1. 

Käesolevas vaidluses osalevad kolm krediidiasutust (Banco Bilbao Vizcaya Argentaria, S.A. (edaspidi „BBVA”), Banco de Sabadell, S.A. (edaspidi „Sabadell”) ja Liberbank, S.A. (edaspidi „Liberbank”); kõik koos edaspidi „pangad”) ja üks makseasutus (Safe Interenvios, S.A.; edaspidi „Safe”). ( 2 ) Pangad sulgesid Safe’i pangakontod, sest nad olid mures rahapesu pärast. Safe väidab, et tegu oli ebaausa kaubandustava kasutamisega.

2. 

Tekkinud on küsimusi selle kohta, kas liidu õigusega, eeskätt direktiiviga 2005/60/EÜ (edaspidi „rahapesudirektiiv”) ( 3 ) on vastuolus see, kui liikmesriik lubab krediidiasutusel kohaldada makseasutuse suhtes kliendikontrolli meetmeid. Selle direktiiviga on ette nähtud kolme liiki kliendikontrolli meetmed (tavapärased, lihtsustatud ja tugevdatud), olenevalt rahapesu või terrorismi rahastamise ohust. Artiklis 8 ette nähtud tavapärased kliendikontrolli meetmed hõlmavad näiteks kliendi isiku tuvastamist ja teabe hankimist ärisuhte eesmärgi ja olemuse kohta. Artikli 11 lõikes 1 on ette nähtud lihtsustatud kliendikontrolli meetmete kohaldamine juhul, kui selle direktiivi kohaldamisalasse kuuluva asutuse või isiku (edaspidi „hõlmatud üksus”) kliendid on krediidi‑ või finantsasutused (sealhulgas makseasutused), mis ka ise kuuluvad rahapesudirektiivi kohaldamisalasse. Artikkel 13 kohustab kohaldama tugevdatud kliendikontrolli meetmeid olukordades, kus rahapesu või terrorismi rahastamise oht on suur. Peale selle lubab artikkel 5 liikmesriikidel kehtestada teistes rahapesudirektiivi sätetes ettenähtutest rangemaid kohustusi.

3. 

Euroopa Kohtult palutakse suuniseid selle kohta, kas ja millistel tingimustel võib krediidiasutusel lubada kohaldada (tugevdatud) kliendikontrolli meetmeid makseasutuse suhtes, mis ise kuulub rahapesudirektiivi kohaldamisalasse. Kas nende kohaldamine oleneb riskianalüüsist ja kas niisuguste meetmete hulka võib kuuluda nõue, et makseasutus annaks krediidiasutusele andmeid omaenda klientide kohta ja välismaale üle kantava raha saajate kohta? Nendes küsimustes palutakse Euroopa Kohtul kaaluda ka direktiive 95/46/EÜ (edaspidi „isikuandmete direktiiv”) ( 4 ), 2005/29/EÜ (edaspidi „ebaausate kaubandustavade direktiiv”) ( 5 ) ja 2007/64/EÜ (edaspidi „makseteenuste direktiiv”) ( 6 ).

4.

ELTL artikli 16 lõikes 1 on sätestatud, et „[i]gaühel on õigus oma isikuandmete kaitsele”.

5.

Euroopa Liidu põhiõiguste harta (edaspidi „harta”) artikli 8 lõikes 1 on sätestatud, et „[i]gaühel on õigus oma isikuandmete kaitsele”. Artikli 8 lõikes 2 on ette nähtud, et „[s]elliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ette nähtud õiguslikul alusel”.

6.

Artikli 52 lõikes 1 on sätestatud: „Hartaga tunnustatud õiguste ja vabaduste teostamist tohib piirata ainult seadusega ning arvestades nimetatud õiguste ja vabaduste olemust. Proportsionaalsuse põhimõtte kohaselt võib piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi.”

7.

Rahapesudirektiivi põhjenduses 5 on selgitatud, et rahapesu ja terrorismi rahastamise valdkonnas võetavad meetmed peaksid olema kooskõlas muude rahvusvahelisel tasandil võetavate meetmetega ja nendes tuleks muu hulgas arvestada juhtiva rahvusvahelise rahapesu ja terrorismi rahastamisega võitleva organi, s.o rahapesuvastase töökonna (edaspidi „FATF”) ( 7 ) soovitusi. Rahapesudirektiiv peaks olema kooskõlas FATF soovitustega nende 2003. aastal muudetud ja täiendatud redaktsioonis (edaspidi „FATF‑i 2003. aasta soovitused”). ( 8 )

8.

Põhjenduses 10 on märgitud, et hõlmatud üksused peaksid tuvastama kasusaava omaniku isiku ja seda kontrollima. Sealjuures peaks neil olema õigus ise otsustada, kas nad kasutavad selleks avalikult kättesaadavaid andmeid kasusaavate omanike kohta, küsivad asjakohaseid andmeid oma klientidelt või hangivad teabe muul moel, arvestades et niisugused kliendikontrolli meetmed on seotud rahapesu ja terrorismi rahastamise riskiga, mis oleneb kliendi tüübist, ärisuhtest, tootest või tehingust.

9.

Põhjenduses 22 on tunnistatud, et rahapesu ja terrorismi rahastamise risk ei ole iga kord sama. Kooskõlas riskipõhise lähenemisviisiga peaks põhimõte olema selline, et asjakohastel juhtudel on lubatud lihtsustatud kliendikontroll.

10.

Põhjenduse 24 kohaselt peaks liidu seadusandja samal ajal tunnistama, et teatavates olukordades on risk suurem. Seega, ehkki tuvastada tuleb kõikide klientide isik ja äriprofiil, tuleb teatavatel juhtudel rakendada eriti ranget kliendi identifitseerimise ja kontrolli korda.

11.

Põhjenduses 33 on märgitud, et teabe avalikustamine vastavalt artiklile 28 ( 9 ) peaks olema kooskõlas isikuandmete kolmandatele maadele edastamise eeskirjadega, mis on kehtestatud isikuandmete direktiiviga, ja et samuti ei saa artikliga 28 piirata siseriiklikku andmekaitset ega ametisaladust käsitlevaid õigusakte.

12.

Põhjenduse 37 kohaselt oodatakse liikmesriikidelt direktiivi sätete rakendamisel arvestamist vastavate eri kutsealade iseärasustega ja hõlmatud üksuste erinevustega mahus ja suuruses.

13.

Põhjenduses 48 on märgitud, et rahapesudirektiiv vastab põhiõigustele ja järgib põhimõtteid, mis on tunnustatud eelkõige hartaga ning et seda direktiivi ei tohi tõlgendada ega rakendada viisil, mis pole kooskõlas Euroopa inimõiguste konventsiooniga.

14.

Artikli 1 lõikes 1 on sätestatud: „Liikmesriigid tagavad, et rahapesu ja terrorismi rahastamine on keelatud.” Artikli 1 lõikes 2 on eristatud nelja liiki tahtlikku tegevust, mida tuleb pidada rahapesuks:

15.

Artikli 2 lõike 1 kohaselt kohaldatakse rahapesudirektiivi 1) krediidiasutustele, 2) finantseerimisasutustele, 3) mitmetele juriidilistele ja füüsilistele isikutele nende kutsetegevuse osas. Mujal viitab rahapesudirektiiv nendele kategooriatele ühise nimetusega „hõlmatud asutused ja isiku” (käesolevas ettepanekus on kasutatud nimetust „hõlmatud üksused”).

