Polska, jak i inne państwa UE, będzie musiała ograniczyć dostęp do Centralnego Rejestru Beneficjentów Rzeczywistych. Jego pełna jawność zbyt ingeruje w prywatność – uznał TSUE.
Aby skuteczniej zapobiegać terroryzmowi i praniu brudnych pieniędzy, ale także po to, by zwiększyć ogólną przejrzystość gospodarczą, już w 2015 r. przyjęto dyrektywę 2015/849 nakazującą państwom członkowskim tworzenie rejestrów beneficjentów rzeczywistych, czyli osób sprawujących kontrolę nad spółkami. W 2018 r. zmieniono ją dyrektywą 2018/843, która nakazała zapewnić pełną jawność informacji zawartych w tych bazach danych. W Polsce taką bazę stanowi Centralny Rejestr Beneficjentów Rzeczywistych (CRBR), do którego dostęp przez internet ma każdy zainteresowany (patrz: grafika). Teraz dostęp ten będzie musiał zostać ograniczony. Trybunał Sprawiedliwości Unii Europejskiej w najnowszym orzeczeniu stwierdził bowiem nieważność przepisu, który przewiduje, że informacje o beneficjentach rzeczywistych są bez ograniczeń udostępniane każdej osobie.
Prawa podstawowe
Wniosek prejudycjalny został skierowany przez luksemburski sąd, który rozpoznaje skargę udziałowca i osoby zarządzającej kilkoma spółkami działającymi w sektorze nieruchomości. Domagał się on ograniczenia dostępności informacji zawartych w rejestrze beneficjentów rzeczywistych ze względu na „wyjątkowe okoliczności”. Argumentował, że często musi podróżować do krajów o niestabilnych systemach politycznych, z dużą przestępczością i boi się, że może zostać porwany przez osoby, które zdobędą informacje o posiadanych przez niego udziałach.
Pytania skierowane do TSUE dotyczyły głównie tego, jak interpretować wspomniane „wyjątkowe okoliczności”. Trybunał poszedł jednak dalej i stwierdził nieważność art. 30 ust. 5 lit. c zmienionej dyrektywy 2015/849, czyli przepisu nakazującego udostępniać informacje o beneficjentach rzeczywistych każdej osobie.
- TSUE badał, czy przepisy nakazujące publikację listy beneficjentów rzeczywistych w ten sposób, że każdy może się z tą listą zapoznać, pozostają w zgodzie z art. 7 i 8 Karty praw podstawowych UE i uznał, że ingerencja w prawa zagwarantowane tymi przepisami nie jest ograniczona do tego, co ściśle konieczne, a więc jest zbyt szeroka i przez to niedopuszczalna. Mówiąc wprost - automatyczne publikowanie wszystkich wpisów w rejestrze jest działaniem nadmiarowym - relacjonuje wyrok dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Nie znaczy to, że TSUE całkowicie zakwestionował regulacje przewidujące dostęp do informacji o beneficjentach rzeczywistych. Przyznał wręcz wprost, że mogą one przyczynić się do realizacji celu, jakim jest walka z terroryzmem oraz praniem brudnych pieniędzy. Tyle że dobierając środki do tych celów, należy kierować się zasadą proporcjonalności.
„W szczególności odstępstwa od ochrony danych osobowych i jej ograniczenia są dokonywane w granicach tego, co bezwzględnie konieczne, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich środków do realizacji uzasadnionych celów, należy stosować najmniej dotkliwe” - podkreślił TSUE w uzasadnieniu wyroku.
Przepis nieważny
Trybunał zauważył, że należy wyważyć cel interesu ogólnego z jednej strony, z prawami podstawowymi z drugiej.
- Publiczny dostęp do danych o beneficjentach rzeczywistych tego nie realizuje, nie wiadomo bowiem, w jaki sposób środek ten miałby być niezbędny dla realizacji celu, dla którego rejestr powstał. Jednocześnie trybunał nie zakwestionował samego mechanizmu gromadzenia danych, lecz wyłącznie sposób ich udostępniania - zauważa dr Marcin Rojszczak, ekspert w zakresie cyberbezpieczeństwa i ochrony prywatności z Politechniki Warszawskiej.
