Centralny Rejestr Beneficjentów Rzeczywistych – przesunięty termin zgłoszenia

Centralny Rejestr Beneficjentów Rzeczywistych – przesunięty termin zgłoszenia

Czytaj: 3 min

nadzór merytoryczny: Agnieszka Soja – Partner 

W dniu 13 października 2019 r. weszły w życie przepisy Rozdziału 6 ustawy o przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu (dalej: „Ustawa”), dotyczące Centralnego Rejestru Beneficjentów Rzeczywistych (dalej: „Rejestr”). Stanowi to implementację dyrektywy Parlamentu Europejskiego i Rady UE nr 2015/849. Przepisy te wprowadziły nowe obowiązki dla spółek dotyczące zgłoszenia do Rejestru danych beneficjenta rzeczywistego.

Dla spółek, które przed 13 października 2019 r. były wpisane do KRS, termin na dokonanie takiego zgłoszenia wynosił pierwotnie 6 miesięcy od dnia wejścia w życie ww. przepisów, czyli do dnia 13 kwietnia 2020 r. (art. 195 Ustawy). Na mocy uchwalonej w dniu 31 marca 2020 r. ustawy o zmianie ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywoływanych nimi sytuacji kryzysowych oraz niektórych innych ustaw (Dz.U. poz. 568), termin ten został wydłużony o trzy miesiące, a więc do dnia 13 lipca 2020 r. (art. 52 ww. ustawy).

Warto mieć na uwadze, że powyższy termin nie dotyczy spółek, które zostały lub zostaną wpisane do KRS po dniu 13 października 2019 r., ani też nie dotyczy obowiązku zgłoszenia zmiany informacji zamieszczonych w Rejestrze. W takich przypadkach termin na dokonanie zgłoszenia do Rejestru wynosi odpowiednio 7 dni od dnia wpisu spółki do KRS lub od zmiany. Do biegu terminu nie wlicza się sobót i dni ustawowo wolnych od pracy.

Należy przypomnieć, że za niedopełnienie obowiązku w zakresie zgłoszenia beneficjenta rzeczywistego do Rejestru grozi kara pieniężna w wysokości do 1.000.000 zł.

1. Podmioty obowiązane do zgłoszenia danych do Rejestru.

Obowiązek zgłoszenia informacji o beneficjentach rzeczywistych oraz ich aktualizacji ciąży na:

  • spółkach jawnych,
  • spółkach komandytowych,
  • spółkach komandytowo – akcyjnych,
  • spółkach z ograniczoną odpowiedzialnością,
  • spółkach akcyjnych (z wyłączeniem spółek publicznych w rozumieniu ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych),
  • prostych spółkach akcyjnych (od dnia 1 marca 2021 r.).

2. Beneficjent rzeczywisty.

Beneficjentem rzeczywistym jest:

osoba fizyczna lub osoby fizyczne sprawujące bezpośrednio lub pośrednio kontrolę nad danym podmiotem (“Klientem”) poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez ten podmiot, lub osobę fizyczną lub osoby fizyczne, w imieniu których są nawiązywane stosunki gospodarcze lub przeprowadzana jest transakcja okazjonalna, w tym:

  1. w przypadku Klienta będącego osobą prawną inną niż spółka, której papiery wartościowe są dopuszczone do obrotu na rynku regulowanym podlegającym wymogom ujawniania informacji wynikającym z przepisów prawa Unii Europejskiej lub odpowiadającym im przepisom prawa państwa trzeciego:
    • osoba fizyczna będąca udziałowcem lub akcjonariuszem tego podmiotu, której przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji tej osoby prawnej,
    • osoba fizyczna dysponująca więcej niż 25% ogólnej liczby głosów w organie stanowiącym tego podmiotu, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu,
    • osoba fizyczna sprawująca kontrolę nad osobą prawną lub osobami prawnymi, którym łącznie przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji tego podmiotu, lub łącznie dysponująca więcej niż 25% ogólnej liczby głosów w organie tego podmiotu, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu,
    • osoba fizyczna sprawująca kontrolę nad takim podmiotem poprzez posiadanie w stosunku do tej osoby prawnej uprawnień, o których mowa w art. 3 ust. 1 pkt 37 ustawy z dnia 29 września 1994 r. o rachunkowości, lub
    • osoba fizyczna zajmująca wyższe stanowisko kierownicze w przypadku udokumentowanego braku możliwości ustalenia lub wątpliwości co do tożsamości osób fizycznych określonych w tiret pierwszym, drugim, trzecim i czwartym oraz w przypadku niestwierdzenia podejrzeń prania pieniędzy lub finansowania terroryzmu.
  2. w przypadku Klienta będącego trustem:
    • założyciel,
    • powiernik,
    • nadzorca, jeżeli został ustanowiony,
    • beneficjent,
    • inna osoba sprawująca kontrolę nad trustem,
  3. w przypadku Klienta będącego osobą fizyczną prowadzącą działalność gospodarczą, wobec której nie stwierdzono przesłanek lub okoliczności mogących wskazywać na fakt sprawowania kontroli nad nią przez inną osobę fizyczną lub osoby fizyczne, przyjmuje się, że taka osoba jest jednocześnie beneficjentem rzeczywistym.

