Pozastavil Súdny dvor Európskej únie cestu za transparentnosťou?
Luxemburský obchodný register v. Sovim SA
Ukázalo sa, že je ťažké nájsť rovnováhu medzi právom na súkromie a potrebou predchádzať trestnej činnosti vo forme prania špinavých peňazí a financovania terorizmu.
Smernica Európskej únie (ďalej len „EÚ“) o boji proti praniu špinavých peňazí[1] (ďalej len „smernica AMLD“) ustanovila, okrem iného, povinnosť členských štátov zaviesť centrálne registre skutočných vlastníkov spoločností. V týchto registroch sa evidujú alebo zverejňujú, okrem iného, aj osobné údaje o tzv. konečných užívateľoch výhod – fyzických osobách, ktoré skutočne „stoja“ na konci vlastníckej štruktúry spoločností. Na druhú stranu, EÚ zároveň intenzívne presadzuje záujem na ochrane osobných údajov fyzických osôb, najmä prostredníctvom všeobecného nariadenia o ochrane osobných údajov[2] (ďalej len „nariadenie GDPR“).
Tento prirodzený právny konflikt vyvrcholil v nedávnom spore v spojených veciach Luxemburské obchodné registre (vec C-37/20) a Sovim (vec C-601/20)[3], ktorými zdanlivo Súdny dvor EÚ zahatal cestu EÚ k transparentnosti.
Vyvažovanie práva na súkromie a potreby predchádzať trestnej činnosti
Právo na súkromie je základným ľudským právom garantovaným Európskym dohovorom o ľudských právach[4] (ďalej len „EDĽP“) či 16 Ústavou Slovenskej republiky[5]. Obsah práva na súkromie a súkromný život ako takého nemá jednotnú univerzálne uplatniteľnú definíciu. Vo všeobecnosti možno právo na súkromie opísať ako právo jednotlivcov utajiť alebo utajovať určité aspekty svojho života a kontrolovať, kto má prístup k informáciám o nich.
Proponenti ochrany súkromia argumentujú, že bez súkromia nemožno hovoriť o dôstojnosti a zmysle pre individualitu.[6] Na druhej strane zástancovia transparentnosti tvrdia, že súkromie je často zneužívané zločincami hľadajúcimi úkryt pre svoje financie za pomoci netransparentných štruktúr, a preto je dôležité, aby existovala možnosť ich súkromie narušiť. Narušenie súkromia tým, že určitá skupina verejnosti (alebo široká verejnosť) má prístup k informáciám o konečných užívateľoch výhod má odstrašujúci účinok, umožňuje väčšiu kontrolu a uľahčuje vyšetrovanie.
Rovnováha medzi ochranou práva na súkromie a záujmom predchádzať trestnej činnosti je preto komplexnou právnou otázkou. Oba právne inštitúty je potrebné posudzovať vo vzťahu k ich funkcii v spoločnosti a musia byť vyvážené s ostatnými základnými právami, v súlade so zásadou proporcionality.
V minulých rokoch sme boli svedkami výrazného narúšania práva na súkromie. Medzinárodné organizácie, ako napríklad OECD a EÚ, ako aj štáty samotné reagovali na finančnú trestnú činnosť zavedením noriem na zvýšenie transparentnosti – ktoré už zo svojej podstaty súkromie dekonštruujú. Najvýznamnejším prejavom bolo zavedenie smernice AMLD. Jej štvrtá iterácia (ďalej len „smernica AMLD 4“), prijatá v máji 2015, zaviedla povinnosť členských štátov zostaviť do júna 2017 centrálne registre konečných užívateľov výhod (ďalej len „KÚV“) podnikateľských subjektov.
Centrálne registre sú v zmysle AMLD 4 registre konečných užívateľov výhod (ďalej len „RKÚV“ ), ktoré vedie štát a ktoré sú dostupné len príslušným orgánom a finančným spravodajským jednotkám, akými sú orgány činné v trestnom konaní a daňové úrady. Článok 30 ods. 5 a 9 smernice AMLD 4 umožňoval obmedzený prístup aj verejnosti, avšak len osobám, ktoré mohli preukázať "legitímny záujem" (napríklad investigatívni novinári). Vo všetkých ostatných ohľadoch bol register neverejný.
