Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, rekomenduje udział Polski w postępowaniu przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE) w sprawie dotyczącej przetwarzania danych osobowych przez estońską jednostkę analityki finansowej. Jego zdaniem rozstrzygnięcie tej sprawy może mieć istotne znaczenie dla doprecyzowania polskich przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz ustalenia, które przepisy o ochronie danych mają w takich sytuacjach zastosowanie.
Sprawa C-222/25 – tło postępowania
Postępowanie przed TSUE zostało wszczęte na wniosek sądu estońskiego w ramach sprawy C-222/25 Rahapesu Andmebüroo. Dotyczy ono pytań prejudycjalnych w zakresie stosowania przepisów RODO oraz dyrektywy policyjnej 2016/680 w kontekście działalności podmiotów zajmujących się analizą transakcji finansowych.
Sprawę zainicjował obywatel Estonii, który zwrócił się do jednostki analityki finansowej Rahapesu Andmebüroo (RAB) o informację, czy przekazywała ona jego dane instytucjom kredytowym w Estonii lub za granicą, a także zagranicznym organom. Pytał również o istnienie dokumentacji kontrolnej dotyczącej jego osoby z lat 2012–2015 oraz o ewentualne zapytania kierowane do władz Stanów Zjednoczonych. RAB odmówiła udzielenia odpowiedzi, argumentując, że w walce z praniem pieniędzy i finansowaniem terroryzmu kluczowe jest utrzymywanie w tajemnicy gromadzonych i przekazywanych danych.
Estoński organ nadzorczy Andmekaitse Inspektsioon (AKI) uznał skargę obywatela i nakazał ponowne rozpatrzenie wniosku, a następnie – po kolejnej odmowie – wydał decyzję zobowiązującą RAB do przekazania danych. Organ powołał się na prawa wynikające z RODO. Mimo to jednostka analityki finansowej nie ujawniła informacji. Sprawa trafiła do estońskich sądów administracyjnych i Sądu Najwyższego, który skierował pytania do TSUE.
Znaczenie sprawy dla Polski
Prezes UODO podkreśla, że sprawa może mieć bezpośredni wpływ na interpretację polskich przepisów dotyczących jednostek analityki finansowej. W jego ocenie nie można przyjąć, że całość działań takich instytucji jest regulowana wyłącznie przez przepisy dyrektywy policyjnej. Powinny one podlegać także RODO, które w art. 15 gwarantuje osobie, której dane dotyczą, prawo dostępu do informacji o ich przetwarzaniu. Prawo to znajduje odzwierciedlenie również w art. 8 ust. 2 Karty Praw Podstawowych UE.
Zgodnie z art. 23 RODO możliwe jest ograniczenie prawa dostępu, jeśli wymaga tego ważny interes publiczny – np. bezpieczeństwo państwa czy ochrona gospodarki. Jednak ograniczenia muszą wynikać z jasnych przepisów, które określają m.in. zakres danych, okres ich przetwarzania i podmioty uprawnione do ich przetwarzania.
Konieczność doprecyzowania polskich regulacji
UODO wskazuje, że obecne brzmienie ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nie precyzuje jednoznacznie, czy osoba, której dane były przetwarzane przez instytucję finansową, może korzystać z prawa dostępu do informacji na podstawie RODO, czy też obowiązują ją przepisy wdrażające dyrektywę policyjną 2016/680. Rozstrzygnięcie TSUE może pomóc w wyjaśnieniu tej kwestii.