3. Zakres informacji podlegających zgłoszeniu do Rejestru.

Informacje podlegające zgłoszeniu do Rejestru obejmują:

  1. dane identyfikacyjne podmiotu zgłaszającego: nazwa, forma organizacyjna, siedziba, nr KRS oraz NIP,
  2. dane identyfikacyjne beneficjenta rzeczywistego i członka organu lub wspólnika uprawnionego do reprezentowania podmiotu zgłaszającego: imię i nazwisko, obywatelstwo, państwo zamieszkania, nr PESEL (a w przypadku jego braku datę urodzenia) oraz informację o wielkości i charakterze udziału lub uprawnieniach przysługujących beneficjentowi rzeczywistemu.

4. Tryb dokonywania zgłoszenia.

Zgłoszenia dokonuje się za pośrednictwem systemu teleinformatycznego dostępnego na portalu podatki.gov.pl pod adresem https://www.podatki.gov.pl/crbr/

Zgłoszenia dokonuje osoba uprawniona do reprezentacji spółki, opatrując zgłoszenie kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP.

Zgłoszenie zawiera oświadczenie osoby zgłaszającej o prawdziwości zgłaszanych informacji oraz o świadomości odpowiedzialności karnej za złożenie fałszywego oświadczenia. Osoba dokonująca zgłoszenia ponosi odpowiedzialność za szkodę wyrządzoną brakiem zgłoszenia danych do Rejestru lub zgłoszeniem do Rejestru nieprawdziwych danych. W ciągu 3 dni roboczych istnieje możliwość dokonania korekty zgłoszenia.

NAPISZ DO AUTORA:

Jakub Puciato

radca prawny
Associate

Czy w Polsce potrzebny jest specjalistyczny sąd rynku kapitałowego?

Czy w Polsce potrzebny jest specjalistyczny sąd rynku kapitałowego?

Czytaj: < 1 min

Projekt zrealizowany w ramach Akademii Spółek Kapitałowych  

 

Uczestnicy rynku kapitałowego uważają za konieczne powstanie sądu specjalizującego się w sprawach giełdowych. W czerwcu ubiegłego roku Minister Sprawiedliwości podjął wstępną decyzję o powołaniu zespołu roboczego do prac nad stworzeniem sądu rynku kapitałowego.

Minął rok od decyzji powołania zespołu roboczego, sąd nie powstał. W dniu 4 czerwca 2020 roku w ramach Akademii Spółek Kapitałowych 2020, cyklu wykładów i debat eksperckich organizowanych na WPiA UJ odbyła się debata ekspercka pt. “Czy w Polsce potrzebny jest specjalistyczny sąd rynku kapitałowego?”
W debacie uczestniczyli:

  • dr Jacek Dybiński, adiunkt w Katedrze Prawa Gospodarczego Prywatnego Uniwersytetu Jagiellońskiego,
  • mec. Arkadiusz Famirski, Zastępca Dyrektora Departamentu Prawnego Komisji Nadzoru Finansowego,
  • dr Krzysztof Grabowski, Instytut Allerhanda, niezależny ekspert ładu korporacyjnego i rynku kapitałowego (w roli moderatora),
  • dr Ariel Mucha, adiunkt w Katedrze Prawa Sądowego Uniwersytetu Pedagogicznego im. KEN w Krakowie,
  • mec. Artur Zapała, partner w kancelarii SPCG, kieruje pracami warszawskiego oddziału SPCG.

Debata została zarejestrowana – wszystkich zainteresowanych tematem zapraszamy do wysłuchania eksperckich wypowiedzi.

 

B2sB jako nowa kategoria relacji kontraktowych po nowelizacji kodeksu cywilnego?

B2sB jako nowa kategoria relacji kontraktowych po nowelizacji kodeksu cywilnego?

Czytaj: 4 min

W dniu 1 czerwca 2020 r. wejdzie w życie przepis art. 1 pkt 1) ustawy z dnia 31 lipca 2019 r. o zmianie niektórych ustaw w celu ograniczenia obciążeń regulacyjnych (dalej jako: „Nowelizacja”). Przepis ten zmieni ustawę z dnia 23 kwietnia 1964 r. – Kodeks cywilny (dalej jako: „k.c.”), w ten sposób, że dodany zostanie do niej przepis art. 385(5) k.c. Wprowadzany przepis umożliwi stosowanie regulacji odnoszącej się do niedozwolonych postanowień umownych w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą zawierających umowę bezpośrednio związaną z prowadzoną działalnością gospodarczą.

Dodanie przepisu art. 385(5) k.c. ma doniosłe znaczenie z punktu widzenia wszystkich podmiotów prowadzących działalność gospodarczą, które kierują ofertę swoich produktów lub usług do osób prowadzących jednoosobową działalność gospodarczą i posługują się wzorcami umownymi. Wejście w życie wskazanego przepisu oznacza bowiem konieczność dokonania przeglądu stosowanych wzorców umownych i ewentualnego wprowadzenia nowych wzorców na potrzeby odrębnej kategorii relacji kontraktowych, czyli B2sB (Business To Small Business), które w istocie będą musiały spełniać zbliżone lub analogiczne standardy, jak relacje B2C (Business To Consumer). Wprowadzone rozwiązanie zmierza do ochrony osób fizycznych prowadzących jednoosobową działalność gospodarczą, których pozycja ekonomiczna jest słabsza, a także zazwyczaj po ich stronie występuje deficyt informacyjny, w relacji z innymi przedsiębiorcami, których skala i rozmiar prowadzonej działalności jest znacznie większa.