16.

Mõiste „krediidiasutus” on määratletud artikli 3 lõikes 1 viitega sama mõiste määratlusele direktiivi 2000/12/EÜ ( 10 ) artikli 1 lõike 1 esimeses lõigus ning tähendab seega „ettevõtja[t], kelle tegevuseks on hoiuste või muude tagasimakstavate vahendite vastuvõtmine avalikkuselt ning oma arvel ja nimel laenu andmine”.

17.

Mõiste „finantseerimisasutus” määratlus hõlmab „ettevõtja[t], kes ei ole krediidiasutus ja kes tegeleb ühe või mitme direktiivi 2006/48/EÜ ( 11 ) I lisa punktides 2‐12 ning 14 ja 15 loetletud tegevusega” (artikli 3 lõike 2 punkt a). Sellesse tegevuste loetellu kuuluvad punktis 4 „„makseteenused” [makseteenuste direktiivi] artikli 4 lõike 3 tähenduses” ( 12 ) ja punktis 5 „[t]eiste makseviiside […] väljaandmine ja haldamine, kui see tegevusvaldkond pole hõlmatud punktiga 4”. Makseteenuste direktiivi kohaselt hõlmab makseteenus maksetehingute täitmist ning makseasutused on makseteenuseid osutavad ettevõtjad, kes ka muus osas vastavad selle direktiivi nõuetele. ( 13 )

18.

Artiklis 5 on sätestatud, et „[l]iikmesriigid võivad [rahapesudirektiiviga] reguleeritud valdkonnas rahapesu ja terrorismi rahastamise tõkestamiseks vastu võtta või kehtima jätta [selle] direktiivi sätetest rangemad sätted”.

19.

II peatükk („Kliendi suhtes kohaldatav nõuetekohane hoolsus”) sisaldab peale tavapärast kliendikontrolli käsitlevate üldiste sätete (artiklid 6‐10) eraldi jagusid lihtsustatud kliendikontrolli kohta (artiklid 11 ja 12) ning tugevdatud kliendikontrolli kohta (artikkel 13).

20.

Artikli 7 kohaselt peavad hõlmatud üksused kohaldama kliendikontrolli meetmeid: a) ärisuhte loomisel; b) juhuslike tehingute sooritamisel vähemalt 15000 euro väärtuses; c) rahapesu või terrorismi rahastamise kahtluse korral, hoolimata ükskõik millisest mööndusest, erandist või osaluskünnisest; ja d) kui esineb kahtlusi varem kontrollitud kliendi isikut tõendavate andmete tõele vastavuses või adekvaatsuses.

21.

Kliendikontrolli meetmete hulka kuulub: „kliendi isiku tuvastamine ja isikusamasuse kontroll dokumentide, andmete või usaldusväärsest ja sõltumatust allikast hangitud teabe põhjal” (artikli 8 lõike 1 punkt a); „kui see on kohaldatav, siis kasusaava omaniku tuvastamine ning riskipõhiste ja kohaste meetmete võtmine tema isikusamasuse kontrollimiseks […]” (artikli 8 lõike 1 punkt b); „teabe hankimine ärisuhte eesmärgi ja olemuse kohta” (artikli 8 lõike 1 punkt c); ja „pidev ärisuhte seire, sealhulgas ärisuhte vältel teostatud tehingute vaatlemine […]” (artikli 8 lõike 1 punkt d).

22.

Artikli 8 lõikes 2 on sätestatud, et hõlmatud üksused võivad määrata kliendikontrolli meetmete ulatuse, lähtudes riskiastmest, mis oleneb kliendi, ärisuhte, toote või tehingu tüübist. Nad peavad olema suutelised tõendama pädevatele asutustele, et meetmete ulatus on rahapesu ja terrorismi rahastamise riske silmas pidades kohane.

23.

Artikli 9 lõike 1 kohaselt peavad liikmesriigid – välja arvatud teatavates erandolukordades – nõudma, et klientide ja kasusaavate omanike isikusamasuse kontrollimine toimuks enne ärisuhte loomist või tehingu sooritamist.

24.

Kui hõlmatud üksused ei suuda täita artikli 8 lõike 1 punktides a‐c sätestatud nõudeid, peavad liikmesriigid artikli 9 lõike 5 esimese lõigu kohaselt nõudma, et „siis ei või ta pangatehinguid teha, ärisuhet luua ega tehingut sooritada või [peab] lõpeta[ma] ärisuhte ja kaalu[ma] kliendist teatamist rahapesu andmebüroole kooskõlas artikliga 22[ ( 14 ) ]”. Artikli 9 lõike 6 kohaselt peavad liikmesriigid nõudma, et hõlmatud üksused kohaldaksid kontrollimeetmeid mitte ainult kõigi uute klientide suhtes, vaid vajaduse korral ja riskiastmest olenevalt ka olemasolevate klientide suhtes.

25.

Artikli 11 lõikes 1 on sätestatud: „Erandina artikli 7 punktidest a, b ja d, artiklist 8 ja artikli 9 lõikest 1 ei kehti nendes nimetatud nõuded [hõlmatud üksuste] kohta, kui kliendi puhul on tegemist käesoleva direktiiviga hõlmatud krediidi‑ või finantseerimisasutusega või kolmandas riigis asuva krediidi‑ või finantseerimisasutusega, mille kohta kehtivad selles riigis käesolevas direktiivis sätestatud nõuetega võrdväärsed nõuded ja mis allub nende järgimise osas järelevalvele.” Artikli 11 lõikes 2 on ette nähtud muud tingimused, mille kohaselt võivad liikmesriigid erandina artikli 7 punktidest a, b ja d, artiklist 8 ja artikli 9 lõikest 1 lubada hõlmatud üksustel jätta tavapärased kliendikontrollimeetmed võtmata. Artikli 11 lõike 3 kohaselt peavad hõlmatud üksused igal juhul koguma piisavalt informatsiooni, et oleks võimalik kindlaks teha, kas klient vastab lõigete 1 ja 2 mõistes erandi tingimustele. ( 15 )

26.

Lisaks artiklites 7 ja 8 ning artikli 9 lõikes 6 ette nähtud meetmetele peavad liikmesriigid artikli 13 lõike 1 kohaselt nõudma, et hõlmatud üksused kohaldaksid riskiastmest olenevalt tugevdatud kliendikontrolli meetmeid eeskätt olukordades, millega kaasneb nende olemuse tõttu suurem rahapesu või terrorismi rahastamise oht. Nad peavad seda tegema vähemalt artikli 13 lõigetes 2–4 näidatud olukordades, aga ka muudes olukordades, mis on suure rahapesu või terrorismi rahastamise riskiga vastavalt artikli 40 lõike 1 punkti c tehnilistele kriteeriumidele. ( 16 ) Artikli 13 lõigetes 2‐4 nimetatud olukorrad on järgmised: kui klient pole olnud isiku tuvastamiseks füüsiliselt kohal; piiriülesed korrespondentpangasuhted kolmandate riikide korrespondentasutustega; ja tehingute või ärisuhted riikliku taustaga isikutega, kes elavad teises liikmesriigis või kolmandas riigis. Niisuguste olukordade tarvis on loetletud konkreetsed tugevdatud kliendikontrolli meetmed (või asjakohaste meetmete näited).

