1 dzień temu
Sprawa estońska przed TSUE
Punktem wyjścia jest sprawa TSUE, Rahapesu Andmebüroo, C-222/25, w której obywatel Estonii domagał się od krajowej jednostki analityki finansowej (RAB) informacji o tym, czy jego dane osobowe były przekazywane instytucjom kredytowym lub organom zagranicznym w związku z podejrzeniem prania pieniędzy. RAB odmówiła udzielenia odpowiedzi, powołując się na przepisy estońskiej ustawy AML (RahaPTS), które w sposób ogólny ograniczały prawo dostępu do danych.
Spór doprowadził do skierowania do TSUE pytań prejudycjalnych przez Sąd Najwyższy Estonii. Mają one znaczenie nie tylko dla prawa estońskiego, ale także dla innych państw członkowskich, w tym Polski, gdzie przepisy AML – ustawy z 1.3.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2025 r. poz. 644; dalej: TerroryzmU) i regulacje o ochronie danych budzą podobne wątpliwości.
Pierwsze pytanie dotyczyło, czy działalność jednostki analityki finansowej w całości mieści się w pojęciu „właściwych organów” z dyrektywy 2016/680, a więc podlega wyłączeniu z art. 2 ust. 2 lit. d RODO. Prezes UODO wskazał, iż nie każda czynność FIU ma charakter dochodzeniowo-śledczy, co oznacza, iż część operacji należy oceniać na podstawie RODO.
Drugie pytanie odnosiło się do odmowy ujawnienia nie tylko danych, ale choćby podstawy prawnej tej odmowy. Taki mechanizm mógłby prowadzić do całkowitej nieświadomości osoby co do faktu przetwarzania jej danych, co – jak zauważył Prezes UODO – podważa istotę prawa do ochrony danych.
Trzecie pytanie dotyczyło oparcia ograniczeń praw jednostki w przepisach krajowych odsyłających do aktów niższego rzędu. Zdaniem Prezesa UODO takie rozwiązanie nie spełnia wymogu jasności i przewidywalności, gdyż ograniczenia praw podstawowych muszą wynikać wprost z ustawy.
Czwarte pytanie koncentrowało się na odsunięciu prawa dostępu aż do czasu usunięcia danych. Prezes UODO uznał, iż takie rozwiązanie pozbawia jednostkę realnej ochrony i narusza zasadę proporcjonalności, ponieważ prawo do kontroli sądowej musi istnieć także w okresie przechowywania danych.
Znaczenie dla polskiej ustawy AML
W ocenie Prezesa UODO sprawa ma bezpośrednie znaczenie dla wykładni TerroryzmU. Polskie przepisy nie rozstrzygają jednoznacznie, czy osoby, których dane są przetwarzane przez instytucje finansowe i przekazywane Generalnemu Inspektorowi Informacji Finansowej, mogą korzystać z prawa dostępu do danych na podstawie RODO, czy też zastosowanie mają przepisy wdrażające dyrektywę 2016/680. Brak tej precyzji rodzi ryzyko rozbieżności interpretacyjnych, a w konsekwencji także wątpliwości co do legalności przetwarzania danych w tym obszarze.
Szczególnie krytycznie oceniono art. 66 TerroryzmU, który w odniesieniu do danych gromadzonych w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR) wyłącza stosowanie art. 15 ust. 1 lit. c RODO, tj. prawa do informacji o odbiorcach danych. Prezes UODO wskazuje, iż tak szerokie wyłączenie może być niezgodne z art. 23 RODO, gdyż obejmuje także osoby, wobec których nie jest prowadzone żadne postępowanie. W ten sposób ustawodawca wprowadził regulację, która wykracza poza ramy dopuszczalnych ograniczeń przewidzianych w prawie unijnym.
Problem CRBR i prawa dostępu do danych
CRBR od początku budził kontrowersje w kontekście ochrony danych osobowych. Ustawodawca przyjął rozwiązanie polegające na szerokiej jawności rejestru i udostępnianiu danych publicznie, co miało służyć przejrzystości obrotu gospodarczego i walce z praniem pieniędzy. Jednocześnie ustawodawca przewidział wyłączenie stosowania jednego z podstawowych uprawnień podmiotu danych – prawa do informacji o odbiorcach danych.
Prezes UODO wskazuje, iż takie rozwiązanie budzi poważne wątpliwości z punktu widzenia zasady proporcjonalności. Zgodnie z art. 52 ust. 1 Karty Praw Podstawowych UE (Dz.Urz. UE C z 2010 r. Nr 83, s. 389; dalej: KPP) wszelkie ograniczenia praw podstawowych muszą być przewidziane ustawą, szanować istotę tych praw i być proporcjonalne do zamierzonego celu. W tym przypadku ograniczenie ma charakter generalny i nie uwzględnia indywidualnej sytuacji podmiotu danych. o ile TSUE w sprawie C-222/25 przyjmie interpretację wzmacniającą prawa jednostki, konieczna może okazać się rewizja art. 66 TerroryzmU.