Podmiotowe kryteria zastosowania Nowelizacji

Wprowadzona zmiana pod względem podmiotowym będzie miała zastosowanie jedynie do osób fizycznych prowadzących jednoosobową działalność gospodarczą. Nie będzie miała ona zastosowania do spółek osobowych, a także osób prawnych.

Odwołując się do przykładu, architekt prowadzący jednoosobową działalność gospodarczą będzie mógł skorzystać z mechanizmów ochronnych wprowadzonych w drodze Nowelizacji. Jeśli jednak ta sama osoba będzie świadczyć usługi za pośrednictwem spółki partnerskiej lub jawnej zawiązanej z innym architektem, to podwyższony standard ochrony nie znajdzie w takim wypadku zastosowania.

Niezależnie od tego, że z ekonomicznego punktu widzenia taka spółka, jak i pozycja informacyjna jej wspólników, w relacji na przykład z bankiem, w zasadzie niczym nie będzie się różnić od sytuacji, w której każdy z nich zawarłby umowę w ramach jednoosobowej działalności gospodarczej.

Zakres zastosowania reżimu B2sB

Nowelizacja przewiduje, że przepisy odnoszące się do niedozwolonych postanowień umownych znajdą zastosowanie do umów zawartych przez osoby fizyczne prowadzące jednoosobową działalność gospodarczą bezpośrednio związanych z tą działalnością, jeśli z treści zawieranych umów wynika, że nie posiadają one dla takich osób charakteru zawodowego.

Z punktu widzenia zakresu zastosowania znowelizowanego przepisu kluczowe jest ustalenie co należy rozumieć przez zawodowy charakter umowy dla określonej osoby fizycznej. W treści uzasadnienia do projektu Nowelizacji przedstawiona została argumentacja wskazujące, że swoistego rodzaju probierzem w zakresie tego, czy umowa ma charakter zawodowy dla określonego przedsiębiorcy powinna być treść wpisu w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) wskazująca na przedmiot prowadzonej przez niego działalności gospodarczej. Mając powyższe na uwadze przyjąć należy, że zawodowy charakter będą miały na pewno umowy, na podstawie których osoby fizyczne prowadzące jednoosobową działalność gospodarczą dokonają dostawy towarów lub usług. Wysoce problematyczna pozostaje natomiast kwalifikacja pozostałych umów zawieranych w ramach prowadzonej działalności gospodarczej.

Odnosząc się do przykładu, jeśli lekarz dentysta świadczący usługi w ramach prowadzonej jednoosobowej działalności gospodarczej zawiera umowę sprzedaży mającą za przedmiot materiały do wypełnienia ubytków i światłoutwardzalne w celu świadczenia usług dentystycznych swoim pacjentom, to wydaje się, że umowa taka będzie miała dla niego charakter zawodowy. Zawarta już jednak przez tego lekarza dentystę umowa leasingu pojazdu osobowego będzie pozbawiona zawodowego charakteru.

Pojawia się jednak pytanie, czy jeśli przedmiotem umowy leasingu będzie fotel dentystyczny, czy kwalifikacja takiej umowy leasingu ulegnie zmianie? Można argumentować, że tak. Choć z drugiej strony nie są pozbawione racji argumenty, że lekarz dentysta prowadzący jednoosobową działalność gospodarczą bez wątpienia jest w słabszej sytuacji ekonomicznej niż spółka świadcząca usługi leasingu (chociażby ze względu na rozmiar prowadzonej działalności), a także istnieje brak równowagi informacyjnej w zakresie dłużnych form finansowania prowadzonej działalności gospodarczej między lekarzem dentystą, a leasingodawcą, w tym konstrukcji oferowanego produkty przez firmę leasingową. W konsekwencji może prowadzić to do przyjęcia, że wskazana umowa leasingu pozbawiona jest zawodowego charakteru.

Podsumowując, kryteria kwalifikacji ról w jakich występują osoby fizyczne prowadzące jednoosobową działalność gospodarczą, są nieostre i zależą od oceny ogółu okoliczności towarzyszących zawieranej umowie. Prowadzi to do niepewności, co do roli w jakiej określona osoba fizyczna prowadząca jednoosobową działalność gospodarczą będzie występować w obrocie cywilnoprawnym.

Skutki wprowadzonej regulacji

Postanowienia umów zawartych z osobami fizycznymi prowadzącymi jednoosobową działalność gospodarczą nie są wiążące, jeśli kształtują prawa i obowiązki wskazanych osób w sposób sprzeczny z dobrymi obyczajami, jednocześnie rażąco naruszając ich interesy. Tym samym, sankcja bezskuteczności abuzywnych postanowień umownych będzie miała zastosowanie również w obrocie profesjonalnym. Należy jednak pamiętać, że w realiach konkretnego przypadku brak związania określonymi postanowieniami umowy stanowiącymi klauzule niedozwolone może prowadzić do dalej idących konsekwencji. Wyeliminowanie klauzul abuzywnych może doprowadzić bowiem do zmiany charakteru łączącego strony stosunku prawnego w taki sposób, że umowa kreująca taki stosunek prawny zostanie uznana za sprzeczną z zasadami współżycia społecznego lub naturą danego stosunku prawnego. Powyższe natomiast może prowadzić do bezwzględnej nieważności umowy, np. umowa bez postanowień uznanych za klauzule abuzywne nie będzie mogła zostać wykonana.