27.

Artikli 20 kohaselt peavad liikmesriigid nõudma, et hõlmatud üksused pööraksid erilist tähelepanu tegevustele, mille puhul nad peavad eriti tõenäoliseks seotust rahapesu või terrorismi rahastamisega.

28.

Artikkel 22, mis koos artikliga 23 sisaldab teatamiskohustusi, nõuab hõlmatud üksustelt (ja vajaduse korral nende juhtidelt ja töötajatelt) täielikku koostöövalmidust, muu hulgas kohustades neid teavitama rahapesu andmebürood viivitamata omal algatusel juhtumitest, mille puhul nad teavad, kahtlustavad või mille puhul neil on põhjust kahtlustada, et rahapesu või terrorismi rahastamist pannakse toime või on toime pandud või seda on üritatud toime panna (artikli 22 lõike 1 punkt a).

29.

Artikkel 28 keelab hõlmatud üksustel, nende juhtidel ja töötajatel avaldada asjaomasele kliendile või muudele kolmandatele isikutele seda, et on edastatud teavet vastavalt artiklitele 22 ja 23, ega seda, et rahapesuga või terrorismi rahastamisega seoses on või võib olla algatatud uurimine.

30.

Artikli 34 lõike 1 kohaselt peavad liikmesriigid nõudma, et hõlmatud üksused kehtestaksid asjakohased ja sobivad nõuetekohase hoolsuse, teatamise, andmete säilitamise, sisekontrolli, riskihindamise ja ‑juhtimise ning vastavatest eeskirjadest kinnipidamise ja teabevahetuse põhimõtted ja menetlused, millest piisab rahapesuga või terrorismi rahastamisega seotud toimingute ennetamiseks ja tõkestamiseks.

31.

Artiklid 36 ja 37 käsitlevad järelevalvet. Muu hulgas kohustab artikli 37 lõige 1 liikmesriike nõudma pädevatelt asutustelt vähemalt tõhusat seiret ja vajalike meetmete võtmist tagamaks, et hõlmatud üksused järgiksid direktiivis sätestatud nõudeid.

32.

Artikli 40 lõike 1 punkti c kohaselt võib komisjon võtta vastu rakendusmeetmeid, millega kehtestatakse tehnilisi kriteeriume hindamaks, kas tegemist on vastavalt artiklile 13 kõrge rahapesu või terrorismi rahastamise riskiga olukordadega.

33.

Isikuandmete direktiivi põhjenduses 8 on märgitud, et „[isiku]andmete töötlemisega seotud üksikisikute õiguste ja vabaduste kaitse [peab] olema kõigis liikmesriikides samal tasemel”. Põhjenduses 9 on tunnistatud, et kuigi liikmesriigid ei saa enam takistada isikuandmete vaba liikumist ühest liikmesriigist teise põhjustel, mis on seotud üksikisikute õiguste ja vabaduste, eelkõige eraelu puutumatuse õiguse kaitsmisega, jäetakse neile siiski tegutsemisruum, mida võivad (isikuandmete direktiivi rakendamise kontekstis) kasutada ka äripartnerid ja töösuhte pooled.

34.

Artikli 1 kohaselt „kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja ‑vabadusi ning eelkõige nende õigust eraelu puutumatusele”. Artikli 1 lõikes 2 on sätestatud: „Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.”

35.

Artikli 2 punktis a on määratletud mõiste „isikuandmed” kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt”) kohta” ja mõiste „tuvastatav isik” kui „isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal”.

36.

Artikli 2 lõikes b on mõiste „isikuandmete töötlemine” määratletud kui „iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine”.

37.

Artikli 3 lõikes 1 on ette nähtud, et isikuandmete direktiivi kohaldatakse „isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda”.

38.

Artiklis 7 sätestatud kriteeriumid määravad selle, kas andmetöötlus on õiguspärane. Artikli 7 punktide c ja f kohaselt on see nii vastavalt juhul, kui töötlemist on vaja „vastutava töötleja seadusjärgse kohustuse täitmiseks” või „vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles artikli 1 lõike 1 kohaselt kaitstavate andmesubjekti põhiõiguste ja ‑vabadustega seotud huvid”.

39.

Ebaausate kaubandustavade direktiivi põhjenduses 8 on märgitud, et see direktiiv kaitseb otseselt tarbijate majandushuve ettevõtja ja tarbija vaheliste tehingutega seotud ebaausate kaubandustavade eest ja kaudselt ka seaduskuulekaid ettevõtjaid konkurentide eest, kes selles direktiivis sätestatud eeskirju ei järgi. Seega garanteerib direktiiv sellega ühtlustatud valdkonnas ausa konkurentsi.

40.

„Tarbija” ebaausate kaubandustavade direktiivi tähenduses on „füüsiline isik, kes käesoleva direktiiviga hõlmatud kaubandustavade raames tegutseb eesmärkidel, mis ei ole seotud tema kaubandus‑, majandus‑, käsitöö‑ ega kutsetegevusega” (artikli 2 punkt a). „Ettevõtja” on „füüsiline või juriidiline isik, kes käesoleva direktiiviga hõlmatud kaubandustavade raames tegutseb eesmärkidel, mis on seotud tema kaubandus‑, majandus‑, käsitöö‑ või kutsetegevusega, ning ettevõtja nimel või huvides tegutsev isik” (artikli 2 punkt b). „Ettevõtja ja tarbija vaheliste tehingutega seotud kaubandustavad” ehk „kaubandustavad” on „ettevõtjapoolne tegevus, tegevusetus, teguviis või esitusviis, kommertsteadaanne, sealhulgas reklaam ja turustamine, mis on otseselt seotud toote [s.o mis tahes kauba või teenuse ( 17 )] reklaamimise, müügi või tarnimisega tarbijatele” (artikli 2 punkt d).

41.

Artikli 3 lõikes 1 on sätestatud, et ebaausate kaubandustavade direktiivi „kohaldatakse artiklis 5 [mis keelab ja määratleb ebaausad kaubandustavad] sätestatud ettevõtja ja tarbija vaheliste tehingutega seotud ebaausate kaubandustavade suhtes enne ja pärast tootega seonduva äritehingu sõlmimist ja selle ajal”.

42.

Artikli 3 lõikes 4 on ette nähtud, et „[k]ui [ebaausate kaubandustavade] direktiivi sätted on vastuolus ebaausate kaubandustavade konkreetseid aspekte reguleerivate muude ühenduse eeskirjadega, siis on viimati nimetatud eeskirjad ülimuslikud ning neid kohaldatakse kõnealuste konkreetsete aspektide suhtes”.

43.

Makseteenuste direktiivis on muu hulgas sätestatud eeskirjad, mille kohaselt eristatakse kuut makseteenuste osutaja liiki, sealhulgas krediidiasutusi direktiivi 2006/48 artikli 4 lõike 1 punkti a tähenduses (artikli 1 lõike 1 punkt a) ja makseasutusi makseteenuste direktiivi tähenduses (artikli 1 lõike 1 punkt d).

44.

