Projekt ustawy zmieniającej regulacje dotyczące przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML), datowany na 31 marca 2025 r., wprowadza istotne modyfikacje w zakresie dostępu do informacji zgromadzonych w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR). Zmiany te stanowią bezpośrednią odpowiedź na przełomowy wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 22 listopada 2022 r. (sprawy połączone C-37/20 i C-601/20), który zakwestionował pełną, nieograniczoną jawność Rejestru jako środek naruszający prawa podstawowe.
W świetle stanowiska Prezesa Urzędu Ochrony Danych Osobowych (UODO), Mirosława Wróblewskiego, choć samo odejście od pełnej jawności jest krokiem w kierunku respektowania praw gwarantowanych przez Kartę Praw Podstawowych (art. 7 i 8), proponowane rozwiązania w zakresie dostępu na podstawie „uzasadnionego interesu” wciąż budzą poważne wątpliwości natury prawnej i proporcjonalności.
1. Fundamentalne Ostrzeżenie: Konieczność Oceny Skutków dla Ochrony Danych (DPIA)
Prezes UODO w piśmie z 30 kwietnia 2025 r. podkreśla, że ze względu na fakt, iż CRBR jest rejestrem centralnym, który zawsze stwarza ryzyko profilowania osób fizycznych i wykorzystywania ich danych osobowych w innych celach niż pierwotnie zakładane, projektowana regulacja wymaga przeprowadzenia oceny skutków regulacji dla ochrony danych osobowych (DPIA). Organ nadzorczy wskazuje, że projektowane przetwarzanie danych na szeroką skalę, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Pominięcie kompleksowej oceny skutków może prowadzić do negatywnych konsekwencji dla podmiotów danych oraz dla samego ustawodawcy.
2. Ryzyko Dalszej Nieproporcjonalności: Brak Definicji „Uzasadnionego Interesu”
Projekt ustawy uchyla dotychczasowe przepisy o jawności (uchylenie art. 67) i wprowadza model, w którym dostęp do informacji z Rejestru (w ograniczonym zakresie, Art. 68d ust. 1) jest możliwy na wniosek każdego, kto wykaże uzasadniony interes związany z przeciwdziałaniem praniu pieniędzy, finansowaniu terroryzmu lub powiązanych czynów zabronionych.
Krytyka UODO koncentruje się na braku precyzyjnej definicji tego kluczowego pojęcia w ustawie. Co więcej, projektodawca wskazuje wprost szeroki katalog podmiotów, które są uznawane za posiadające ten interes (tzw. domniemanie uzasadnionego interesu, Art. 68d ust. 2). Zdaniem UODO, tak szerokie ujęcie katalogu podmiotów uprawnionych (obejmujące m.in. dziennikarzy i organizacje pozarządowe) może prowadzić do udostępnienia danych „bardzo dużemu gronu zainteresowanych osób/podmiotów”, co wymaga pilnego doprecyzowania w przepisach ustawowych, aby wyeliminować niejasności interpretacyjne. Udostępnienie danych potencjalnie nieograniczonej liczbie osób stwarza ryzyko ich niewłaściwego wykorzystania.
3. Kwestia Dostawców Usług AML: Dostęp Komercyjnych Podmiotów Trzecich
Szczególną uwagę należy zwrócić na dodawany art. 68d ust. 2 pkt 14, który bezpośrednio dotyczy podmiotów trzecich dostarczających outsourcingu usług AML.
Projekt ustawy uznaje, że dostawcy produktów w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu posiadają uzasadniony interes do uzyskania informacji z CRBR. Dostęp tych komercyjnych podmiotów jest jednak obwarowany warunkami:
- Produkty opracowane na podstawie informacji z CRBR lub zawierające te informacje muszą być dostarczane wyłącznie klientom będącym instytucjami obowiązanymi lub określonym organom publicznym.