Czasowy zakres zastosowania nowych przepisów

Nowelizacja nie ma zastosowania do umów zawartych przed 1 czerwca 2020 r. Oznacza to, że postanowienia wzorców umownych, którymi proferenci posłużyli w relacjach z osobami fizycznymi prowadzącymi jednoosobową działalność gospodarczą przed wskazaną datą, nie mogą stanowić przedmiotu kontroli z punktu widzenia ich abuzywności. Tym samym, znowelizowany stan prawny nic nie zmieni z punktu widzenia umów zawartych przed dniem 1 czerwca 2020 r., niezależnie od tego na jak długi okres umowy te zostały zawarte (jak długo będą obowiązywać po wejściu w życie Nowelizacji).

Jeśli chcesz (s)pokoju… szykuj się do rozpoczęcia stosowania znowelizowanych przepisów

Nowelizacja powinna skłonić wszystkich przedsiębiorców, których kontrahentami są osoby fizyczne prowadzące jednoosobową działalność gospodarczą do dokonania szczegółowego przeglądu stosowanych wzorców umownych oraz ich dostosowania do podwyższonych standardów ochrony osób fizycznych prowadzących jednoosobową działalność gospodarczą wprowadzonych w drodze nowelizacji. W przypadku przedsiębiorców, którzy do tej pory nawiązywali wyłącznie relacje B2B konieczne może być przygotowanie nowych wzorców umownych właściwych dla relacji B2sB, które w warunkach konkretnego przypadku mogą się okazać nieodbiegające istotnie od wzorców stosowanych w relacji B2C.

Piotr Rodziewicz

adwokat
Associate

Rok 2019 z RODO (analiza)

Rok 2019 z RODO (analiza)

Czytaj: 7 min

Przełom roku to czas podsumowań i stawiania prognoz na przyszłość – a ponad rok stosowania nowej regulacji w zakresie ochrony danych osobowych (RODO i ustawy uzupełniające ochronę danych osobowych w ramach polskiego porządku prawnego) pozwala już na pierwsze podsumowania i prognozy. Poniżej przedstawiam wybór najważniejszych ubiegłorocznych zdarzeń i danych z zakresu prawa ochrony danych osobowych oraz dotyczących nowych regulacji.

Rewolucja, której nie było

Rok 2019 był pierwszym pełnym rokiem stosowania nowej regulacji. Przede wszystkim w tym czasie w zasadzie opadły emocje i zakończył się okres początkowego zamieszania, związanego ze stosowaniem nowych przepisów. Ze względu na wejście w życie istotnych przepisów (zwłaszcza ustaw uzupełniających przepisy krajowe o kwestie niewynikające bezpośrednio z RODO) oraz ukształtowanie się szerszej praktyki stosowania Rozporządzenia, chyba już ostatecznie wyeliminowano z obrotu największe „absurdy RODO” i sprowadzono dyskusję na bardziej racjonalne tory.

Można powiedzieć, że prawo ochrony danych osobowych, które w 2018 r. znalazło się w centrum uwagi nie tylko środowiska prawniczego, ale również opinii publicznej, w ciągu kolejnych miesięcy roku 2019 wróciło stopniowo do swojej niszy. Jednocześnie, rozpoczęcie stosowania Rozporządzenia nie doprowadziło, w mojej ocenie, do zapowiadanej hucznie rewolucji. Zamiast tego mamy bez wątpienia do czynienia z powolną ewolucją i niezbyt spektakularnym, ale ciągłym udoskonalaniem metod prawidłowego obrotu danymi osobowymi oraz ochrony praw osób fizycznych.

Ustawodawca „wdrożył RODO”

Jeśli chodzi o najważniejsze wydarzenia 2019 roku, to przede wszystkim 4 maja 2019 r. weszła w życie ustawa „wdrażająca” RODO do polskiego porządku prawnego, a więc ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730). Ustawodawca dokonał niezbędnych zmian w blisko 170 ustawach szczegółowych – od Kodeksu pracy po ustawę z dnia 9 maja 2018 r. o zmianie ustawy – Prawo o ruchu drogowym oraz niektórych innych ustaw. Bez wątpienia była to największa kompleksowa zmiana przepisów, dokonana w celu dostosowania polskich przepisów do nowych regulacji.

Oczywiście wejście w życie „ustawy wdrażającej” miało duże znaczenie dla praktyki obrotu i prowadziło do uregulowania znacznej ilości szczegółowych kwestii, związanych ze stosowaniem Rozporządzenia w poszczególnych branżach. Dzięki nowym przepisom zniknęło bardzo wiele wątpliwości, z którymi musiały borykać się zarówno podmioty przetwarzające dane od 25 maja 2018 r., jak i profesjonaliści świadczący usługi na rzecz tych podmiotów w zakresie dostosowania ich działalności do nowej regulacji.

W tym miejscu trudno powstrzymać się jednak od komentarza, że ustawodawca spóźnił się z „wdrożeniem RODO” o blisko rok (oczywiście jeśli pominiemy okoliczność, że Rozporządzenie weszło w życie już 24 maja 2016 roku) – na szczęście dla ustawodawcy nie groziły mu potencjalnie milionowe kary administracyjne za naruszenia przepisów RODO.

„Kary z RODO” nie takie straszne?

