Przepisy nowego rozporządzenia Unii Europejskiej w sprawie informacji towarzyszących transferom środków pieniężnych i niektórych kryptoaktywów („Rozporządzenie AML”) nakładają na dostawców usług kryptoaktywów obowiązek udostępniania informacji o osobach uczestniczących w takich transferach organom władzy publicznej na ich żądanie. To budzi wątpliwości dotyczące dopuszczalności stosowania takich przepisów i ingerencji w prywatność tych osób. Czy nowe przepisy zapewniają odpowiednią ochronę prawa do prywatności osób uczestniczących w transferach kryptoaktywów?
Osoby uczestniczące w transferze kryptoaktywów i zakres informacji udostępnianych organom władzy publicznej
Wraz z rozpoczęciem obowiązywania rozporządzenia UE w sprawie rynku kryptoaktywów, znanym jako „MiCA”, zaczną obowiązywać przepisy Rozporządzenia AML. Jego przepisy nakładają na dostawców usług w zakresie kryptoaktywów obowiązek dołączania do każdego transferu kryptoaktywów informacji dotyczących inicjatora i beneficjenta tego transferu oraz ich udostępniania organom władzy publicznej na ich żądanie.
Inicjatorem jest osoba, która przechowuje kryptoaktywa u dostawcy usług w zakresie kryptoaktywów oraz zezwala, składa zlecenie lub inicjuje transfer kryptoaktywów. Beneficjentem jest zaś osoba będąca zamierzonym odbiorcą danego transferu kryptoaktywów. W odniesieniu do kryptoaktywów i dostawców usług w zakresie kryptoaktywów Rozporządzenie AML odsyła do definicji zawartych w MiCA. W skrócie: dostawcą usług w zakresie kryptowaktywów jest przedsiębiorca świadczący usługi związane z kryptoaktywami, np. administrowania i zarządzania portfelami, wymianą kryptoaktywów na pieniądz fiducjarny lub inne kryptoaktywa, czy wykonywania zleceń związanych z kryptoaktywami. Kryptoaktywem zaś jest cyfrowe odzwierciedlenie wartości lub prawa, które da się przenosić i przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej technologii. Oznacza to, że dostawca usług będzie udostępniał organom władzy publicznej informacje o każdej osobie, która zleci transfer kryptoaktywa lub będzie jego odbiorcą, o ile w taki transfer będzie zaangażowany dostawca usług w zakresie kryptoaktywów.
Każdy transfer kryptoaktywa będzie zawierał dane służące do zidentyfikowania jego inicjatora i beneficjenta. Informacje te będą obejmować ich imiona i nazwiska, adresy rozproszonego rejestru lub numery rachunków kryptoaktywów oraz ich oficjalne numery identyfikacyjne (np. numery LEI). Dodatkowo transfer będzie zawierał informację o adresie zamieszkania inicjatora, numerze urzędowego dokumentu osobistego oraz numerze identyfikacyjnym klienta. Dostawca będzie musiał zweryfikować poprawność ww. informacji na podstawie dokumentów, danych lub informacji uzyskanych z wiarygodnego i niezależnego źródła. Należy więc założyć, że dostawcy będą żądali od inicjatorów i beneficjentów udostępnienia skanu dowodu osobistego, potwierdzenia tożsamości za pomocą środków identyfikacji elektronicznej (np. ePUAP) czy rozmowy z konsultantem dostawcy. Jeżeli ww. informacje nie zostaną zweryfikowane lub będą niepełne, dostawca usług obsługujący inicjatora będzie mógł m.in. odmówić wykonania transferu kryptoaktywów, zaś dostawca usług obsługujący beneficjenta odrzucić taki transfer lub zwrócić kryptoaktywa na rachunek inicjatora. Dodatkowo, jeżeli transfer kryptoaktywów będzie dokonywany na adres niehostowany – chodzi tutaj o adresy portfeli niekustodialnych, czyli takich które nie przechowują kluczy prywatnych klientów – dostawca usług będzie zobowiązany do uzyskania ww. informacji oraz zapewnienia możliwości indywidualnej identyfikacji takiego transferu kryptoaktywów. Jeżeli zaś wartość takiego transferu przekroczy 1000 euro, dostawca usług będzie musiał dodatkowo ocenić czy taki adres niehostowany jest własnością inicjatora lub jest przez niego kontrolowany.