Artikli 4 punktis 3 on mõiste „makseteenus” määratletud kui „mis tahes lisas loetletud äritegevus” ja see hõlmab maksetehingute täitmist. Artikli 4 punkti 4 kohaselt on „makseasutus”„füüsiline või juriidiline isik, kellele on antud tegevusluba kooskõlas artikliga 10 [mis makseteenuseid osutada kavatsevaid ettevõtjaid hankima tegevusluba makseasutusena tegutsemiseks enne selle tegevuse alustamist] makseteenuste osutamiseks ja täitmiseks kõikjal ühenduses”. „Makseteenus” on „mis tahes lisas loetletud äritegevus” (artikli 4 punkt 3). „Agent” on „füüsiline või juriidiline isik, kes tegutseb makseteenuste osutamisel makseasutuse nimel” (artikli 4 punkt 22).

45.

Artikli 5 kohaselt peab makseasutusena tegutsemise loa taotlus sisaldama mitmeid dokumente, sealhulgas „taotluse esitaja kehtestatud sisekontrollimehhanismide kirjeldus[t] kohustuste täitmiseks seoses rahapesu ja terrorismi rahastamisega [rahapesudirektiivi] alusel”. Artikli 10 lõikes 2 on sätestatud, et tegevusluba antakse, „kui koos taotlusega esitatud teave ja tõendid vastavad kõigile artiklis 5 sätestatud nõuetele ning kui pädevad asutused annavad pärast taotluse läbivaatamist positiivse üldhinnangu”. Artikli 12 lõikes 1 on ette nähtud, et tegevuslubasid võidakse tühistada ainult teatavatel kindlaksmääratud asjaoludel, sealhulgas juhul, kui makseasutus ei täida enam tegevusloa andmise tingimusi (artikli 12 lõike 1 punkt c).

46.

Artikli 17 lõike 1 kohaselt peab makseasutus, kes kavatseb osutada makseteenuseid agendi kaudu, edastama oma päritoluliikmesriigi pädevatele asutustele teatava teabe, mille tulemusel on võimalik kanda agent artiklis 13 ette nähtud avalikku registrisse. Selle teabe hulka kuuluvad agendi nimi ja aadress ning agentide kasutatavate sisekontrollimehhanismide kirjeldus kohustuste täitmiseks seoses rahapesu ja terrorismi rahastamisega [rahapesudirektiivi] alusel.

47.

Artikli 20 lõike 1 esimese lõigu kohaselt peavad liikmesriigid määrama pädevateks asutusteks „[…] riigiasutused või riigi õigusaktide alusel tunnustatud asutused või riigi õigusaktide alusel nimelt selleks volitatud riigiasutused, sealhulgas liikmesriikide keskpangad”. Teises lõigus on ette nähtud, et niisugused asutused peavad tagama sõltumatuse ettevõtjatest ning vältima huvide konflikti. Ilma, et see piiraks esimese lõigu kohaldamist, ei või sellisteks asutusteks määrata makseasutusi, krediidiasutusi, elektronraha asutusi ega postižiiroasutusi.

48.

Artiklis 21 („Järelevalve”) on sätestatud:

„1.   Liikmesriigid tagavad, et pädevate asutuste läbiviidavad kontrollimised käesoleva jaotise [„Makseteenuse pakkuja”] nõuete pideva täitmise üle on proportsionaalsed, piisavad ja vastavuses makseasutust ohustavate riskidega.

Selleks et kontrollida käesoleva jaotise nõuete täitmist, on pädevatel asutustel õigus võtta eelkõige järgmisi meetmeid:

2.   […] sätestavad liikmesriigid, et nende asjaomased pädevad asutused võivad makseasutuste järelevalvet või makseteenuste osutamist käsitlevaid õigus‑ ja haldusnorme rikkuvate makseasutuste või isikute suhtes, kes tegelikult kontrollivad nimetatud makseasutuste tegevust, määrata või rakendada sanktsioone või meetmeid, mille abil kavatsetakse lõpetada tuvastatud rikkumine või kõrvaldada selle põhjused.

[…]”

49.

Artiklis 79 „Andmekaitse” on sätestatud: „Liikmesriigid lubavad maksesüsteemidel ja makseteenuse pakkujatel töödelda isikuandmeid, kui see on vajalik maksepettuste ärahoidmise, uurimise ja avastamise tagamiseks. Selliste isikuandmete töötlemine toimub kooskõlas [isikuandmete direktiiviga].”

50.

Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (28. aprilli seadus 10/2010 rahapesu ja terrorismi rahastamise ärahoidmise kohta; edaspidi „seadus 10/2010”), millega võeti Hispaania õigusesse üle rahapesudirektiiv, eristab kolme liiki kliendikontrolli meetmeid: 1) tavapärased kliendikontrolli meetmed (artiklid 3‐6); 2) lihtsustatud kliendikontrolli meetmed (artikkel 9); ( 18 ) ja 3) tugevdatud kliendikontrolli meetmed (artikkel 11).

51.

Tavapäraste kliendikontrolli meetmete hulka kuulub asjaomaste isikute formaalne tuvastamine (artikkel 3), tegelike kasusaajate kindlakstegemine (artikkel 4), teabe hankimine kavatsetava ärisuhte eesmärgi ja laadi kohta (artikkel 5) ning ärisuhte pidev jälgimine (artikkel 6).

52.

Artikli 7 lõike 3 kohaselt ei tohi seaduse 10/2010 kohaldamisalasse kuuluvad isikud alustada ärisuhet või teostada tehingut, kui nad ei saa kohaldada selle seadusega ette nähtud kliendikontrolli meetmeid. Kui see osutub võimatuks ärisuhte käigus, peaksid nad ärisuhte lõpetama.

53.

Artikli 9 lõike 1 punktis b on märgitud, et seaduse 10/2010 kohaldamisalasse kuuluvatel isikutel on lubatud jätta tavapärased kliendikontrolli meetmed kohaldamata klientide suhtes, kes on Euroopa Liidus või samaväärsetes kolmandates riikides asuvad finantseerimisasutused ja kelle kinnipidamine kliendikontrolli meetmetest on järelevalve all. Eelotsusetaotluse esitanud kohtu sõnul viitab sõna „lubatud” sellele, et nimetatud säte ei kehtesta kohustust. Eelotsusetaotluse esitanud kohtul on siiski kahtlusi selle täpse tähenduse suhtes.

54.

Artikli 11 kohaselt tuleb võtta tugevdatud kliendikontrolli meetmed, kui riskihinnangust nähtuvalt esineb suur rahapesu või terrorismi rahastamise oht. Teatavad olukorrad, nende seas rahasaatmisteenused, kujutavad endast oma laadi poolest niisugust ohtu.

55.

Safe on äriühing, mis kannab oma klientide rahalisi vahendeid üle välismaale (see tähendab teistesse liikmesriikidesse ja kolmandatesse riikidesse), kasutades selleks enda kontosid krediidiasutustes.

56.

Eelotsusetaotlusest nähtub, et pangad sulgesid Safe’i kontod pärast seda, kui ta keeldus andmast neile teavet (oma klientide ja ülekantava raha sihtkoha kohta), mida nad olid küsinud seaduse 10/2010 alusel seepeale, kui esines eeskirjade eiramist seoses agentidega, kellel Safe lubas teostada ülekandeid oma kontode kaudu ja keda oli kontrollinud Banco de España (Hispaania keskpank).

57.