Jeżeli już o karach mowa – oczywiście w roku 2019 zostały wydane przez Prezesa Urzędu Ochrony Danych Osobowych pierwsze decyzje w przedmiocie nałożenia kar pieniężnych na podstawie przepisów Rozporządzenia. Pierwsza z nich, wydana dnia 15 marca 2019 r. w sprawie Bisnode Polska sp. z o.o., ponownie zelektryzowała opinię publiczną tematem Rozporządzenia, a to ze względu na wysokość nałożonej kary pieniężnej – blisko milion złotych (a konkretnie 943.470,00 zł). Wspominana decyzja w zakresie nakładającym karę została jednakże uchylona wyrokiem (nieprawomocnym na moment sporządzania niniejszego wpisu) Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2019 r. (o czym niżej).

Z kolei najwyższa do tej pory kara pieniężna nałożona została na spółkę prowadzącą znany sklep internetowy – Morele.net (decyzja Prezesa UODO z dnia 10 września 2019 r.). Co istotne chyba dla wszystkich podmiotów przetwarzających dane osobowe w przestrzeni cyfrowej, Prezes UODO nałożył karę pieniężną w wysokości 2.830.410,00 zł za brak zapewnienia należytej ochrony danych osobowych ponad dwóch milionów klientów sklepu w związku z wyciekiem danych w wyniku ataku hakerskiego.

Pierwszą karę pieniężną nałożono również na podmiot publiczny – burmistrza Aleksandrowa Kujawskiego. Kara w kwocie 40.000,00 zł nałożona została za szereg wykrytych uchybień m.in. za brak zawarcia niezbędnych umów powierzenia przetwarzania danych osobowych.

Obowiązek informacyjny bardziej dotkliwy niż kara

Spośród polskiego i europejskiego orzecznictwa, dotyczącego nowej regulacji, na szczególną uwagę zasługują, dwa wyroki: wyrok Wojewódzkie Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2019 r., sygn. II SA/WA 1030/19 (sprawa Bisnode) oraz wyrok Trybunału Sprawiedliwości UE z dnia 24 września 2019 r., sygn. C-507/17 (sprawa CNIL-Google).

Pierwsze z powyższych orzeczeń dotyczy sprawy Bisnode – a więc sprawy, w której Prezes UODO nałożył pierwszą karę pieniężną na podstawie przepisów RODO. Wyrok jest jeszcze nieprawomocny, jednakże jest on ważny z kilku względów. Po pierwsze – uchylona została decyzja Prezesa UODO w zakresie nałożenia pierwszej kary pieniężnej, co ma przede wszystkim istotny efekt „wizerunkowy” – nie tylko dla samego organu nadzorczego, ale również w szerszym odbiorze społecznym jako osłabiające mit wysokich „kar z RODO”. Jednak o wiele bardziej istotnym, w mojej ocenie, jest inny aspekt powyższego orzeczenia – utrzymanie przez WSA zaskarżonej decyzji w zakresie nakazującym administratorowi wykonanie obowiązku informacyjnego wobec kilku milionów osób fizycznych – listownie lub telefonicznie. Powyższe jest o tyle problematyczne dla administratora, że wykonanie obowiązku informacyjnego generować będzie po jego stronie bardzo poważne koszty, wielokrotnie przewyższające wysokość uchylonej kary pieniężnej. Co więcej, w powyższym zakresie sąd wyraźnie wskazał w uzasadnieniu omawianego wyroku, że za niewspółmiernie duży wysiłek, będący przesłanką do wyłączenia konieczności spełnienia obowiązku informacyjnego, nie może uznany wysoki koszt, jaki administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest możliwy do realizacji.

Podsumowując – w dłuższej perspektywie (zwłaszcza w przypadku uprawomocnienia się omawianego wyroku) okazać się może, że „kary z RODO” wcale nie są najbardziej dotkliwą sankcją dla podmiotów dokonujących przetwarzania danych osobowych z naruszeniem obowiązujących przepisów.

Prawo do bycia zapomnianym czy prawo do geoblokady?

Z kolei wyrok TSUE z dnia 24 września 2019 r. w sprawie C-507/17 może mieć fundamentalne znaczenie dla rzeczywistego egzekwowania jednego z podstawowych uprawnień osób fizycznych, a więc prawa do usunięcia danych (czyli „prawa do bycia zapomnianym”). Otóż w sprawie zainicjowanej skargą Google LLC na decyzję francuskiego organu ochrony danych osobowych (CNIL), która nakazywała spełnienie żądania usunięcia danych osobowych poprzez usunięcie ich ze wszystkich wersji wyszukiwarki Google (czyli globalne usunięcie danych). Trybunał przyznał w tej sprawie rację Google i stwierdził (już w oparciu o nowe przepisy), że operator wyszukiwarki zobowiązany był do usuwania danych wyłącznie z europejskich wersji wyszukiwarki (co obecnie odbywa się według klucza geolokalizacji), a nie globalnie.

Abstrahując od oceny prawidłowości orzeczenia Trybunału stwierdzić można jedno – utrzymanie w orzecznictwie takiej wykładni przepisów RODO sprawi, że w przypadku międzynarodowych koncernów technologicznych, prawo do usunięcia danych stanie się iluzoryczne – cóż bowiem uprawnionemu z usunięcia linków z europejskich wersji wyszukiwarki, gdy do uzyskania dostępu do „usuniętych” danych wystarcza skorzystanie z bezpłatnych i banalnych w użyciu narzędzi, które zaczynają być standardowo dołączane do przeglądarek internetowych (VPN). Powyższe może prowadzić do znacznego osłabienia ochrony praw osób fizycznych w chyba najważniejszym i najbardziej newralgicznym obszarze – przetwarzania dokonywanego przez największe koncerny technologiczne na ogromną skalę i niejednokrotnie bezpośrednio ingerującego w prywatność osób fizycznych.