Z analizy przepisów Rozporządzenia AML wynika, że organy władzy publicznej będą miały dostęp do szerokiego zakresu informacji dotyczących inicjatora i beneficjenta transakcji. Na ich podstawie będzie można dowiedzieć się nie tylko o transferze kryptoaktywów i osobach w nim uczestniczących ale również o życiu prywatnym tych osób, np. miejscu dokonywania zakupów przez inicjatora, miejscu spędzania wolnego czasu i itp. Wbrew pozorom wykorzystywanie kryptoaktywów (głównie bitcoina) w transakcjach życia codziennego staje się coraz bardziej popularne (przykładowo: tylko zgodnie z danymi ze strony https://btcmap.org/community/dwadzie%C5%9Bcia-jeden?ref=dwadziesciajeden.pl, bitcoinem można zapłacić już w 269 miejscach w Polsce).
Prawo do prywatności a udostępnienie danych organom władzy publicznej
Prawo do prywatności jest podstawowym prawem człowieka. Zostało ono zagwarantowane w konwencjach międzynarodowych i traktatach europejskich. Na poziomie międzynarodowym prawo to zostało wyrażone w art. 12 Powszechnej Deklaracji Praw Człowieka, zaś na poziomie europejskim w dwóch dokumentach: Europejskiej Konwencji Praw Człowieka oraz Karcie Praw Podstawowych UE („Karta”). Co istotne, oba te dokumenty są częścią prawa Unii Europejskiej. Temu drugiemu przyznano moc równą traktatom. Ma to istotne znaczenie dla prawodawstwa Unii Europejskiej, ponieważ akty prawne uchwalane przez Unię Europejską muszą być zgodne z prawami i zasadami zagwarantowanymi w Karcie, a ewentualna sprzeczność tych aktów z Kartą powinna prowadzić do ich wyeliminowania z obrotu prawnego. Prawo do prywatności zostało również zagwarantowane w art. 47 polskiej Konstytucji.
Istotą prawa do prywatności jest wolność od ingerencji władzy publicznej w sferę życia osobistego każdego człowieka. Obejmuje ono prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się. Dotyczy ono także wszelkich danych finansowych w szczególności informacji o rachunkach bankowych, posiadanych środkach pieniężnych lub kryptoaktywach i wykonywanych transakcjach. Z ingerencją w sferę życia prywatnego mamy do czynienia niezależnie od tego, czy informacje związane z życiem prywatnym mają charakter wrażliwy ani czy zainteresowana osoba doświadczyła ewentualnych niedogodności (zob. wyrok TSUE w połączonych sprawach C-293/12 i C-594/12 z 8.04.2014 r., pkt 33; podobnie wyrok Österreichischer Rundfunk i in., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 75). Orzecznictwo TSUE podkreśla, że za dodatkową ingerencję w to prawo należy też uznać możliwość uzyskania dostępu do tych danych przez właściwe organy krajowe (zob. wyrok TSUE w połączonych sprawach C-293/12 i C-594/12 z 8.04.2014 r., pkt 35 i powołane tam orzecznictwo). Nie ma więc wątpliwości, że możliwość dostępu do informacji dotyczących transferu kryptoaktywów stanowi ingerencję w prawo do prywatności inicjatora i beneficjenta takiej transakcji.
Warunki dopuszczalności dostępu organów władzy publicznej do informacji o osobie
Prawo do prywatności nie jest absolutne i może zostać ograniczone. Takie ograniczenie zazwyczaj polega na przyznaniu organom państwowym prawa dostępu do tych danych w związku z koniecznością realizacji celu interesu ogólnego, np. bezpieczeństwa narodowego, przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
Ogólne warunki ograniczenia prawa do prywatności w Unii Europejskiej określa art. 52 Karty. Zgodnie z nim takie ograniczenie musi zostać wprowadzone na podstawie ustawy (na poziomie UE będzie to rozporządzenie lub dyrektywa) oraz jeżeli jest konieczne i rzeczywiście odpowiada celom interesu ogólnego uznawanego przez Unię. Na gruncie tego drugiego warunku, orzecznictwo Trybunału Sprawiedliwości UE wypracowało dwie przesłanki, które muszą zostać spełnione łącznie, żeby ingerencja w prawo do prywatności była dopuszczalna.