BBVA teatas 11. mail 2011 nendest eeskirjade eiramistest Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias del Banco de España’le (Hispaana keskpanga rahapesu ja finantskuritegude ärahoidmise komisjoni täitevtalitus; edaspidi „SEPBLAC”). BBVA teatas Safe’ile 22. juulil 2011 tema konto lõplikust sulgemisest.

58.

Safe vaidlustas BBVA otsuse tema konto sulgeda (ja veel kahe panga samalaadsed otsused) Juzgado de lo Mercantil No 5 de Barcelonas (Barcelona kaubanduskohus nr 5; edaspidi „kaubanduskohus”) põhjendusel, et nimetatud sulgemine kujutas endast ebaausat konkurentsi, mis takistab tema tavapärast tegevust raha ülekandmisel välismaale. Safe märkis: 1) rahaülekannete tegemine välismaale eeldab igal juhul, et tal oleksid kontod; 2) ta konkureerib turul pankadega; 3) pangad ei olnud kunagi varem nõudnud temalt seekord küsitud andmeid Safe’i klientide ega raha päritolu ja sihtkoha kohta (see praktika algas siis, kui pangad tuginesid seadusele 10/2010); ja 4) pankadele niisuguste andmete andmine oleks vastuolus isikuandmete kaitset käsitlevate õigusaktidega. Pangad vastasid, et nende meetmed olid kooskõlas seadusega 10/2010, olid õigustatud muu hulgas raha välismaale ülekandmisega seotud ohtude tõttu ega olnud konkurentsiõigusega vastuolus.

59.

Kaubanduskohus jättis 25. septembril 2009 Safe’i hagi rahuldamata. Ta märkis, et pankadel on õigus nõuda Safe’ilt tugevdatud kliendikontrolli meetmete võtmist ja tema klientide kohta andmete esitamist, kui nad on tuvastanud Safe’i käitumises märke seadust 10/2010 rikkuvast tegevusest. Ehkki ükski pankadest ei rikkunud ühtegi konkreetset konkurentsivastase tegevuse keeldu, tegutsesid Sabadell ja Liberbank (ent mitte BBVA) ebaausalt, jättes meetmete võtmise põhjused märkimata. BBVA tegevus loeti õigustatuks, sest see põhines kontrollil, millest nähtus, et 22% Safe’i konto kaudu sooritatud tehingutest ajavahemikus 1. septembrist kuni 30. novembrini 2010ei teostanud agendid, keda Safe oli volitanud ja Hispaania keskpank kontrollinud. Peale selle teostas samal ajavahemikul tehinguid 1291 isikut, kelle arv kaugelt ületas Safe’i agentide oma. Lisaks sellele oli ühes eksperdiaruandes toonitatud ohtusid seoses tehingutega, mida ei teosta identifitseeritud agendid.

60.

Safe, Sabadell ja Liberbank kaebasid selle kohtuotsuse edasi Audiencia Provincial de Barcelonasse (Barcelona provintsikohus; edaspidi „eelotsusetaotluse esitanud kohus”), mis menetleb neid kolme apellatsioonkaebust koos.

61.

Eelotsusetaotluse esitanud kohus märgib, et kõik pooled kuuluvad seaduse 10/2010 kohaldamisalasse, sest nad kuuluvad selle seaduse artiklis 2 loetletud kategooriatesse, mille hulgas on krediidiasutused ja makseasutused. Peale selle konkureerivad kõik pooled omavahel turul ning nende kõigi tegevusalade hulgas on ülekannete saatmine välismaale. Makseasutused aga (nagu Safe) peavad tegema seda krediidiasutustes (nagu näiteks pankades) avatud kontode kaudu.

62.

Safe väidab esiteks, et BBVA ei olnud kohustatud võtma kliendikontrolli meetmeid finantseerimisasutuste suhtes, sest nende üle teostavad otsest järelevalvet ametiasutused, eeskätt Hispaania keskpank. Teiseks võib Hispaanias ainult SEPBLAC‑il olla juurdepääs makseasutuste klientidega seotud andmetele. Kolmandaks, isegi kui BBVA oli kohustatud võtma kliendikontrolli meetmed, pidi ta enne nende võtmist üksikasjalikult ja ammendavalt uurima Safe’i praktikat seoses asjakohastest õigusaktidest kinnipidamisega. Käesoleval juhul võttis BBVA pelgalt eksperdiaruande, mis koostati BBVA andmete põhjal. Neljandaks, seadus 10/2010 ei ole kohaldatav niisugustele isikutele nagu agendid, kes osutavad finantseerimisasutustele abi raha ülekandmisel.

63.

Sabadelli apellatsioonkaebuses leiab käsitlust see, et kaubanduskohtu otsuses nõustuti, et Sabadell võis põhimõtteliselt küll vastu võtta tugevdatud kliendikontrolli meetmeid, kuid mitte käesoleval juhul. Liberbank väidab, et konto sulgemine oli õigustatud, sest Safe ei esitanud palutud teavet.

64.

Neil asjaoludel taotleb eelotsusetaotluse esitanud kohus eelotsust järgmistes küsimustes:

65.

BBVA, Safe, Hispaania ja Portugali valitsused ning Euroopa Komisjon on esitanud kirjalikud seisukohad. Kohtuistungil, mis peeti 6. mail 2015, esitasid needsamad menetlusosalised, välja arvatud BBVA ja Portugali valitsus, ka suulised seisukohad.

66.

Siseriikliku kohtu menetluses oleva vaidluse sisu seisneb selles, kas pankadel oli õigus või kohustus võtta selliseid meetmeid, nagu nad (nõuetekohaselt rakendatud) rahapesudirektiivi kohaselt võtsid, või kasutasid nad seda direktiivi põhjendamatult kui ettekäänet ebaausaks konkurentsiks.

67.

Eelotsuse küsimused tekivad üksnes niivõrd, kui pangad ja Safe on rahapesudirektiiviga hõlmatud üksused. ( 19 ) Ükski pool ei ole vaidlustanud eelotsusetaotluse esitanud kohtu otsustust iseloomustada neid eelotsuse küsimuste sõnastamisel kui vastavalt krediidiasutusi ja makseasutust selle siseriikliku seaduse tähenduses, millega on üle võetud rahapesudirektiivi artikkel 3.

68.

Esimeses küsimuses palub eelotsusetaotluse esitanud kohus suuniseid rahapesudirektiivi artikli 11 lõike 1 kohta, muu hulgas selle kohta, kas see säte koostoimes artiklitega 5 ja 7 keelab liikmesriigil lubada või nõuda, et krediidiasutus kohaldaks tavapäraseid kliendikontrolli meetmeid kliendi suhtes, kes on makseasutus ja kuulub ka ise rahapesudirektiivi kohaldamisalasse (esimese küsimuse punktid a ja b). Esimese küsimuse punktis c esitab ta samalaadse küsimuse artikli 13 kohaste tugevdatud kliendikontrolli meetmete kohta.

69.

Minu arusaama järgi oleneb esimese küsimuse vastus ennekõike rahapesudirektiivi artikli 7, artikli 11 lõike 1 ja artikli 13 kohaldamisala ulatusest. Kui liikmesriikidel ei ole keelatud ühegi nimetatud sätte rakendamisel lubada või nõuda, et krediidiasutus sulgeks niisugustel asjaoludel, nagu on praegu vaidluse all, makseasutuse kontod, ei ole vaja artiklit 5 arvesse võtta, sest sel juhul on siseriiklikus õiguses kehtestatud kohustused pelgalt vastavuses rahapesudirektiiviga.