Po stwierdzeniu nieważności art. 30 ust. 5 lit. c dyrektywy 2015/849 na poziomie prawodawstwa unijnego powstała luka prawna w zakresie udostępniania danych beneficjentów rzeczywistych podmiotom innym niż właściwe organy państwa czy same podmioty zobowiązane. Konieczna więc będzie korekta przepisów.
- W mojej ocenie wyrok trybunału doprowadzi do szybkiego dostosowania dyrektywy do standardów ochrony danych osobowych, co powinno zmotywować ustawodawcę krajowego do zmiany rozwiązań ustawowych w tym zakresie. Oczywiście sam ustawodawca powinien już dzisiaj podjąć działania w tym kierunku, gdyby zależało mu na ochronie praw. Znając jednak życie, spodziewam się w pierwszej kolejności reakcji Komisji Europejskiej - zauważa dr hab. Robert Suwaj, wykładowca na Politechnice Warszawskiej i adwokat w kancelarii Suwaj Zachariasz.
Uzasadniony interes
W jakim kierunku powinny pójść zmiany w przepisach krajowych?
- Trybunał wskazał, że rolą prawodawcy jest takie ukształtowanie zasad dostępu do danych z rejestru, aby zachować równowagę pomiędzy ingerencją w prywatność osób, których dane podlegają ujawnieniu, a potrzebą zapewnienia bezpieczeństwa obrotu gospodarczego (zapobiegania praniu pieniędzy i finansowania terroryzmu) - mówi dr Marcin Rojszczak.
- Oczywiście warunek ten może zostać spełniony różnymi środkami - np. poprzez ograniczenie swobodnego dostępu do danych wyłącznie do niektórych grup użytkowników (administracja publiczna, profesjonalni pełnomocnicy, instytucje zobowiązane, ale też np. dziennikarze). Sam rejestr również może być inaczej zorganizowany - np. w części publicznej może prezentować dane podstawowe, np. wskazujące kategorię, do której należy beneficjent, krajowa osoba fizyczna, osoba prawna, a dla osób zagranicznych - ich obywatelstwo oraz kraj zamieszkania - podpowiada ekspert.
W uzasadnieniu wyroku TSUE wprost wskazuje niektóre grupy potencjalnych odbiorców, dla których dostęp do informacji o beneficjentach rzeczywistych można uznać za uzasadniony. Chodzi chociażby o prasę czy organizacje pozarządowe zajmujące się zapobieganiem praniu pieniędzy i finansowaniu terroryzmu, ale i potencjalnych kontrahentów. Dużo lepszym rozwiązaniem, jego zdaniem, była wcześniejsza regulacja sprzed zmian dokonanych w 2018 r., która uzależniała dostęp od wykazania „uzasadnionego interesu”.
Na rozprawie przedstawiciele Komisji Europejskiej byli pytani, dlaczego wprowadzono zmiany w dyrektywie w tym zakresie. Odpowiedzieli, że problem stanowił brak jednolitej definicji pojęcia uzasadnionego interesu. Chociaż rozważano możliwość zaproponowania kryterium, które by przesądzało o „uzasadnionym interesie”, to ostatecznie zrezygnowano z niego, uznając, że jego stosowanie mogłoby prowadzić do arbitralnych decyzji.
Polska nie należy do krajów, które błyskawicznie reagują na orzecznictwo TSUE, więc można się spodziewać, że poczeka na skorygowanie dyrektywy. Ustawodawcę może jednak ponaglić Urząd Ochrony Danych Osobowych, jeśli z urzędu zajmie się przepisami polskiej ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2022 r. poz. 593), która przewiduje pełną jawność danych CRBR.
orzecznictwo
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 22 listopada 2022 r. w sprawach połączonych C-37/20 i C-601/20 www.serwisy.gazetaprawna.pl/orzeczenia