Po pierwsze dostęp do informacji dotyczących sfery życia prywatnego może zostać przyznany organom władzy publicznej w odniesieniu do danych osób podejrzewanych o planowanie, popełnianie czy też popełnienie poważnego przestępstwa. Po drugie taki dostęp musi być wcześniej zatwierdzony przez sąd lub niezależny organ administracyjny, na uzasadniony wniosek organu władzy publicznej złożony w ramach toczącego się postępowania karnego.
Innymi słowy, dostęp do informacji o osobie powinien być badany indywidualnie w odniesieniu do każdego przypadku. W ramach tego badania, sąd lub niezależny organ powinien ocenić czy istnieje uzasadnione przypuszczenie, że osoba której dane mają zostać udostępnione, mogła popełnić przestępstwo lub może mieć związek ze zdarzeniem wypełniającym znamiona przestępstwa, oraz czy przestępstwo ma charakter na tyle poważny, że uzasadnia ingerencję w prawo do prywatności tej osoby. Ocena powinna zostać dokonana nie tylko na podstawie twierdzeń organu ale przede wszystkim na podstawie zgłoszonych dowodów. Brak spełnienia któregokolwiek z warunków powinien stanowić podstawę do odmowy dostępu do danych.
Rozporządzenie AML a warunki dopuszczalności udostępnienia danych organom władzy publicznej
Rozporządzenie AML nie określa proceduralnych przesłanek, które muszą zostać spełnione, żeby organy władzy publicznej mogły uzyskać dostęp do informacji o inicjatorze i beneficjencie transferu kryptoaktywów. Art. 25 Rozporządzenia AML stanowi tylko, że udostępnienie ma nastąpić zgodnie z wymogami proceduralnymi określonymi w prawie krajowym państwa członkowskiego, ma nastąpić niezwłocznie i wyłącznie na zapytania organów odpowiedzialnych za zwalczanie prania pieniędzy lub finansowania terroryzmu.
Taka regulacja jest nieefektywna i nie gwarantuje ochrony prawa do prywatności. Potwierdzają to liczne orzeczenia Trybunału Sprawiedliwości UE wydane na podstawie art. 7, 8 i 52 Karty, w których Trybunał wielokrotnie stwierdzał sprzeczność przepisów krajowych uprawniających organy władzy publicznej do uzyskania dostępu do informacji o osobie z przepisami Karty. Z analizy tych orzeczeń jednoznacznie wynika, że państwa członkowskie nieprawidłowo wdrażają procedury dotyczące udostępniania danych organom władzy publicznej. Do najczęstszych „błędów” można zaliczyć brak uprzedniej kontroli zasadności udostępnienia danych przez sąd lub niezależny organ, brak niezależności organu kontrolującego udostępnianie danych, zbyt szeroki zakres udostępnianych danych czy brak konieczności wszczęcia postępowania w sprawie w związku z którą dane mają zostać udostępnione.
Ponadto przepisy Rozporządzenia AML mogą prowadzić do nierówności w zapewnieniu prawa do prywatności obywateli UE w państwach członkowskich. Nieokreślenie przesłanek warunkujących dostęp do informacji w Rozporządzeniu AML może doprowadzić do sytuacji, w której jedno państwo członkowskie wprowadzi procedury zapewniające prawo do prywatności osób, których dane będą udostępniane, a inne państwo może takich praw nie zagwarantować. Unia Europejska dążąc do zapewnienia jednolitego stosowania przepisów Rozporządzenia AML w całej Unii – co dotyczy również prawa do prywatności – powinna na poziomie europejskim wprowadzić jednolite zasady dostępu organów władzy publicznej do informacji zbieranych na podstawie Rozporządzenia AML.
Powyższa analiza prowadzi do wniosku, że przepisy Rozporządzenia AML nie gwarantują wystarczającej ochrony sfery życia prywatnego inicjatora i beneficjenta transakcji. Pozostaje zatem mieć nadzieję, że państwa członkowskie staną na wysokości zadania i wdrożą odpowiednie procedury dostępu do informacji zgodne z wytycznymi wynikającymi z orzecznictwa TSUE. Niezastosowanie się do tych wytycznych może zaś prowadzić do ich uchylenia jako niezgodnych z art. 7, 8 w zw. z art. 52 Karty.