70.

Seevastu kui rahapesudirektiivi artikleid 5 ja 7, artikli 11 lõiget 1 ja artiklit 13 tuleb käsitada nii, et need ei võimalda liikmesriikidel lubada või nõuda krediidiasutustelt, nagu pangad seda on, (tugevdatud) kliendikontrolli meetmete kohaldamist asjaoludel, mis eeldavad lihtsustatud kliendikontrolli, ei ole teine ega kolmas küsimus enam asjakohased, sest pankade meetmetel ei saanud sel juhul olla õiguspärast alust.

71.

Teises ja kolmandas küsimuses soovitakse – kui rahapesudirektiiv ei keela liikmesriikidel lubada või nõuda sellistel asjaoludel (tugevdatud) kliendikontrolli meetmeid – Euroopa Kohtult teada niisuguste meetmete ulatuse ja kehtestamise tingimuste kohta. Nimelt: kas siseriiklikus õiguses tohib ette näha, et krediidiasutused teevad makseasutuste toimingute ning kliendikontrolli menetluste ja meetmete suhtes järelevalvet, ning kui, siis millises ulatuses (teise küsimuse punkt a)? Kas selleks, et kasutada õigust võtta (tugevdatud) kliendikontrolli meetmed, on vaja konkreetset põhjendust või piisab sellest, kui kliendi tegevus on riskantne (teise küsimuse punkt b)? Kui on vaja konkreetset põhjendust, siis millistel kriteeriumidel peab niisugune analüüs põhinema (teise küsimuse punkt c)? Lõpuks, kas selliste kliendikontrolli meetmete hulka võib kuuluda nõue, et makseasutused esitaksid isikutuvastusandmed kõikide oma klientide kohta, kellelt ülekantav raha pärineb, ja selle raha saajate kohta, ning kas see on isikuandmete direktiiviga kooskõlas (kolmanda küsimuse punktid a ja b)?

72.

Rahapesudirektiivi tõlgendades on kõik menetlusosalised tuginenud FATF‑i – mis on rahapesu ja terrorismi rahastamise vastu võitlemise standardeid kehtestav ning põhimõtteid arendav ja edendav valitsustevaheline organ – avaldatud soovitustele ja muudele materjalidele. ( 20 ) Euroopa Kohus on juba tõdenud, et rahapesudirektiiv (nagu ka sellele eelnenud direktiiv 91/308/EMÜ) võeti vastu selleks, et kohaldada FATF‑i soovitusi ja muuta need Euroopa Liidus siduvaks. ( 21 ) Sellepärast tuleb rahapesudirektiivi tõlgendada kooskõlas FATF‑i 2003. aasta soovitustega, ( 22 ) mis on sisuliselt selle valdkonna miinimumstandardid. Niisiis võtan neid vajadust mööda arvesse.

73.

Mõnes küsimuses on eelotsusetaotluse esitanud kohus viidanud konkreetsetele liidu õiguse sätetele. Teistes mitte. Väljakujunenud kohtupraktika kohaselt võib Euroopa Kohus eelotsusetaotluse esitanud kohtule tarviliku vastuse andmiseks arvesse võtta neidki liidu õigusnorme, millele siseriiklik kohus ei ole oma küsimustes viidanud. ( 23 ) Olen eelotsuse küsimustele vastuseid välja pakkudes seda lähenemisviisi kasutanud.

74.

Kuigi kolmanda küsimuse punktis b ei ole ebaausate kaubandustavade direktiivile viidatud, väljendab eelotsusetaotluse esitanud kohus mujal eelotsusetaotluses siiski kahtlusi seoses sellest direktiivist ja rahapesudirektiivist tulenevate õiguste omavahelise suhtega. Ebaausate kaubandustavade direktiiv aga ei ole käesolevas asjas kohaldatav, sest Safe ei tegutse „eesmärkidel, mis ei ole seotud tema kaubandus‑, majandus‑, käsitöö‑ ega kutsetegevusega”. ( 24 ) Euroopa Kohus on märkinud, et nimetatud direktiivis vastanduvad teineteisele mõisted „klient” ja „ettevõtja” ning mõiste „tarbija” viitab „üksikisikule, kes ei tegele majandus‑ ega kutsetegevusega”. ( 25 ) Nii ei ole Safe tarbija selle direktiivi tähenduses.

75.

Eelotsusetaotluse esitanud kohus ei ole seda küll sõnaselgelt märkinud, kuid tõendid kohtutoimikus ning esitatud kirjalikud ja suulised seisukohad viitavad sellele, et BBVA hakkas kahtlustama rahapesu või terrorismi rahastamist, kui ta avastas eeskirjade eiramisi teabes nende agentide kohta, kes BBVA‑s avatud Safe’i konto kaudu raha üle kandsid.

76.

BBVA sulges Safe’i konto seaduse 10/2010 alusel, mis ühest küljest lubab kohaldada lihtsustatud kliendikontrolli meetmeid finantseerimisasutuste suhtes, mille kinnipidamine kliendikontrolli meetmetest on järelevalve all, ning teisest küljest kohustab hõlmatud üksusi kohaldama vastavalt nende omapoolsetele riskihinnangutele tugevdatud kliendikontrolli meetmeid olukordades, kus olemuslikult esineb suurem rahapesu või terrorismi rahastamise oht, nagu näiteks raha ülekandmisel.

77.

Esimeses küsimuses soovib eelotsusetaotluse esitanud kohus teada sisuliselt seda, kas rahapesudirektiiviga on vastuolus siseriiklik õigusakt, mis (lihtsustatud ja tugevdatud) kliendikontrolli meetmeid sel viisil reguleerib.

78.

Rahapesudirektiiviga on ette nähtud kolme eri tüüpi kliendikontrolli meetmed (tavapärased, lihtsustatud ja tugevdatud). Liikmesriigid peavad ette nägema nende meetmete asjakohase kohaldamise, et hoida ära finantssüsteemi kasutamist rahapesuks ja terrorismi rahastamiseks. Niisuguseid meetmeid võib olla vaja kohaldada enne või pärast ärisuhte loomist või tehingu sooritamist. Iga meetmetüübi puhul kavandatud hoiatava mõju tase oleneb sellest, mil määral tajutakse riski, et finantssüsteemi niisugusel otstarbel kasutatakse. See riskimäär on igal juhul varieeruv ja nii peavad liikmesriigid tagama, et kohaldatavad meetmed igal üksikjuhul olukorrale vastavad. ( 26 ) Sellepärast asun seisukohale, et otsus selle kohta, mis tasemel kliendikontrolli rakendada, peab alati põhinema kontrollitavatel tõenditel.

79.

Minu arusaama järgi on rahapesudirektiivi II peatüki („Kliendi suhtes kohaldatav nõuetekohane hoolsus”) ning artiklite 5 ja 7, artikli 11 lõike 1 ja artikli 13 omavahelise suhte mõistmise lähtepunktiks kohustus kohaldada tavapäraseid kliendikontrolli meetmeid.

80.