V reakcii na celospoločenský dopad kauzy Panama Papers Európsky parlament a Rada EÚ navrhli zmenu a doplnenie článku 30 smernice AMLD s cieľom sprístupniť RKÚV širokej verejnosti. Tento návrh vyvolal vlnu protichodných postojov najmä preto, že hlavným účelom smernice AMLD je boj proti praniu špinavých peňazí a financovaniu terorizmu, ktorý vykonávajú orgány verejnej moci, nie verejnosť. Možno tvrdiť, že samotné orgány aplikácie práva pritom z objektívneho hľadiska na svoju prácu potrebujú len centrálne (neverejné) registre. Napríklad OECD a Finančný akčný výbor[7] vo svojich odporúčaniach priamo poukazujú na vyššie uvedené tendencie a uvádzajú, že verejnosť RKÚV nepatrí medzi ich požiadavky[8].
Novelizácia smernice AMLD smernice bola napriek uvedenému Európskym parlamentom prijatá dňa 30. mája 2018 vo forme piatej iterácie smernice AMLD (ďalej len „smernica AMLD 5“).
Rozpor so zásadami ochrany osobných údajov
Približne v rovnakom čase, kedy sa EÚ zaoberala otázkou smernice AMLD a jej novelizáciami, intenzívne presadzovala aj zásady ochrany osobných údajov prostredníctvom nariadenia GDPR a súvisiacimi nariadeniami.[9] Nakoľko ide vo svojej podstate o kontradiktórne právne inštitúty, bolo len otázkou času, kedy sa dostanú do konfliktu.
Zmyslom nariadenia GDPR je zabezpečiť, aby sa osobné údaje spracúvali a uchovávali výlučne v súlade so zákonom, legitímne a transparentne a len v nevyhnutnom rozsahu a na nevyhnutný čas. Pri komparácií týchto právnych aktov vznikajú viaceré otázky ohľadom proporcionality vo vzťahu k verejnému záujmu na predchádzaní a zisťovaní trestnej činnosti. RKÚV totiž obsahujú veľmi citlivé osobné údaje o stovkách miliónov občanov EÚ a tretích krajín a po prijatí smernice AMLD 5 sú dostupné každému, kto má prístup k internetu. Jedným z najzásadnejších argumentov v prospech prijatia smernice AMLD 5 zo strany Rady EÚ a Európskeho parlamentu boli praktické problémy pri sprístupňovaní informácií z RKÚV z titulu legitímneho záujmu. Ukázalo sa totiž, že tento pojem je náročné jednotne definovať, a preto dochádzalo k nadmerným obmedzeniam prístupu k informáciám.
Pokiaľ ide o protichodné argumenty, už pri príležitosti prijatia smernice AMLD 5 upozornil Európsky dozorný úradník pre ochranu údajov[10] na možné problémy s udržateľnosťou proporcionality spracovania osobných údajov a potenciálnych politických cieľov. Vo všeobecnosti uzavrel, že navrhované riešenie nie je v súlade so zásadou proporcionality a prichádza s "významnými a neopodstatnenými rizikami pre práva jednotlivcov na súkromie a ochranu osobných údajov“.
K zásade proporcionality sa vyjadril Súdny dvor Európskej únie (ďalej len „SDEÚ“) napr. vo veci Digital Rights Ireland nasledovne: „zásada proporcionality vyžaduje, aby akty inštitúcií Únie boli vhodné na dosiahnutie legitímnych cieľov sledovaných predmetnou právnou úpravou a neprekračovali hranice toho, čo je primerané a potrebné na uskutočnenie týchto cieľov“.
V tomto kontexte sa problematickou javila taktiež otázka implementácie smernice AMLD 5 zo strany členských štátov. Vo výsledku je voľba na členských štátoch, v akom rozsahu a na aký účel údaje v RKÚV sprístupnia. V praxi preto rozhodnutie, či tieto údaje ponechajú dôverné alebo ich podrobia verejnému prieskumu stojí na politickom rozhodnutí jednotlivých členských štátov. Tento postup podrobil kritike Európsky dozorný úradník pre ochranu údajov nasledovne: „Úlohou ochrany údajov nie je nakloniť rovnováhu v prospech jedného alebo druhého politického riešenia, ale zdá sa, že práve touto cestou sa Rada vydala, keď ponecháva na uváženie členských štátov bez toho, aby poskytla akékoľvek usmernenie k uplatňovaniu ochrany údajov a ponechala ich na výklad.“
Prelomový rozsudok
Uvedený právny stav vyústil do rozsudku SDEÚ v spojených veciach Luxembourg Business Registers (vec C-37/20) a Sovim (vec C-601/20) zo dňa 22.11.2022, ktorého podstata spočívala v sérii prejudiciálnych otázok, či sprístupnenie informácií obsiahnutých v RKÚV môže mať za následok vznik neprimeraného rizika porušenia základných práv KÚV[11] (ďalej len „Rozsudok“).