Błędy implementacji dyrektywy 2016/680
Kolejnym problemem wskazanym przez Prezesa UODO jest niepełna implementacja dyrektywy 2016/680 w polskiej ustawie z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (t.j. Dz.U. z 2023 r. poz. 1206; dalej: OchrDanychZwPrzestU). Ustawa ta przewiduje wyłączenia spod swojego stosowania w niektórych obszarach, co w praktyce ogranicza kompetencje Prezesa UODO jako organu nadzorczego. Może to prowadzić do sytuacji, w której osoby, których dane są przetwarzane w ramach działań organów publicznych związanych z przeciwdziałaniem przestępczości, mają ograniczone możliwości skutecznej ochrony swoich praw. Prezes UODO podkreślił, iż dyrektywa 2016/680 kładzie szczególny nacisk na niezależność organu nadzorczego i zapewnienie osobom fizycznym prawa do skutecznych środków ochrony prawnej. Brak pełnego wdrożenia tych wymagań w polskim systemie prawnym budzi wątpliwości co do zgodności krajowych regulacji z prawem unijnym. Niezależność organu nadzorczego nie jest przy tym jedynie formalnym wymogiem, ale gwarancją realnej ochrony jednostki w obszarach, gdzie ryzyko nadużyć jest szczególnie wysokie
Orzecznictwo TSUE jako punkt odniesienia
Stanowisko Prezesa UODO nie ogranicza się do analizy prawa krajowego i unijnego, ale szeroko odwołuje się do orzecznictwa TSUE. W wyroku z 30.4.2024 r., La Quadrature du Net, C-470/21, Legalis, TSUE zwrócił uwagę, iż ocena dopuszczalności przetwarzania danych przez organy publiczne musi uwzględniać przede wszystkim cel przetwarzania i konieczność zapewnienia proporcjonalności ingerencji w prawa podstawowe.
Z kolei w wyroku z 22.11.2022 r., Luxembourg Business Registers, C-37/20 i C-601/20, Legalis, TSUE wskazał, iż wszelkie ograniczenia praw jednostki muszą być przewidziane w sposób jasny i precyzyjny w ustawie oraz spełniać wymogi proporcjonalności i zapewniać odpowiednie gwarancje przeciwko nadużyciom.
W wyroku z 24.2.2022 r., Valsts ieņēmumu dienests, C-175/20, Legalis, TSUE zaakcentował konieczność zapewnienia osobie, której dane dotyczą, realnej możliwości dochodzenia swoich praw i poddania działań organu kontroli sądowej. Orzeczenia te łącznie pokazują, iż na gruncie art. 7, 8 i 47 KPP standardy ochrony danych osobowych nie dopuszczają całkowitego pozbawienia jednostki ochrony prawnej, a każde ograniczenie musi być szczegółowo uregulowane i podlegać niezależnej kontroli.
Konieczność zapewnienia sądowej kontroli
Na tle powyższych rozważań Prezes UODO podkreśla, iż odsunięcie w czasie możliwości skorzystania z prawa dostępu, aż do momentu usunięcia danych, jak to przewidują przepisy estońskie, jest niezgodne z prawem unijnym. PUODO zauważa przy tym, iż również w Polsce należałoby zagwarantować odpowiednie mechanizmy kontroli sądowej, aby uniknąć podobnych ryzyk.
Ochrona praw jednostki nie może być iluzoryczna. choćby o ile względy bezpieczeństwa lub interes publiczny uzasadniają ograniczenia, to muszą one mieć charakter czasowy, proporcjonalny i podlegać kontroli sądu lub niezależnego organu. Brak takiej kontroli prowadzi do naruszenia istoty prawa do ochrony danych osobowych i prawa do prywatności gwarantowanych w KPP.
Potrzeba nowelizacji przepisów krajowych
Z perspektywy polskiego porządku prawnego stanowisko Prezesa UODO w sprawie C-222/25 wskazuje na trzy najważniejsze obszary wymagające interwencji legislacyjnej. Po pierwsze, zmiany wymaga TerroryzmU, w której brak jest jasnego rozgraniczenia, w jakim zakresie prawa podmiotów danych wynikają z RODO, a w jakim z przepisów implementujących dyrektywę 2016/680. Po drugie, konieczna jest rewizja przepisu art. 66 TerroryzmU dotyczącego CRBR, który wyłącza stosowanie prawa do informacji o odbiorcach danych i narusza zasadę proporcjonalności. Po trzecie, poprawy wymaga OchrDanychZwPrzestU, która wadliwie wdrożyła dyrektywę 2016/680, w szczególności poprzez art. 3 OchrDanychZwPrzestU ograniczający stosowanie ustawy w niektórych obszarach, co skutkuje zawężeniem kompetencji organu nadzorczego i ograniczeniem praw jednostki.
Podsumowanie
Sprawa C-222/25 nie jest jedynie estońskim problemem – jej rozstrzygnięcie przez TSUE może przesądzić o konieczności zmian w polskim systemie prawnym. Stanowisko PUODO pokazuje, iż obecne przepisy dotyczące AML i ochrony danych w działalności organów ścigania zawierają luki i potencjalne niezgodności z prawem unijnym. Udział Polski w postępowaniu prejudycjalnym daje szansę nie tylko na wyjaśnienie zakresu stosowania RODO i dyrektywy 2016/680, ale także na zainicjowanie zmian legislacyjnych, które wzmocnią prawa jednostki i zapewnią zgodność krajowych regulacji z unijnymi standardami ochrony danych.