Artiklis 7 on ette nähtud olukorrad, mille puhul automaatselt rakendub kohustus kohaldada tavapäraseid kliendikontrolli meetmeid, sest eeldatakse, et nendes olukordades esineb rahapesu või terrorismi rahastamise oht, mida saab tõkestada artiklites 8 ja 9 ette nähtud meetmete abil. ( 27 ) Need olukorrad on: a) ärisuhte loomine; b) juhuslike tehingute sooritamine vähemalt 15000 euro väärtuses; c) rahapesu või terrorismi rahastamise kahtlus; ja d) kahtlused varem kontrollitud kliendi isikut tõendavate andmete tõele vastavuses või adekvaatsuses. Nii saab tavapäraseid kliendikontrolli meetmeid kohaldada enne ärisuhte loomist või tehingu toimumist (artikli 7 punktid a ja b) või hoolimata sellest, kas on tegu sellega või mitte (artikli 7 punktid c ja d). Muu hulgas ei viita artikli 7 punkt c sellele, nagu peaks nimetatud rahapesu või terrorismi rahastamise kahtlus tekkima enne ärisuhte või tehingu loomist, mitte selle käigus.

81.

Mõistet „rahapesu või terrorismi rahastamise kahtlus” ei ole rahapesudirektiivis määratletud. Kuigi artikli 22 lõike 1 punktist a (mis käsitleb rahapesu andmebüroo teavitamise kohustuse ulatust) osutub, et „kahtlus” ei ole seesama mis „põhjus kahtlustada”, et rahapesu või terrorismi rahastamist pannakse toime või üritatakse toime panna (või on toime pandud või üritatud toime panna), ei saa seda eristust minu arvates tõlgendada nii, et „kahtlus” artikli 7 punkti c tähenduses on puhtsubjektiivne asjaolu. Minu meelest peab kahtlus põhinema mingil objektiivsel tõendil, mille vastavust artikli 7 punktile c ja teistele rahapesudirektiivi sätetele ( 28 ) saab kontrollida. Seega olen arvamusel, et „rahapesu või terrorismi rahastamise kahtlus” artikli 7 punkti c tähenduses tekib eelkõige siis, kui kliendi ja tema tehingute konkreetseid asjaolusid (sealhulgas tema konto(de) kasutamist ja haldamist) arvestades esineb kontrollitavaid tõendeid, millest nähtub rahapesu või terrorismi rahastamise ohu esinemine või tekkimine seoses selle kliendiga.

82.

Rahapesudirektiivi kohaselt tuleb siseriiklikus õiguses ette näha, et niisuguse kahtluse korral (ja teistes artiklis 7 loetletud olukordades) peavad hõlmatud üksused kohaldama tavapäraseid kliendikontrolli meetmeid, sealhulgas tuvastama kliendi isiku ja kontrollima isikusamasust (artikli 8 lõike 1 punkt a); tuvastama kasusaava omaniku, kui see on kohaldatav (artikli 8 lõike 1 punkt b); hankima teavet ärisuhte eesmärgi ja olemuse kohta (artikli 8 lõike 1 punkt c); ning jätkuvalt jälgima olemasolevat ärisuhet ja juba teostatud tehinguid (artikli 8 lõike 1 punkt d). Artikli 8 lõike 1 punkti d saab kohaldada üksnes sündmusjärgselt. Ülejäänud kolme tüüpi meetmeid saab kohaldada mis tahes etapis. See on kooskõlas artikli 9 lõikega 6, mis kohustab liikmesriike nõudma, et hõlmatud üksused rakendaksid kliendikontrolli menetlusi kõikide uute klientide suhtes ja asjakohastel puhkudel, olenevalt riskiastmest ka seniste klientide suhtes. Liikmesriigid peavad nõudma, et enne ärisuhte loomist või tehingu teostamist tuleb kontrollida kliendi ja kasusaava omaniku isikusamasust (artikli 9 lõige 1).

83.

Niisiis on artiklites 7, 8 ja 9 näidatud asjaolud, mille suhtes on liidu seadusandja asunud seisukohale, et siseriiklikus õiguses tuleb ette näha „tavapärased” ennetusmeetmed, kui esineb rahapesu või terrorismi rahastamise oht, ning on määratlenud asjakohased meetmed selle ohu realiseerumise ärahoidmiseks.

84.

Teistes olukordades (olenevalt näiteks kliendi, ärisuhte, toote või tehingu tüübist ( 29 )) võib oht olla väiksem või suurem. Neid olukordi käsitlevad vastavalt artikkel 11 ja artikkel 13, mis kohustavad liikmesriike tagama eri tasemetel kliendikontrolli meetmete kohaldamise.

85.

Vastavalt teatavatele artiklis 11 sätestatud tingimustele ei tule artiklis 8 ja artikli 9 lõikes 1 ette nähtud kliendikontrolli meetmeid kohaldada olukordades, kus need muidu oleksid artikli 7 punktide a, b ja d kohaselt kohustuslikud. Need tingimused on seotud olukordadega, milles rahapesu ja terrorismi rahastamise oht on liidu seadusandja arvates väiksem, näiteks kliendi isiku või tehingu või toote väärtuse ja sisu tõttu.

86.

Sellise olukorraga on tegu ka juhul, kui hõlmatud üksuse klient ise on rahapesudirektiivi kohaldamisalasse kuuluv krediidi‑ või finantseerimisasutus. Artikli 11 lõike 1 kohaselt ei või liikmesriigid nõuda, et hõlmatud üksused (nagu näiteks pangad) kohaldaksid oma klientide (nagu näiteks Safe’i) suhtes artikli 8 ja artikli 9 lõike 1 kohaselt kliendikontrolli meetmeid artikli 7 punktides a, b ja d loetletud olukordades.

87.

See, et artikli 11 lõige 1 nõuab, et hõlmatud üksuste suhtes ei kehtiks tavapärased kliendikontrolli meetmed, ülejäänud artikli 11 lõiked (nagu näiteks lõige 2) aga võimaldavad liikmesriikidel lubada lihtsustatud kliendikontrolli, seda järeldust ei muuda. Lubava sõnastuse kasutamine mujal artiklis 11 näitab, et liikmesriikidel on võimalus kehtestada artiklis 11 ette nähtud lihtsustatud kliendikontrolli meetmed, artiklis 8 ette nähtud tavapäraseid kliendikontrolli meetmed või vastavalt artiklite 13 ja 5 kohaseid tugevdatud või rangemad kliendikontrolli meetmed. Saan sellest aru nii, et imperatiivse sõnastuse kasutamine artikli 11 lõikes 1 tähendab vähemaid võimalusi: rakendatakse kas lihtsustatud kliendikontrolli või – kui see on asjakohane ja vajalik – vastavalt artikli 13 või 5 kohaseid tugevdatud või rangemaid kliendikontrolli kohustusi. Ent tavapärast kliendikontrolli kui sellist rakendada ei tohi. Seega ei tõlgenda ma artikli 11 lõiget 1 nii, et see keelab artiklil 5 rajanevad rangemad sätted.

88.

Artikli 11 lõikes 1 sätestatud erandi põhjendus on see, et klient ise kuulub rahapesudirektiivi kohaldamisalasse. See klient peab järgima kõiki nimetatud direktiivis ette nähtud asjakohaseid nõudeid, mis on siseriiklikus õiguses rakendatud, sealhulgas seoses kliendikontrolli meetmetega, mida ta peab kohaldama omaenda klientide suhtes, ning allub selles direktiivis sätestatud teatamis‑, järelevalve‑ ja muudele nõuetele. Niisugustel asjaoludel on ennetusmeetmeid vähem vaja.