V tomto prelomovom Rozsudku SDEÚ posudzoval platnosť čl. 1 ods. 15 písm. c) smernice AMLD 5 v kontexte čl. 7 a 8 Charty základných práv EÚ (ďalej len „Charta"). Vo svojej tlačovej správe uviedol: "...vzhľadom na Chartu je ustanovenie smernice o boji proti praniu špinavých peňazí, podľa ktorej členské štáty musia zabezpečiť, aby informácie o skutočnom vlastníctve právnických osôb a iných právnických osôb založených na ich území boli vo všetkých prípadoch prístupné každému členovi verejnosti, neplatné."[12]
Podľa SDEÚ je zásah do práv garantovaných čl. 7 a 8 Charty, v podobe sprístupňovania údajov o KÚV v uvedenom rozsahu, neprimeraný. Predmetná právna úprava podľa SDEÚ neposkytuje náležité vyváženie sledovaného cieľa (všeobecného záujmu) a základných práv garantovaných Chartou a ani neupravuje dostatočné záruky pre dotknuté osoby na účinnú ochranu svojich práv.[13]
Zverejnené informácie totiž umožňujú potenciálne neobmedzenému počtu osôb zistiť majetkovú a finančnú situáciu KÚV a je pravdepodobné, že umožnia profilovanie určitých osobných identifikačných údajov viac alebo menej rozsiahlej povahy. Okrem toho, potenciálne dôsledky pre dotknuté osoby vyplývajúce z možného zneužitia ich osobných údajov narastajú tým, že po sprístupnení týchto údajov verejnosti je možné do nich nielen voľne nahliadať, ale ich aj uchovávať a šíriť.[14]
Dôsledky Rozsudku pre členské štáty EÚ
Bezprostredne po Rozsudku niektoré štáty EÚ okamžite začali obmedzovať prístup do svojich registrov, a to dokonca aj novinárom a zainteresovaným osobám. Luxembursko, Holandsko, Rakúsko a Malta úplne obmedzili prístup verejnosti k RKÚV. Na webovej stránke luxemburského RKÚV sa objavila krátka správa, v ktorej sa uvádzalo, že je "dočasne pozastavený" v dôsledku vydania Rozsudku.[15] Podobná správa sa objavila aj na webovej stránke holandského RKÚV. V praxi zostali údaje z RKÚV zachované a tieto registre sa pretransformovali sa naspäť na "centrálne registre".
Čo sa týka Slovenskej republiky, taktiež môžeme očakávať zmeny v práci s informáciami o KÚV. Pokiaľ ide o obchodný register, v zmysle úpravy zákona o obchodnom registri[16] sa pri právnickej osobe do obchodného registra zapisujú identifikačné údaje o KÚV v stanovenom rozsahu a údaje podľa osobitného predpisu.[17] Údaje o KÚV zapísané do obchodného registra avšak nie sú verejne prístupné, nie sú zverejnené na webovom alebo tlačenom výpise z obchodného registra, a ani v obchodnom vestníku.
Javí sa však potreba právny stav v dôsledku Rozsudku reflektovať vo vzťahu k Registru partnerov verejného sektora (ďalej len „RPVS“). RPVS je informačným systémom verejnej správy, ktorý obsahuje údaje najmä o právnických osobách, ich vlastníckej štruktúre a KÚV v prípadoch uložených zákonom, napr. pri účasti osoby na verejnom obstarávaní. Správcom a prevádzkovateľom RPVS je Ministerstvo spravodlivosti Slovenskej republiky (ďalej len „MS SR“). RPVS je verejne prístupný na webovom sídle MS SR.
Do RPVS sa môžu dobrovoľne zapísať aj iné fyzické osoby a právnické osoby, ktoré nie sú partnermi verejného sektora. Medzi údaje zapisované do RPVS patrí aj údaj o KÚV partnera verejného sektora v rozsahu meno, priezvisko, adresa trvalého pobytu, dátum narodenia, štátna príslušnosť a údaj, či konečný užívateľ výhod je verejným funkcionárom vykonávajúcim funkciu v Slovenskej republike.
SDEÚ nemôže rozhodnutím priamo zrušiť slovenský Zákon o RPVS (či jeho časť)[18] alebo právny predpis ktoréhokoľvek členského štátu EÚ.[19] Zákon o RPVS je preto stále platný a prístup do RPVS prostredníctvom webovej stránky MS SR nie je k dátumu vydania tohto článku obmedzený. V zmysle zásady nadradenosti práva EÚ a povinnosti eurokonformného výkladu vnútroštátnych právnych predpisov však vyplýva, že vnútroštátne predpisy musia byť prijaté a v praxi aplikované v súlade s právom EÚ. SDEÚ pritom označil spôsob sprístupňovania údajov o KÚV v smernici AMLD za rozporný z právom EÚ. Hoci zákon o RPVS nebol prijatý v dôsledku transpozície smernice AMLD, závery SDEÚ v Rozsudku možno aplikovať primerane.
