Stanowisko Prezesa UODO w kontekście zmian w CRBR

Wprowadzenie

Projekt ustawy o zmianie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT) z marca 2025 r. wprowadza fundamentalną zmianę w funkcjonowaniu Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR). Jest to bezpośrednia reakcja ustawodawcy na wyrok Trybunału Sprawiedliwości Unii Europejskiej z 22 listopada 2022 r. (połączone sprawy C-37/20 i C-601/20), który uznał pełną, nieograniczoną jawność rejestru za nieproporcjonalną ingerencję w prawo do prywatności i ochrony danych osobowych, gwarantowane w art. 7 i 8 Karty Praw Podstawowych UE.

Prezes Urzędu Ochrony Danych Osobowych (UODO), w swoim stanowisku z 30 kwietnia 2025 r., doceniając intencję dostosowania prawa do wyroku TSUE, wskazuje na szereg istotnych kwestii wymagających doprecyzowania, aby nowy model udostępniania danych – oparty na koncepcji „uzasadnionego interesu” – był zgodny z RODO i Konstytucją RP.

Zasada uzasadnionego interesu jako nowy paradygmat dostępu

Projekt ustawy odchodzi od modelu open access na rzecz systemu warunkowego. Zgodnie z nowym art. 68a i 68d, dostęp do danych CRBR został podzielony na dwa główne kanały:

  1. Dostęp bezpośredni (art. 68a): Przysługuje on wąsko określonej grupie podmiotów, takiej jak organy ścigania, prokuratura, służby specjalne, KAS, a także instytucje obowiązane (w celu stosowania środków bezpieczeństwa finansowego). Ten rodzaj dostępu jest relatywnie najmniej kontrowersyjny z punktu widzenia ochrony danych, gdyż służy realizacji konkretnych, ustawowych zadań w bezpośrednim związku z przeciwdziałaniem AML/CFT.
  2. Dostęp na podstawie uzasadnionego interesu (art. 68d): To kluczowa i najszerzej komentowana zmiana. Dostęp ten ma być udzielany na wniosek każdego, kto wykaże „uzasadniony interes związany z zapobieganiem lub zwalczeniem prania pieniędzy, finansowania terroryzmu lub czynów zabronionych związanych z korzyściami mogącymi stać się przedmiotem prania pieniędzy”.

Prezes UODO zwraca uwagę, że samo pojęcie „uzasadnionego interesu” nie zostało w projekcie zdefiniowane. Brak legalnej definicji tego kluczowego terminu, przy jednoczesnym bardzo szerokim katalogu podmiotów, które mogą go potencjalnie wykazać (m.in. dziennikarze, NGO-sy, podmioty z państw trzecich, a także „dostawcy produktów w zakresie AML”), stwarza poważne ryzyko dowolności interpretacyjnej. Może to prowadzić do sytuacji, w której dostęp do wrażliwych danych osobowych beneficjentów rzeczywistych będzie faktycznie nadal bardzo szeroki, co stoi w sprzeczności z ratio decidendi wyroku TSUE.

Dostawcy usług outsourcingu AML – nowy gracz w ekosystemie danych

Szczególną uwagę Prezes UODO zwraca na punkt 14 nowego art. 68d ust. 2, który expressis verbis wymienia wśród podmiotów legitymujących się uzasadnionym interesem: „dostawców produktów w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu”. Chodzi tu o firmy trzecie, które profesjonalnie zajmują się dostarczaniem narzędzi, baz danych i usług analitycznych wspierających procesy AML (tzw. outsourcing usług AML).

UODO podnosi, że dostęp tych podmiotów do CRBR jest warunkowy. Produkty opracowane na podstawie danych z rejestru mogą być dostarczane wyłącznie instytucjom obowiązanym lub organom publicznym wskazanym w ustawie. Ponadto, dostawca musi wykazać potrzebę dostępu do danych, opierając się na umowie z takim podmiotem.