Działalność polskiego organu nadzorczego

Ponieważ od rozpoczęcia stosowania RODO minęło już ponad półtora roku, w końcu dostępny jest również bardziej miarodajny zakres danych „ilościowych” z praktyki stosowania nowej regulacji przez Prezesa Urzędu Ochrony Danych Osobowych. Dane chyba najistotniejsze z punktu widzenia bieżącej praktyki obrotu gospodarczego to (przy czym przedstawiam tutaj dane za okres od 25 maja 2018 r.):

  1. liczba skarg do Prezesa UODO do dnia 14 października 2019 r. – 12.387,
  2. liczba zgłoszeń naruszeń ochrony danych osobowych do dnia 6 listopada 2019 r. – 7.511
  3. liczba przeprowadzonych postępowań kontrolnych do dnia 6 listopada 2019 r. – 135,
  4. liczba nałożonych kar pieniężnych do dnia 6 listopada 2019 r. – 5.

Powyższe dane (uzyskane w trybie udostępnienia informacji publicznej) warto zestawić z ogólną liczbą wszystkich postępowań administracyjnych, wszczętych przez Prezesa UODO w okresie od dnia 25 maja 2018 r. do dnia 14 października 2019 r. – 4.654 oraz liczbą wszystkich decyzji administracyjnych, wydanych w tym okresie – 1.354.

Biorąc pod uwagę powyższe liczby i zestawiając je z ogromnymi ilościami danych osobowych, które przetwarzane są stale w obrocie gospodarczym, trudno jest oprzeć się wrażeniu, że niezbyt trafioną była taktyka „straszenia” społeczeństwa (a zwłaszcza przedsiębiorców, w tym zwłaszcza podmiotów przetwarzających znikome ilości danych osobowych) kontrolami Prezesa UODO oraz ogromnymi karami pieniężnymi za naruszenia nowych przepisów – a to w celu skłonienia ich do jak najszybszego „wdrożenia RODO”. Mimo początkowego zamieszania i roztaczanych niemalże apokaliptycznych wizji, trzeba powiedzieć jasno – w pierwszym okresie stosowania nowych przepisów liczba przeprowadzonych kontroli i nałożonych kar była niewielka, a postawa organu nadzorczego – bardzo wstrzemięźliwa (co należy ocenić pozytywnie zwłaszcza w sytuacji, gdy z „wdrożeniem RODO” nie do końca terminowo poradził sobie nawet ustawodawca). Nasuwa się przy tym przykra refleksja, że chęć zarobku na „modnej” nowej regulacji przy wykorzystaniu ogromnego zamieszania i niepewności klientów (zwłaszcza w początkowym okresie stosowania nowych przepisów), w niektórych przypadkach przeważyła nad standardami etycznymi.

W minionym roku doszło również do pierwszej zmiany na stanowisku Prezesa UODO: dobiegła końca kadencja dr Edyty Bielak-Jomaa, którą w kwietniu zastąpił Jan Nowak. Pozytywnym akcentem jest dokonany pod koniec roku wybór dr Wojciecha Wiewiórowskiego na pięcioletnią kadencję na stanowisku Europejskiego Inspektora Ochrony Danych (EIOD).

Ponadto ze względu na znaczną ilość skarg i zgłoszeń, składanych do Prezesa UODO, od 1 grudnia 2019 r. dokonano reorganizacji Urzędu, w ramach której m.in. powstały odrębne wydziały Skarg oraz Kontroli i Naruszeń. Można zatem spodziewać się stopniowego wzrostu aktywności organu nadzorczego.

Podsumowania i prognozy

Mimo hucznych zapowiedzi, rok 2019 pokazał, że nowa regulacja w zakresie ochrony danych osobowych nie przyniosła wielkiej rewolucji. Niemniej, zainicjowane zmiany wpisują się jednak w trend pozytywnej ewolucji i rozwoju europejskiego prawa ochrony danych osobowych. Co istotne, wydaje się, że jedną z niewielu zalet rozgłosu i zamieszania wokół RODO, jest trwałe wejście zarówno do świadomości społecznej, jak i do praktyki podmiotów dokonujących przetwarzania danych osobowych, kwestii związanych z ochroną danych osobowych: zarówno przekonania o istotności tych danych, jak również znajomości podstawowych zasad ich przetwarzania czy obowiązku zapewnienia bezpieczeństwa tego przetwarzania, oraz przysługujących osobom fizycznym podstawowych uprawnień w tym zakresie.

Rok 2019 był bez wątpienia czasem wreszcie systematycznego i naprawdę konstruktywnego wdrażania nowej regulacji – po „opadnięciu kurzu” po początkowym chaosie. Przede wszystkim podmioty dokonujące przetwarzania danych osobowych oraz profesjonaliści je wspierający otrzymali wreszcie solidną bazę ustawową, z wolna kształtowane są również szeroko przyjmowane standardy w praktyce stosowania nowych przepisów, a wreszcie pojawiają się kolejne istotne orzeczenia sądów, wydane na podstawie coraz bogatszej działalności organów nadzorczych (zarówno polskiego, jak i organów unijnych). Kluczowe w tym zakresie okażą się bez wątpienia najbliższe lata, w których dojdzie wreszcie do wykształcenia się praktyki orzeczniczej sądów administracyjnych na gruncie stosowania przepisów Rozporządzenia – nie ulega wątpliwości, że stabilizację i większą pewność obrotu może zapewnić dopiero rozstrzygnięcie najważniejszych wątpliwości wyrokami sądów.