Aký bude teda ďalší osud RPVS, neobmedzeného prístupu do RPVS či zákona o RPVS? Na úvod treba uviesť, že Slovenská republika doteraz na Rozsudok žiadnym materiálnym spôsobom nereagovala. RPVS rovnako nie je ani RKÚV v zmysle smernice AMLD, ale ide o samostatnú evidenciu s užšie vymedzeným účelom. SDEÚ taktiež v Rozsudku nespochybnil existenciu RPVS ako takého. Je preto nepravdepodobné, že Slovenská republika pristúpi k zrušeniu RPVS ako takého, nakoľko plní dôležitú úlohu (napríklad) na úseku verejného obstarávania. Avšak, vzhľadom na vyššie uvedenú prax členských štátov je dôvodné sa domnievať, že prístup širokej verejnosti k údajom v RPVS bude v istej miere obmedzený, ak nie zrušený.
Obrana zo strany konečných užívateľov výhod?
V kontexte Rozsudku taktiež vzniká otázka, aké možnosti obrany majú fyzické osoby, ktorých osobné údaje sú zverejnené v RPVS. Pokiaľ by bol zákon o RPVS v rozpore s právom EÚ, mala by nasledovať úprava národnej legislatívy. Ak by k úprave nedošlo, do úvahy prichádzajú viaceré procesné spôsoby obrany:
Pokiaľ by mal KÚV záujem brániť sa proti neobmedzenému zverejneniu svojich údajov sťažnosťou na MS SR, mohol by využiť (i) sťažnosť proti orgánu verejnej správy a/alebo (ii) správnu žalobu proti inému zásahu orgánu verejnej správy.
Sťažnosť proti orgánu verejnej správy je jeden zo všeobecných nástrojov správneho práva v zmysle § 3 zákona č. 9/2010 Z. z. o sťažnostiach v znení neskorších predpisov (ďalej len „Zákon o sťažnostiach“). Sťažnosť je možné adresovať priamo dozornému orgánu pre ochranu údajov, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky.
Správna žaloba proti inému zásahu orgánu verejnej správy je právnym prostriedkom ochrany na súde, v zmysle § 252 Správneho súdneho poriadku. Zo strany orgánov verejnej správy nedochádza k ingerencii s fyzickými a právnickými osobami len prostredníctvom rozhodnutí, opatrení, ale aj faktickými zásahmi alebo faktickou činnosťou, tzv. „iné zásahy“. V prípade nereflektovania práva EÚ národnou právnou úpravou môžu byť práva a právom chránené záujmy KÚV priamo dotknuté.
Nesprávny úradný postup
Keďže Rozsudok má právny účinok ex tunc (t.j. „od počiatku“), v prípade procesnej obrany prichádza do úvahy aj žaloba o náhradu škody spôsobenej nesprávnym úradným postupom na základe ust. § 3 ods. 1 v spojení s § 9 zákona č. 514/2003 Z.z. o zodpovednosti za škodu spôsobenú pri výkone verejnej moci a o zmene niektorých zákonov v znení neskorších predpisov. Zákonodarca nesprávny úradný postup definuje pomerne široko, a preto pri vymedzení tohto pojmu treba vychádzať najmä z praxe súdov a právnej doktríny. V zmysle uvedeného i nesprávna transpozícia smernice EÚ, akou by bolo ponechanie verejne prístupného RPVS aj po účinku Rozsudku, spadá do jeho rozsahu. Ďalej by sme si dovolili poukázať aj na fakt, že RPVS prebral pôvodný RKÚV, ktorý bol verejný, a preto je možné polemizovať o tom, či do úvahy neprichádza i náhrada škody za zverejnenie údajov v RKÚV.
Pripomíname, že len prax súdov ukáže, ktorý z prostriedkov ochrany je legitímny v kontexte záverov SDEÚ uvedených v Rozsudku.
