Polska powinna wziąć udział w postępowaniu przed TSUE w estońskiej sprawie przetwarzania danych przez jednostkę analityki finansowej. Sprawa ta może pomóc w doprecyzowaniu polskich przepisów ustawy o zapobieganiu praniu brudnych pieniędzy i zapobieganiu terroryzmu, a także tego, jakie przepisy o ochronie danych mają tu zastosowanie.

Prezes UODO, Mirosław Wróblewski, przedstawił takie stanowisko w odpowiedzi na pytanie sekretarza stanu w kancelarii premiera Ignacego Niemczyckiego. Sprawa dotyczy postępowania C-222/25 Rahapesu Andmebüroo i pytań prejudycjalnych sądu estońskiego w zakresie stosowania przepisów RODO oraz przepisów dyrektywy policyjnej 2016/680 w kontekście działania podmiotów analityki finansowej.

Postępowanie w Estonii

Postępowanie przed TSUE zostało wszczęte w związku z pytaniami sądu estońskiego. Sprawę zainicjował obywatel Estonii, któremu jednostka analityki finansowej Rahapesu Andmebüroo (RAB) odmówiła udzielenia informacji, czy przekazywała ona estońskim lub zagranicznym instytucjom kredytowym, bądź zagranicznym organom informacje dotyczące podejrzenia prania pieniędzy, odnoszące się do niego. Skarżący pytał również RAB, czy w latach 2012–2015 utworzyła dotyczącą go dokumentację kontrolną i czy zwracała się z zapytaniami o niego do Stanów Zjednoczonych. Także na to pytanie RAB odmówiła odpowiedzi. Obywatel Estonii zwrócił się wówczas do estońskiego organu nadzorczego Andmekaitse Inspektsioon (AKI).

AKI uwzględnił skargę administracyjną i zobowiązał RAB do ponownego zbadania wniosku o udzielenie informacji, zaś RAB ponownie oddalił wniosek, po czym skarżący po raz kolejny wniósł skargę administracyjną do AKI. Organ nadzorczy wydał decyzję i zastosował środek tymczasowy, na mocy którego zobowiązał RAB do przekazania obywatelowi informacji na jego temat. AKI uzasadnił swoją decyzję tym, że chodzi tu o zapisane w RODO prawa osoby, której dane dotyczą. RAB informacji jednak nie ujawniła tłumacząc, że w ramach walki z praniem pieniędzy i finansowaniem terroryzmu kluczowe jest utrzymywanie w tajemnicy wszystkich danych przekazywanych i zbieranych przez RAB.

Sprawa była rozpatrywana przez sądy administracyjne, Sąd Najwyższy Estonii, a także przez estoński organ nadzorczy AKI. W efekcie estoński sąd zadał pytania do TSUE, dotyczące tego jak należy interpretować estońskie przepisy w świetle europejskich przepisów o ochronie danych osobowych: RODO i dyrektywy policyjnej.

Stanowisko PUODO

Prezes UODO wskazuje, że Polska powinna przystąpić do tej sprawy, bo jej rozstrzygnięcie ma znaczenie także dla polskich przepisów i ochrony danych osobowych w Polsce. Należałoby przyjąć, że działania podmiotów analityki finansowej nie mogą w całości być regulowane przez przepisy dyrektywy policyjnej, która pozwala państwom, w niektórych przypadkach, ograniczać niektóre prawa w związku z koniecznością zapewnienia bezpieczeństwa. Instytucje te mogą w pełnym zakresie podlegać przepisom RODO.

W myśl art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania do nich dostępu. Podobne prawo gwarantuje się osobie, której dane dotyczą, w art. 8 ust. 2 Karty Praw Podstawowych UE.

Artykuł 23 RODO umożliwia ograniczenie tego prawa, jeżeli służy to określonym interesom publicznym. Takim interesem publicznym jest ważny interes gospodarczy lub finansowy Unii lub państwa członkowskiego. W myśl motywu 41 RODO możliwe jest takie podejście do interpretacji przepisów rozporządzenia, że użyte w nim wyrazy „podstawa prawna” lub „akt prawny” niekoniecznie oznaczać muszą przyjęcie aktu prawnego przez parlament. W takim wypadku wdrożenie aktu prawnego muszą regulować odpowiednie przepisy, w których należy określić, kto, w jaki sposób i w jakim okresie może przetwarzać jakie dane, nie udzielając osobie, której one dotyczą, informacji na ten temat.

W ocenie Prezesa UODO należy uznać, że udział Polski w postępowaniu w sprawie C-222/25może być rozważany w kontekście niezmienionego brzmienia przepisów ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2025 r., poz. 644), z której nie wynika jasno, czy osoba, której dane osobowe były przetwarzane (w tym udostępnione) przez instytucję finansową, ma prawo do skorzystania z prawa do uzyskania informacji na temat okoliczności takiego przetwarzania na podstawie RODO, czy ustawy wdrażającej dyrektywę policyjną 2016/680.

DPNT.0623.12.2025