W ciągu pierwszego półtora roku stosowania RODO nie spełniły się katastroficzne wizje masowych kontroli organu nadzorczego i nakładania milionowych kar nawet na niewielkie podmioty – zarówno kontroli, jak i kar było stosunkowo niewiele. W mojej ocenie należy jednak spodziewać się w najbliższym okresie systematycznego wzrostu aktywności Prezesa UODO, a kwestię zgodności przetwarzania danych osobowych z nową regulacją należy traktować jeszcze bardziej poważnie niż dotychczas (co dotyczy zwłaszcza podmiotów przetwarzających większe ilości danych osobowych). Z kolei organizacje, które dotychczas do nowej regulacji się nie dostosowały – powinny zrobić to jak najszybciej. Będzie to o tyle łatwiejsze, że wobec szerszej bazy ustawowej oraz stosunkowo wyraźnie ukształtowanej praktyki – „wdrożenie RODO” jest obecnie łatwiej przeprowadzić, a uzyskane efekty dają większą pewność i bezpieczeństwo (w porównaniu z początkowym okresem stosowania nowych przepisów).

Pewne obawy budzi jednakże fakt, że przy utrzymaniu przez TSUE linii orzeczniczej, zaprezentowanej w wyroku C-507/17, w dłuższej perspektywie regulacja Rozporządzenia może okazać się irrelewantna we współczesnym świecie, zdominowanym przez koncerny technologiczne co prawda międzynarodowe, ale mające swoje centra w Stanach Zjednoczonych lub Chinach.

Ograniczenie stosowania europejskich regulacji w zakresie ochrony danych osobowych wyłącznie do europejskich wersji dostarczanych przez te podmioty produktów i usług może doprowadzić do pozbawienia praktycznego znaczenia regulacji RODO – ich stosowanie będzie sprowadzało się do wprowadzania blokad geograficznych, które w bardzo łatwy sposób można omijać. W takich okolicznościach skutkiem będzie jeszcze większe osłabienie konkurencyjności europejskich przedsiębiorców technologicznych (obciążonych bezpośrednio szeregiem dodatkowych obowiązków, wynikających z Rozporządzenia) w stosunku do konkurentów spoza Unii.

Można mieć jedynie nadzieję, że praktyka stosowania przepisów Rozporządzenia w roku 2020 oraz w latach następnych ukształtuje się w sposób nie tylko najpełniej zapewniający ochronę praw osób fizycznych, ale z uwzględnieniem interesu polskich i europejskich podmiotów, dokonujących przetwarzania danych osobowych.

Marcin Ręgorowicz

radca prawny
Associate

Przegląd rozporządzenia MAR

Przegląd rozporządzenia MAR

Czytaj: 2 min

W dniu 3 października 2019 r. ESMA opublikowała dokument konsultacyjny dotyczący rozporządzenia MAR. Przegląd ma na celu sporządzenie raportu dla Komisji Europejskiej w przedmiocie stosowania tego rozporządzenia oraz niezbędnych zmian legislacyjnych.

Stosowanie przepisów MAR do funduszy inwestycyjnych

Jedną z kwestii analizowanych w dokumencie jest stosowanie rozporządzenia MAR przez fundusze inwestycyjne typu UCITS oraz alternatywne fundusze inwestycyjne, które zostały dopuszczone do obrotu na rynku regulowanym. ESMA wskazała na zidentyfikowane trudności w zastosowaniu wymogów rozporządzenia MAR do funduszy inwestycyjnych wynikające ze zróżnicowanych konstrukcji prawnych przyjętych w regulacjach państw członkowskich (m.in. brak osobowości prawnej funduszy inwestycyjnych, rola spółek zarządzających). W celu zapewnienia kompleksowego wykonywania obowiązków MAR przez fundusze i zarządzające nimi spółki, ESMA zaproponowała w dokumencie konsultacyjnym zmiany przepisów rozporządzenia.

Poniżej przedstawiamy listę kluczowych, w naszej opinii, kwestii poruszonych w odniesieniu do funduszy inwestycyjnych:

  1. Raportowanie transakcji osób pełniących obowiązki zarządcze i osób blisko z nimi związanych.
    ESMA proponuje, aby wymóg raportowania transakcji został wprost zaadresowany do funduszy inwestycyjnych i zarządzających nimi spółek. W celu wyraźnego określenia zakresu podmiotowego wymogu, ESMA proponuje, aby „osoba pełniąca obowiązki zarządcze” w odniesieniu do funduszy inwestycyjnych została zdefiniowana na wzór „osoby zaangażowanej” w rozumieniu dyrektywy wykonawczej do dyrektywy UCITS (dyrektywa Komisji 2010/43/UE). ESMA wskazała również, że zgodnie z literalnym brzmieniem art. 19 rozporządzenia MAR, wymóg raportowania transakcji odnosi się wyłącznie do takich transakcji, których przedmiotem są akcje lub instrumenty dłużne. W celu zapewnienia kompletności regulacji, zakres przedmiotowy przepisu należy rozszerzyć o instrumenty finansowe emitowane przez fundusze inwestycyjne.
  2. Przekazywanie informacji poufnych do wiadomości publicznej.
    W maju tego roku, ESMA zaktualizowała dokument Q&A do rozporządzenia MAR jednoznacznie wskazując, że obowiązek przekazywania informacji poufnych do wiadomości publicznej obejmuje również emitentów – fundusze inwestycyjne, które zgodnie z regulacjami krajowymi przyjętymi w państwach członkowskich, nie posiadają osobowości prawnej. ESMA proponuje jednoznaczne zaadresowanie wymogu do tego typu emitentów oraz wskazanie, że odpowiedzialność za wykonywanie tych obowiązków ponosi spółka zarządzająca funduszem inwestycyjnym.