Záver
Evidencia KÚV v neverejných registroch nebola Súdnym dvorom spochybnená. Súdny dvor však v prelomovom Rozsudku z pohľadu základných práv garantovaných Chartou zhodnotil vzťah záujmu na prevencii legalizácie príjmov z trestnej činnosti a financovania terorizmu na jednej strane a práva na ochranu súkromia a práva na ochranu osobných údajov na strane druhej. S poukazom na to, že zabezpečenie prvého z nich je v prvom rade úlohou štátu, SDEÚ považoval neobmedzený prístup k údajom o KÚV za neprimeraný. V budúcnosti preto môže dôjsť k zmene režimu prístupu k údajom zverejneným v RPVS alebo obdobnom registri.
[1] Smernica Európskeho parlamentu a Rady (EÚ) 2018/843 z 30. mája 2018, ktorou sa mení smernica (EÚ) 2015/849 o predchádzaní využívaniu finančného systému na účely prania špinavých peňazí alebo financovania terorizmu a smernice 2009/138/ES a 2013/36/EÚ, aktuálne dostupná na: https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX:32018L0843
[2] Nariadenie európskeho parlamentu a rady (EÚ) 2016/ 679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/ 46/ ES (všeobecné nariadenie o ochrane údajov), aktuálne dostupné na: https://eur-lex.europa.eu/legal-content/SK/TXT/PDF/?uri=CELEX:32016R0679&from=SK
[3] Rozsudok Veľkej komory Súdneho dvora Európskej únie z 22. novembra 2022 v spojených veciach C/37-20 a C-601/20 WM, Sovim SA v. Luxembourg Business Registers, aktuálne dostupné na: https://eur-lex.europa.eu/legal-content/SK/TXT/PDF/?uri=CELEX:62020CJ0037&from=en
[4] Európsky dohovor o ľudských právach, aktuálne dostupné na: https://edoc.coe.int/en/european-convention-on-human-rights/5613-eurpsky-dohovor-o-udskch-prvach-.html
[5] Ústava Slovenskej republiky, 460/1992 Zb., aktuálne dostupné na: https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/1992/460/
[6] Human Rights Media, Surveillance & Privacy, aktuálne dostupné na: https://www.humanrightsmedia.org/privacy-rights/
[7] Financial action task force - medzinárodná medzivládna organizácia, ktorá je považovaná a všeobecne uznávaná za svetového tvorcu noriem a odporúčaní v oblasti prania špinavých peňazí.
[8] OECD, A Beneficial Ownership Implementation Toolkit, aktuálne dostupné na: https://www.oecd.org/tax/transparency/beneficial-ownership-toolkit.pdf, s. 21. „Verejné registre konečných užívateľov výhod nie sú požiadavkou podľa noriem OECD ani FATF, hoci niektoré jurisdikcie sa týmto smerom uberajú a niektoré skupiny občianskej spoločnosti dúfajú, že sa im podarí presvedčiť vládnych politikov, aby z nich urobili globálny štandard.“
[9] Napríklad Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, aktuálne dostupné na: https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX:32018R1725&qid=1677250714375
[10] EDPS Opinion on a Commission Proposal amending Directive (EU) 2015/849 and Directive 2009/101/EC, s. 3, aktuálne dostupné na: https://edps.europa.eu/sites/edp/files/publication/17-02-02_opinion_aml_en.pdf
[11] Tlačová správa SDEÚ č. 188/22 z dňa 22. novembra 2022, Aktuálne dostupné na: https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-11/cp220188en.pdf
[12] Ibid, 10.
[13] Rozsudok v spojených veciach Luxembourg Business Registers (vec C-37/20) a Sovim (vec C-601/20) bod 86., aktuálne dostupný na https://curia.europa.eu/juris/document/document.jsf?text=&docid=268059&pageIndex=0&doclang=SK&mode=lst&dir=&occ=first&part=1&cid=1258465
[14] Ibid, body 41 a 42
[15] European Council wants UBO registers re-opened for press and civil society,
Aktuálne dostupné na: https://theshiftnews.com/2022/12/09/european-council-wants-ubo-registers-re-opened-for-press-and-civil-society/
[16] Ustanovenie § 2 ods. 3 Zákon č. 530/2003 Z.z. v znení neskorších predpisov
[17] Zákon č. 297/2008 Z.z. o ochrane pred legalizáciou príjmov z trestnej činnosti a ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
[18] Zákon č. 315/2016 Z.z. o registri partnerov verejného sektora a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
[19] Zásada "nadradenosti" práva EÚ znamená, že akékoľvek protichodné vnútroštátne právo v oblastiach, na ktoré sa vzťahujú zmluvy EÚ, nemožno presadzovať. Súdny dvor však nemá právomoc rušiť vnútroštátne právo - to je úlohou vnútroštátnych súdov.
Autori: Bc. Tereza Ľuptáková, Mgr. Patrik Führich