnienie danych osobowych beneficjentów rzeczywistych każdej osobie, w tym za pomocą Internetu, stanowi nieproporcjonalną ingerencję w prawo do poszanowania życia prywatnego i rodzinnego i prawo do ochrony danych osobowych.
Zmiany są konieczne również w innych jawnych rejestrach publicznych
W kontekście wyroku TSUE Rzecznik podkreśla, że trzeba dokonać kompleksowych i systemowych zmian regulacji odnoszących się do funkcjonowania jawnych rejestrów publicznych, w których udostępniane są na szeroką skalę dane osobowe obywateli.
Z orzecznictwa TSUE wynika, że udostępnianie danych osobowych osobom trzecim stanowi ingerencję w prawa podstawowe ustanowione w art. 7 i 8 karty, niezależnie od tego, w jaki sposób te dane zostaną później wykorzystane. Ewentualne istnienie trudności w dokładnym określeniu przesłanek i warunków, na jakich każda osoba może uzyskać dostęp do informacji o osobach, nie może uzasadniać tego, że prawodawca przewiduje publiczny dostęp do tych informacji.
Na temat dostępu do danych osobowych zawartych w rejestrach publicznych udostępnionych w Internecie wypowiadał się też Europejski Trybunał Praw Człowieka. W wyroku z 9 marca 2023 r. w sprawie L.B. przeciwko Węgrom (skarga nr 36345/16) wskazał na nieproporcjonalną ingerencję w prawo do prywatności, w sytuacji publikacji na stronie internetowej organu podatkowego danych osobowych poważnych dłużników podatkowych, w tym ich adresu zamieszkania.
Potrzebne kompleksowe i systemowe działania aby zapewnić skuteczną ochronę wolności i praw człowieka i obywatela
Rzecznik wielokrotnie zwracał uwagę na zagrożenia dla prawa do prywatności i ochrony danych osobowych, jakie wynikają z udostępniania danych osobowych obywateli w publicznych rejestrach/bazach danych, które zawierają także numer PESEL. Podkreślał, że jawność nr PESEL stwarza wysokie ryzyko naruszenia prywatności jednostki, z uwagi m. in. na możliwość kradzieży tożsamości.
Zgodnie z art. 51 ust. 2 Konstytucji RP władze publiczne nie mogą pozyskiwać gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Na naruszenie rozporządzenia RODO i standardów unijnych dotyczących dopuszczalności wprowadzania uregulowań krajowych wpływających na ograniczenie praw do ochrony prywatności i danych osobowych wskazywał też Prezes Urzędu Ochrony Danych Osobowych.
Uwagi i standardy wynikające z orzecznictwa europejskich trybunałów należy odnieść zarówno do aktualnych regulacji dotyczących publicznych rejestrów, jak i do nowo tworzonych (m.in. tworzonego przez MF rejestru umów osób pełniących funkcje publiczne, który ma wejść w życie 1 stycznia 2024 r.).
W ocenie Rzecznika trzeba podejmować systemowe i kompleksowe działania w tym obszarze. Powinny się one także odbywać równolegle do prac nad projektem ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości (UD472).
O odniesienie się do uwag i potrzeby zmian przepisów Marcin Wiącek prosi minister Magdalenę Rzeczkowską.
Odpowiedź Andrzeja Domańskiego, ministra finansów
W wyroku w sprawach połączonych C-37/20 i C-601/20 WM and Sovim SA Luxembourg Business Registers Trybunał Sprawiedliwości stwierdził nieważność zmiany wprowadzonej dyrektywą (UE) 2018/8431 do art. 30 ust. 5 dyrektywy (UE) 2015/849 w zakresie, w jakim wymagała ona od państw członkowskich zapewnienia, aby informacje o beneficjentach rzeczywistych spółek i innych podmiotów prawnych zarejestrowanych na ich terytorium były dostępne we wszystkich przypadkach dla każdego obywatela. Na skutek tego wyroku podjęto w Ministerstwie Finansów analizę w zakresie zmiany przepisów ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2023 r. poz. 1124 z późn. zm.). W międzyczasie w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu podjęto na poziomie unijnym inicjatywę prawodawczą, a jedną z kwestii poruszonych w toku prac legislacyjnych była potrzeba zmiany unijnych regulacji na skutek wydania przez Trybunał Sprawiedliwości przedmiotowego wyroku.
W wyniku podjętych prac legislacyjnych uchwalono dyrektywę Parlamentu Europejskiego i Rady (UE) 2024/1640 z dnia 31 maja 2024 r. w sprawie mechanizmów, które państwa członkowskie powinny wprowadzić w celu zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca dyrektywę (UE) 2019/1937 oraz zmieniająca i uchylająca dyrektywę (UE) 2015/849. W motywie 134 tej dyrektywy wskazano na konieczność zmiany zapisów dyrektywy (UE) 2015/849 na skutek wyroku Trybunału Sprawiedliwości w sprawach połączonych C-37/20 i C-601/20 WM and Sovim SA Luxembourg Business Registers.
W art. 74 pkt 1 dyrektywy (UE) 2024/1640 wprowadzono stosowne zmiany do art. 30 ust. 5 dyrektywy (UE) 2015/849, zgodnie z którymi informacje o beneficjentach rzeczywistych podmiotów o charakterze korporacyjnym oraz innych podmiotów prawnych mają być udostępniane tylko takim osobom lub organizacjom, które mogą wykazać uzasadniony interes. Dostrzegając potrzebę harmonizacji przepisów w art. 74 pkt 2 dyrektywy (UE) 2024/1640 wprowadzono z kolei zmianę art. 31 ust. 4 dyrektywy (UE) 2015/849, w świetle której informacje o beneficjentach rzeczywistych trustu lub podobnego porozumienia prawnego mają być udostępniane każdejosobie fizycznejlub prawnej, która może wykazać uzasadniony interes w dostępie do informacji o beneficjentach rzeczywistych. Jednocześnie w obu przypadkach informacje o beneficjentach rzeczywistych mają być udostępniane właściwym organom i jednostkom analityki finansowej bez ograniczeń oraz podmiotom zobowiązanym, na potrzeby stosowania przez nie zasad należytej staranności wobec klienta.
Na podstawie art. 78 ust. 1 dyrektywy (UE) 2024/1640 państwa członkowskie zobowiązane są do transpozycji wskazanych przepisów w terminie do 10 lipca 2025 r.
W związku z powyższym polskie przepisy zostaną dostosowane do nowych norm unijnych we wskazanym terminie ich transpozycji w ramach nowelizacji ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
VII.501.58.2020