Powszechny dostęp do danych osobowych w Centralnym Rejestrze Beneficjentów Rzeczywistych. RPO pisze do MF
- Trybunał Sprawiedliwości Unii Europejskiej w listopadzie 2022 r. uznał za nieważny przepis dyrektywy unijnej przewidującej publiczny dostęp do informacji o beneficjentach rzeczywistych
- Tymczasem w Centralnym Rejestrze Beneficjentów Rzeczywistych są powszechnie dostępne dane osobowe beneficjentów rzeczywistych, w tym nr PESEL
- Rzecznik Praw Obywatelskich po raz kolejny interweniuje w sprawie rejestru w Ministerstwie Finansów i prosi o zmianę przepisów
RPO przedstawia swe uwagi w celu zapewnienia skutecznej ochrony wolności i praw człowieka i obywatela w związku z powszechnym dostępem do danych osobowych beneficjentów rzeczywistych.
Zwraca uwagę na potrzebę kompleksowych i systemowych zmian w regulacjach odnoszących się do funkcjonowania jawnych rejestrów publicznych, w których na szeroką skalę udostępniane są dane osobowe obywateli.
Centralny Rejestr Beneficjentów Rzeczywistych
Prowadzony przez resort finansów Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) to system gromadzenia i przetwarzania informacji o osobach fizycznych, które sprawują kontrolę nad określonymi podmiotami gospodarczymi - m.in. spółkami, spółdzielniami, stowarzyszeniami, fundacjami.
Rejestr jest jawny i ma formę elektroniczną, a wszystkie zawarte w nim informacje są udostępniane bezpłatnie. Jego celem jest przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.
Beneficjentem rzeczywistym zawsze jest osoba fizyczna lub osoby fizyczne, które dzięki posiadanym uprawnieniom, wynikającym z uwarunkowań prawnych lub faktycznych, sprawują bezpośrednio lub pośrednio kontrolę nad podmiotem gospodarczym zobowiązanym do wpisu w CRBR. Dzięki swoim uprawnieniom może wywierać decydujący wpływ na działania podmiotu gospodarczego. Mogą to być np. udziałowcy spółki, wspólnicy uprawnieni do reprezentacji, fundatorzy fundacji, członkowie zarządu stowarzyszeń.
Rejestr wprowadziła ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Utworzenie CRBR jest realizacją przepisów unijnej dyrektywy
RPO już wcześniej zgłaszał zastrzeżenia co do zasad przetwarzania danych osobowych w tym rejestrze. W odpowiedzi resort finansów wskazał, że pełna jawność danych w CRBR jest związana z implementacją do polskiego prawa przepisów UE.
W piśmie z 10 marca 2022 r. podkreślono, że objęcie danych z CRBR zasadą jawności służy ochronie szczególnie ważnego interesu publicznego - zapewnieniu bezpieczeństwa i porządku publicznego. Chodzi o umożliwienie pozyskiwania przez organy państwa, ale także inne podmioty - zaangażowane w system przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu - informacji dla przeciwdziałania poważnych przestępstw godzących w konstytucyjne podstawy państwa.
Wyrok TSUE: publiczny dostęp do informacji o beneficjentach rzeczywistych to poważna ingerencja w prawo do ochrony prywatności i danych osobowych
Rzecznik zwraca uwagę, że Trybunał Sprawiedliwości Unii Europejskiej wyrokiem z 22 listopada 2022 r. w połączonych sprawach C-37/20 i C-601/20, uznał nieważność art. 30 ust. 5 akapit pierwszy lit. c) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu. Przepis ten przewiduje, że państwa członkowskie UE zapewniają, aby informacje o beneficjentach rzeczywistych podmiotów o charakterze korporacyjnym i innych podmiotów prawnych utworzonych na ich terytorium były we wszystkich przypadkach udostępniane każdej osobie.
Trybunał podkreślił, że publiczny dostęp do informacji o beneficjentach rzeczywistych przewidziany w tym przepisie stanowi poważną ingerencję w prawa podstawowe do ochrony prywatności oraz danych osobowych zapisane w art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej. Zwrócił uwagę, że „nieodłącznym elementem (…) publicznego udostępnienia (…) informacji jest to, że informacje te są wówczas dostępne dla potencjalnie nieograniczonej liczby osób tak, że takie przetwarzanie danych osobowych może umożliwić swobodny dostęp do tych informacji również osobom, które ze względów niezwiązanych z celem realizowanym przez ten środek dążą do uzyskania informacji na temat sytuacji w szczególności materialnej i finansowej beneficjenta rzeczywistego. (…) Potencjalnie poważne konsekwencje dla zainteresowanych osób wynikające z ewentualnego niewłaściwego wykorzystania ich danych osobowych powoduje fakt, że po ich publicznym udostępnieniu dane te mogą być nie tylko swobodnie przeglądane, ale także przechowywane i rozpowszechniane, a w przypadku takiego kolejnego przetwarzania trudniejsza, a nawet iluzoryczna staje się dla tych osób skuteczna obrona przed niewłaściwym wykorzystaniem”.
