W piątek 10 lutego 2023 r. weszła w życie ustawa o systemie informacji finansowej (t.j. Dz.U. z 2023 r. poz. 180; dalej: SInF). Przewiduje ona, że instytucje obowiązane muszą przekazywać informację o: otwarciu rachunku albo zawarciu umowy na przechowywanie przedmiotów i papierów wartościowych lub udostępnienie skrytki sejfowej, zmianie informacji rejestrowanej oraz o zamknięciu rachunku albo zakończeniu obowiązywania umowy.
Przez rachunek rozumie się: rachunek płatniczy, rachunek bankowy i rachunek w spółdzielczej kasie oszczędnościowo-kredytowej (niebędące rachunkami płatniczymi) i rachunek papierów wartościowych, rachunek derywatów i rachunek zbiorczy oraz rachunek pieniężny służący do obsługi tych rachunków w rozumieniu ustawy o obrocie instrumentami finansowymi.
Instytucje obowiązane mają przekazywać dane posiadacza rachunku lub strony umowy, ale także dane identyfikacyjne beneficjenta rzeczywistego posiadacza, dane identyfikacyjne pełnomocnika, datę otwarcia rachunku lub zawarcia umowy, datę zamknięcia i wiele innych informacji. Niektóre informacje będą wymagane, a inne mają być przekazywane, o ile instytucja zobowiązana będzie je posiadała (np. w zakresie numeru telefonu lub adresu e-mail).
Obowiązki raportowania nałożono na tzw. instytucje obowiązane, ale są one definiowane inaczej niż w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2022 r. poz. 593 ze zm.). Katalog jest nadzwyczaj szeroki – od banków przez spółdzielcze kasy oszczędnościowo-kredytowych czy instytucje pieniądza elektronicznego po przedsiębiorców udostępniających skrytki sejfowe. Informacje mają być przekazywane do Systemu Informacji Finansowej za pośrednictwem STIR i nie później niż w terminie trzech dni od dnia otwarcia rachunku albo zawarcia umowy, zmiany informacji rejestrowanej lub zamknięcia rachunku albo zakończenia obowiązywania umowy. Ustawa co prawda weszła już w życie, ale przekazywanie informacji rejestrowanych rozpocznie się trochę później, w zależności od rodzaju instytucji obowiązanej. Dostęp do tych danych będzie miała nie tylko Krajowa Administracja Skarbowa, lecz także wiele różnych służb (np. ABW, CBA, AW, SKW) czy policja.
Po co to wszystko? Zgodnie z ustawą o SInF (art. 2), aby przeciwdziałać praniu pieniędzy oraz finansowaniu terroryzmu, w celu rozpoznawania i wykrywania przestępstwa katalogowego oraz zapobieganiu przestępstwu katalogowemu lub wspomaganiu prowadzenia postępowania karnego w sprawie przestępstwa katalogowego, a także w celu identyfikacji, wykrycia lub zabezpieczenia mienia pochodzącego z takiego przestępstwa oraz w innych celach określonych w ustawie.
Warto jednak zwrócić uwagę, że definicja przestępstw katalogowych odnosi się do załącznika I do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794, a nie do konkretnych czynów zabronionych z przepisów krajowych. Jest to o tyle problematyczne, gdyż załącznik ten posługuje się czasami pojęciami innymi lub nieznanymi polskim przepisom karnym. Przykładowo „terroryzm”, gdy nasze przepisy karne przewidują „przestępstwo o charakterze terrorystycznym”. Inny przykład to przestępczość komputerowa. Są tam także przestępstwa związane z rasizmem i ksenofobią.
W konsekwencji obywatele nie wiedzą dziś, do zwalczania których przestępstw dokładnie mają służyć zbierane informacje, a użyte pojęcia powodują obawę, że organy mogą zacząć je interpretować rozszerzająco. Przykładowo w Kanadzie w czasie protestów covidowych przeciwko szczepieniom premier Justin Trudeau zamierzał wykorzystać przepisy o sytuacjach nadzwyczajnych, by zablokować konta obywatelom, którzy blokowali ulice. Z kolei ostatnio, według doniesień medialnych, sąd w Brazylii nakazał po protestach obywateli zablokowanie kont osób i firm wspierających radykalnych zwolenników byłego prezydenta Jaira Bolsonaro. Także w naszym kraju protestujący po wyroku TK ws. aborcji wdzierali się lub podejmowali próbę wdarcia się na teren parlamentu czy TK. Z kolei organizatorzy niektórych marszów (np. 11 listopada) lub manifestacji są oskarżani o rasizm lub antysemityzm.
Obawy o nadużywanie nowych przepisów są więc uzasadnione. Państwo będzie zaś miało pełną wiedzę o strukturze rachunków m.in. organizatorów, osób powiązanych czy darczyńców organizatorów różnych protestów, w tym także ich numery telefonów czy e-maile (o ile są przypisane do rachunku).
Do tej pory banki miały obowiązek raportowania o rachunkach, ale tylko podmiotów kwalifikowanych i w celu przeciwdziałania wykorzystywaniu sektora finansowego do wyłudzeń skarbowych (co było konkretniejsze, gdyż definicja wyłudzeń skarbowych ma odniesienie np. do przepisów kodeksu karnego czy kodeksu karnego skarbowego). Istniały także przepisy wymagające raportowania o różnych sytuacjach, ale raczej było to w wyjątkowych okolicznościach (np. podejrzane transakcje lub podejrzenie prania pieniędzy, lub finansowania terroryzmu i transakcje ponadprogowe czy różne fraudy itp.). Teraz władza będzie miała pełną informację o strukturze naszych rachunków, a także informację o wszystkich naszych adresach e-mail i numerach telefonów, które z tymi rachunkami mamy powiązane. I to nie tylko w bankach, lecz także w fintechach.
Zanim jednak ktoś zacznie oskarżać obecną władzę o inwigilację, to przypomnę, że ustawa ta jest implementacją V unijnej dyrektywy AML. To europrawodawcy nakazują prowadzić monitoring otwieranych i zamykanych rachunków. Dyrektywa nie nakazuje jednak bezpośrednio pozyskiwania informacji o numerze telefonu lub adresie e-mail. Na tym jednak polega implementacja, że państwa same decydują o tym, jaki kształt będą miały przepisy krajowe. Pytanie tylko, czy wdrożenie przepisów jest właściwe i nie narusza zasady minimalizacji danych, biorąc pod uwagę cel. ©℗