Mimo tych zabezpieczeń, Prezes UODO wskazuje na konieczność zapewnienia dodatkowych gwarancji. Przetwarzanie danych przez podmioty komercyjne zawsze wiąże się z podwyższonym ryzykiem wtórnego wykorzystania danych lub ich wykorzystania w celach innych niż ściśle AML (np. marketingowych lub do budowy własnych, komercyjnych profili ryzyka). Kluczowe będzie precyzyjne określenie w umowach warunków i celów przetwarzania danych przez dostawcę, a także wprowadzenie skutecznych mechanizmów audytowych i nadzorczych, które zapewnią, że dane nie „wyciekną” poza zamknięty ekosystem AML.

Zakres udostępnianych danych a zasada minimalizacji

Projekt ustawy, w art. 68d ust. 1, precyzyjnie określa, które dane z art. 59 ustawy AML mogą być udostępniane w trybie uzasadnionego interesu. Są to m.in. imię i nazwisko, miesiąc i rok urodzenia, obywatelstwo, kraj zamieszkania oraz charakter prawnego interesu beneficjenta.

Prezes UODO pozytywnie ocenia to rozwiązanie, które implementuje zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Wyłączenie z dostępu pełnej daty urodzenia, dokładnego adresu czy numeru PESEL jest właściwym krokiem, ograniczającym poziom ingerencji w prywatność przy jednoczesnym zachowaniu użyteczności danych dla celów weryfikacyjnych.

Wnioski i rekomendacje Prezesa UODO

Stanowisko Prezesa UODO nie poddaje w wątpliwość samej konieczności zmian, ale koncentruje się na zapewnieniu ich zgodności z najwyższymi standardami ochrony danych. Główne rekomendacje i uwagi obejmują:

  1. Konieczność przeprowadzenia Oceny Skutków dla Ochrony Danych (DPIA): Ze względu na wysokie ryzyko, jakie nowy system przetwarzania danych stwarza dla praw i wolności osób, projektodawca powinien był przeprowadzić szczegółową DPIA już na etapie projektowania regulacji.
  2. Doprecyzowanie pojęcia „uzasadnionego interesu”: Niezbędne jest zawężenie i precyzyjne zdefiniowanie tego kluczowego pojęcia w ustawie, aby uniknąć zbyt swobodnej interpretacji i zapewnić rzeczywistą proporcjonalność systemu.
  3. Bezpieczeństwo systemu teleinformatycznego (SIGIIF 2.0): Przepisy powinny wyraźnie określać standardy techniczne i organizacyjne zabezpieczeń systemu, zwłaszcza że ma to być – jak wskazano w uzasadnieniu – „system jawny”.
  4. Szczególna ostrożność wobec dostawców zewnętrznych: Regulacja musi zawierać wyraźne i silne gwarancje, że dane udostępniane firmom outsourcingowym nie będą wykorzystywane do celów komercyjnych niezwiązanych bezpośrednio ze zwalczaniem prania pieniędzy, a ich przetwarzanie będzie podlegało ścisłej kontroli.
  5. Zasada rozliczalności i przejrzystości: Administratorzy danych (w tym Minister Finansów i GIIF) muszą być w stanie wykazać, że wszystkie operacje na danych są prowadzone zgodnie z RODO, a osoby, których dane dotyczą, powinny mieć jasność co do tego, kto i w jakim celu przetwarza ich dane.

Podsumowanie

Proponowana nowelizacja ustawy AML słusznie zmierza do naprawienia systemu CRBR po wyroku TSUE, wprowadzając bardziej wyważony model dostępu do danych. Jednakże, jak słusznie wskazuje Prezes UODO, diabeł tkwi w szczegółach. Sukces nowego modelu będzie zależał od tego, czy uda się wypracować precyzyjne, przejrzyste i nadające się do skutecznego wykonania przepisy, które z jednej strony nie zablokują dostępu niezbędnego do walki z przestępczością gospodarczą, a z drugiej – skutecznie ochronią obywateli przed nieproporcjonalną inwigilacją i komercyjnym wykorzystaniem ich wrażliwych danych osobowych. Kluczowe będzie znalezienie tego trudnego, ale koniecznego, punktu równowagi.