Pełny tekst dokumentu konsultacyjnego dostępny jest na stronie ESMA: https://www.esma.europa.eu/sites/default/files/library/mar_review_-_cp.pdf

Zakończenie konsultacji

Uwagi i sugestie do dokumentu konsultacyjnego można zgłaszać do dnia 29 listopada 2019 r. Zakończenie przeglądu rozporządzenia MAR i przekazanie finalnego raportu do Komisji Europejskiej planowane jest na wiosnę 2020 r.

Konsultacje propozycji zmian w rozporządzeniu delegowanym PRIIP

Konsultacje propozycji zmian w rozporządzeniu delegowanym PRIIP

Czytaj: 2 min

W dniu 16 października 2019 r. Wspólny Komitet Europejskich Urzędów Nadzoru (EBA, EIOPA, ESMA) opublikował dokument konsultacyjny zawierający propozycje zmian do rozporządzenia delegowanego Komisji (UE) 2017/653 z dnia 8 marca 2017 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1286/2014 w sprawie dokumentów zawierających kluczowe informacje, dotyczących detalicznych produktów zbiorowego inwestowania i ubezpieczeniowych produktów inwestycyjnych (PRIIP) przez ustanowienie regulacyjnych standardów technicznych w zakresie prezentacji, treści, przeglądu i zmiany dokumentów zawierających kluczowe informacje oraz warunków spełnienia wymogu przekazania takich dokumentów („Rozporządzenie Delegowane”).

Cel proponowanych zmian

Celem proponowanych zmian jest umożliwienie stosowania przepisów Rozporządzenia Delegowanego przez fundusze inwestycyjne typu UCITS obecnie objęte tymczasowym zwolnieniem od obowiązku stosowania tego rozporządzenia. Ponadto, nowelizacja ma na celu rozwiązanie najistotniejszych kwestii regulacyjnych zidentyfikowanych podczas przeprowadzonego w ubiegłym roku przeglądu Rozporządzenia Delegowanego, przy uwzględnieniu realizacji celów rozporządzenia PRIIP (rozporządzenia Parlamentu Europejskiego i Rady (UE) 1286/2014).

Zakres zmian

Poniżej przedstawiamy listę planowanych zmian, które, w naszej opinii, należy uznać za kluczowe:

  • Uzupełnienie Rozporządzenia Delegowanego o odpowiednie zapisy rozporządzenia regulującego sporządzanie KII (rozporządzenia Komisji (UE) nr 583/2010) w celu umożliwienia stosowania Rozporządzenia Delegowanego przez UCITS objęte obecnie tymczasowym zwolnieniem, o którym mowa powyżej,
  • Rozszerzenie zakresu przekazywanych inwestorom informacji o dane dotyczące wyników funduszu osiągniętych w przeszłości – na wzór dokumentów KII przekazywanych przez fundusze typu UCITS,
  • Zmiana metodyki obliczania kosztów oraz sposobu przedstawiania informacji o kosztach w celu uczynienia tych informacji bardziej zrozumiałymi dla inwestorów,
  • Wprowadzenie ilustracyjnego sposobu prezentacji scenariuszy wyników (w zależności od wyniku konsultacji ten sposób prezentacji może być obligatoryjny bądź fakultatywny),
  • Ograniczenie katalogu przedstawianych scenariuszy dotyczących wyników poprzez usunięcie obowiązku przedstawienia scenariusza warunków skrajnych,
  • Zmiana sposobu przedstawiania informacji w przypadku oferowania różnych bazowych wariantów inwestycyjnych (ubezpieczeniowe fundusze kapitałowe będące wariantami inwestycyjnymi w ramach ubezpieczenia), mająca na celu rozwiązanie problemu niezrozumiałości treści przekazywanych dokumentów przez inwestorów detalicznych.

Pełny tekst dokumentu konsultacyjnego dostępny jest na stronie internetowej ESMA pod adresem https://www.esma.europa.eu/sites/default/files/library/jc-2019-63_consultation_paper_amendments_priips_kid.pdf.

Termin zakończenia konsultacji

Uwagi w zakresie proponowanych zmian można zgłaszać do dnia 13 stycznia 2020 r. Zakończenie przeglądu Rozporządzenia Delegowanego planowane jest na koniec pierwszego kwartału 2020 r. Krótko po tym finalna wersja projektu ma zostać przekazana Komisji Europejskiej. W związku z terminem zakończenia obowiązywania tymczasowego zwolnienia w odniesieniu do funduszy inwestycyjnych typu UCITS w dniu 31 grudnia 2021 r., wejście w życie i rozpoczęcie stosowania zmienionego Rozporządzenia Delegowanego planowa­­ne jest na 2021 rok.

Pin It on Pinterest