Nie można uznać, że ingerencja w prawa zagwarantowane w art. 7 i 8 Karty, wynikająca z publicznego dostępu do informacji dotyczących beneficjentów rzeczywistych, jest ograniczona do tego, co ściśle konieczne – stwierdził TSUE.
Zasady przetwarzania danych osobowych beneficjentów rzeczywistych do zmiany
W związku z tym konieczna jest zmiana przepisów ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, dotyczących zasad przetwarzania danych osobowych beneficjentów rzeczywistych.
Art. 67 ustawy, przewidujący jawność CRBR, nie ma oparcia w art. 30 ust. 5 akapit pierwszy lit. c) dyrektywy 2015/849. W świetle wyroku TSUE udostępnienie danych osobowych beneficjentów rzeczywistych każdej osobie, w tym za pomocą Internetu, stanowi nieproporcjonalną ingerencję w prawo do poszanowania życia prywatnego i rodzinnego i prawo do ochrony danych osobowych.
Zmiany są konieczne również w innych jawnych rejestrach publicznych
W kontekście wyroku TSUE Rzecznik podkreśla, że trzeba dokonać kompleksowych i systemowych zmian regulacji odnoszących się do funkcjonowania jawnych rejestrów publicznych, w których udostępniane są na szeroką skalę dane osobowe obywateli.
Z orzecznictwa TSUE wynika, że udostępnianie danych osobowych osobom trzecim stanowi ingerencję w prawa podstawowe ustanowione w art. 7 i 8 karty, niezależnie od tego, w jaki sposób te dane zostaną później wykorzystane. Ewentualne istnienie trudności w dokładnym określeniu przesłanek i warunków, na jakich każda osoba może uzyskać dostęp do informacji o osobach, nie może uzasadniać tego, że prawodawca przewiduje publiczny dostęp do tych informacji.
Na temat dostępu do danych osobowych zawartych w rejestrach publicznych udostępnionych w Internecie wypowiadał się też Europejski Trybunał Praw Człowieka. W wyroku z 9 marca 2023 r. w sprawie L.B. przeciwko Węgrom (skarga nr 36345/16) wskazał na nieproporcjonalną ingerencję w prawo do prywatności, w sytuacji publikacji na stronie internetowej organu podatkowego danych osobowych poważnych dłużników podatkowych, w tym ich adresu zamieszkania.
Potrzebne kompleksowe i systemowe działania aby zapewnić skuteczną ochronę wolności i praw człowieka i obywatela
Rzecznik wielokrotnie zwracał uwagę na zagrożenia dla prawa do prywatności i ochrony danych osobowych, jakie wynikają z udostępniania danych osobowych obywateli w publicznych rejestrach/bazach danych, które zawierają także numer PESEL. Podkreślał, że jawność nr PESEL stwarza wysokie ryzyko naruszenia prywatności jednostki, z uwagi m. in. na możliwość kradzieży tożsamości.
Zgodnie z art. 51 ust. 2 Konstytucji RP władze publiczne nie mogą pozyskiwać gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Na naruszenie rozporządzenia RODO i standardów unijnych dotyczących dopuszczalności wprowadzania uregulowań krajowych wpływających na ograniczenie praw do ochrony prywatności i danych osobowych wskazywał też Prezes Urzędu Ochrony Danych Osobowych.
Uwagi i standardy wynikające z orzecznictwa europejskich trybunałów należy odnieść zarówno do aktualnych regulacji dotyczących publicznych rejestrów, jak i do nowo tworzonych (m.in. tworzonego przez MF rejestru umów osób pełniących funkcje publiczne, który ma wejść w życie 1 stycznia 2024 r.).
W ocenie Rzecznika trzeba podejmować systemowe i kompleksowe działania w tym obszarze. Powinny się one także odbywać równolegle do prac nad projektem ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości (UD472).
O odniesienie się do uwag i potrzeby zmian przepisów Marcin Wiącek prosi minister Magdalenę Rzeczkowską.
VII.501.58.2020