- Dostawcy muszą wykazać potrzebę dostępu do informacji na podstawie umowy o dostarczenie takich produktów, zawartej z instytucją obowiązaną lub organem.
Mimo iż przepis ten ma na celu wsparcie instytucji obowiązanych w realizacji ich zadań, z punktu widzenia UODO ta kategoria podmiotów może stanowić element ryzyka. Włączenie dostawców komercyjnych do grona podmiotów z domniemanym uzasadnionym interesem wpisuje się w ogólny trend, krytykowany przez UODO, nadmiernego poszerzania kręgu adresatów informacji.
W kontekście art. 47 ust. 1 i 2 obowiązującej ustawy, instytucje obowiązane mogą korzystać z usług podmiotu trzeciego przy stosowaniu środków bezpieczeństwa finansowego (np. identyfikacji beneficjenta rzeczywistego), ale nie zwalnia to instytucji obowiązanej z odpowiedzialności za prawidłowe zastosowanie tych środków. Nowy art. 68d ust. 2 pkt 14 rozszerza ten komercyjny dostęp bezpośrednio do Rejestru, zwiększając ryzyko związane z wtórnym wykorzystywaniem danych osobowych przez podmioty kierujące się interesem gospodarczym.
4. Zakres Przetwarzanych Danych: Problem Minimalizacji i Legalizmu
UODO wyraża zdecydowane zastrzeżenia co do zakresu danych przetwarzanych w Rejestrze oraz sposobu uregulowania tej materii w projekcie.
A. Wymóg PESEL i NIP: Przetwarzanie Nadmiarowe
Organ nadzorczy zwraca uwagę na fakt, że w przypadku wniosków o udostępnienie informacji (Art. 68e ust. 1 pkt 1), projektodawca wymaga jednoczesnego podania numeru PESEL i NIP. UODO ocenia to jako nadmiarowe z perspektywy zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO). Jeśli osoba fizyczna prowadząca działalność gospodarczą posiada NIP, ten numer powinien być wystarczający do identyfikacji na potrzeby wniosku. Ponadto, przetwarzanie numeru PESEL, jako krajowego numeru identyfikacyjnego, musi odbywać się z zachowaniem odpowiednich zabezpieczeń. Analogiczne wątpliwości dotyczą wymogu przetwarzania numeru PESEL do identyfikacji osób wykonujących czynności związane z udostępnianiem informacji z Rejestru (Art. 68c pkt 2).
B. Delegacja Ustawowa a Legalizm (Art. 71)
Kolejnym kluczowym zarzutem natury prawniczej jest projektowany Art. 71 ust. 7, upoważniający Ministra Finansów do określenia, w drodze rozporządzenia, „szczegółowego zakresu danych identyfikujących beneficjenta rzeczywistego”. UODO podkreśla, że niedopuszczalne jest dowolne określenie w rozporządzeniu zakresu przetwarzanych danych, zwłaszcza jeśli miałoby to wykraczać poza zakres określony w ustawie (Art. 59). Kluczowe elementy określające zakres ingerencji w autonomię informacyjną jednostki (w tym zakres danych, które mogą być przetwarzane) muszą być ustalone w samej ustawie. Projektowany Art. 71 wymaga zatem ponownej analizy pod kątem zasady legalizmu.
Podsumowanie
Prezes UODO stawia jasne warunki: aby przepisy dotyczące nowego, ograniczonego dostępu do CRBR były zgodne z RODO i Kartą Praw Podstawowych, muszą być konieczne i proporcjonalne. Obecny kształt projektu, choć reaguje na wyrok TSUE poprzez uchylenie pełnej jawności, nadal zawiera mechanizmy (szerokie pojęcie „uzasadnionego interesu”, dostęp komercyjny dla podmiotów trzecich oraz nadmiarowe zbieranie danych identyfikacyjnych) rodzące wysokie ryzyko dla praw i wolności osób fizycznych, co wymaga pilnej korekty na etapie legislacyjnym.