89.

See põhjendus on samuti kooskõlas FATF‑i 2012. aasta soovitustega. Soovituse nr 10 tõlgendusmärkuse punktis 16 on tunnistatud, et võib esineda olukordi, kus rahapesu või terrorismi rahastamise oht on väiksem ning piisava riskianalüüsi põhjal võib olla mõistlik lubada finantseerimisasutustel kohaldada lihtsustatud kliendikontrolli meetmeid. ( 30 ) Punktis 17 on konkreetselt toodud näide finantseerimisasutustest, mille endi suhtes kehtivad FATF‑i 2012. aasta soovitustega kooskõlas olevad rahapesu ja terrorismi rahastamise vastased nõuded ja mis on need nõuded tõhusalt rakendanud ning on seoses nendest kohustustest kinnipidamisega järelevalve all. ( 31 )

90.

Niisiis asun seisukohale, et artikli 11 lõikes 1 kajastub põhimõte, mille kohaselt kliendikontrolli meetmed peavad vastama tuvastatud riskidele. ( 32 ) Artikli 11 lõige 1 eeldab väiksemat riski, sest kuna klient on hõlmatud üksus, kehtivad tema puhul juba kliendikontrolli, teatamis‑ ja järelevalvemeetmed ohjamaks sellest hõlmatud üksusest ja eriti tema enda klientidest tulenevaid riske. Seega on artikli 11 lõike 1 eesmärk kooskõlastada huvid seoses tõhusa reguleerimise, kulutõhusa riskiohje ning rahapesu ja terrorismi rahastamise riski asjakohase ja proportsionaalse ärahoidmisega.

91.

Artikli 11 lõige 1 on kohaldatav kõikide hõlmatud üksuste suhtes ka siis, kui mõne üksuse suhtes võib kehtida lisatingimusi, nagu näiteks makseasutuste puhul makseteenuste direktiivist tulenevalt. Nende luba tegutseda makseasutustena oleneb rahapesudirektiivi järgimisest ja kui nad kavatsevad kasutada registreeritud agente, peab neil olema sisse seatud sisekontrolli mehhanism, et seda järgimist kontrollida. ( 33 )

92.

Ent rahapesudirektiivi, makseteenuste direktiivi ja muude liidu õigusaktide ( 34 ) kohaldamisest hoolimata ei saa kehtivas liidu õiguses (ja siseriiklikes rakendusaktides) ette nähtud kaitse rahapesu ja terrorismi rahastamise eest tagada seda, et oht üleüldse puudub. ( 35 )

93.

Sel põhjusel ei ole artikli 11 lõikes 1 tehtud erandit artikli 7 punktist c. Hoolimata ükskõik millisest mööndusest, erandist või osaluskünnisest ja seega hoolimata sellest, kas klient on või ei ole hõlmatud üksus, näeb artikli 7 lõige c ette, et kliendikontrolli meetmed on kohustuslikud alati, kui esineb rahapesu või terrorismi rahastamise kahtlus. ( 36 ) Teisisõnu, kui niisugune kahtlus tekib, ei tohi liikmesriik seega lubada ega nõuda lihtsustatud kliendikontrolli meetmete kohaldamist. Seega, kui pädev siseriiklik kohus käesolevas asjas tuvastab, et BBVA‑l ja kahel teisel pangal oli Safe’i suhtes põhjendatult selline kahtlus, kohustab liidu õigus teda tõlgendama siseriiklikku õigust (niivõrd, kui see on võimalik) nii, et need pangad olid artikli 7 punkti c põhjal kohustatud kohaldama (vähemalt) tavapäraseid kliendikontrolli meetmeid. ( 37 )

94.

Samuti ei tähenda see, kui klient ise on rahapesudirektiiviga hõlmatud üksus, seda, et liikmesriik ei tohi nõuda tema suhtes selle direktiivi artikli 13 tähenduses tugevdatud kliendikontrolli meetmete kohaldamist, kui rahapesudirektiivi, makseteenuste direktiivi ja teiste liidu õigusaktidega juba ette nähtud tagatistest hoolimata ikkagi esineb nimetatud sättes mainitud suurem rahapesu või terrorismi rahastamise oht. Artikliga 11 on kõigest tehtud erand tavapärastest kliendikontrolli meetmetest olukordadeks, kus oht on väiksem. Kuna seal ei ole artiklile 13 viidatud, ei mõjuta see suurema ohu korral nõutavat kliendikontrolli.

95.

Artikkel 13 kohustab liikmesriike sätestama, et hõlmatud üksused kohaldavad vastavalt riskiastmele tugevdatud kliendikontrolli meetmeid, muu hulgas olukordades, kus nende olemuse tõttu võib esineda suurem rahapesu või terrorismi oht ja vähemalt artikli 13 lõigetes 2‐4 osutatud suurema riskiga olukordades. Välismaale ülekannete saatmist ei ole nendes lõigetes nimetatud. Samuti ei ole eelotsusetaotluse esitanud kohus välja pakkunud, et ükski nendest lõigetest oleks kohaldatav. ( 38 ) Siiski ei keela artikkel 13 liikmesriikidel oma siseriiklikes seadustes riski põhjal kindlaks määrata muid olukordi, kus esineb nende olemuse tõttu suurem oht ja kus seega on õigustatud või isegi tuleb (lisaks tavapärasele kliendikontrollile) kohaldada tugevdatud kliendikontrolli meetmeid.

96.

Seetõttu kohustavad rahapesudirektiivi artiklid 7 ja 13 hoolimata artikli 11 lõikes 1 sätestatud erandist liikmesriike tagama, et hõlmatud üksused kohaldavad olukordades, millega on seotud kliendid, kes ise on selle direktiivi kohaselt hõlmatud üksused, 1) tavapäraseid kliendikontrolli meetmeid vastavalt artiklile 8 ja artikli 9 lõikele 1, kui esineb rahapesu või terrorismi rahastamise kahtlus artikli 7 lõike c tähenduses, ja 2) vastavalt artiklile 13 tugevdatud kliendikontrolli meetmeid selles sättes osutatud olukordades.

97.

Ka siis, kui liikmesriigid on artiklid 7, 11 ja 13 nõuetekohaselt siseriiklikku õigusesse üle võtnud, ( 39 ) võimaldab artikkel 5 neil vastu võtta või kehtima jätta „rangemaid sätteid”, mille eesmärk on tugevdada võitlust rahapesu või terrorismi rahastamise vastu, ( 40 ) ning kinnitab, et rahapesudirektiiv näeb ette vaid minimaalse ühtlustamise. ( 41 ) Need „rangemad sätted” võivad minu arvates olla seotud olukordadega, mille tarbeks direktiiv näeb ette teatavat tüüpi kliendikontrolli, aga ka teiste olukordadega, kus liikmesriikide arvates esineb oht.

98.

Artikkel 5 kuulub I peatükki („Sisu, reguleerimisala ja mõisted”) ning on kohaldatav kõikide „[rahapesudirektiiviga] reguleeritud valdkonnas rahapesu ja terrorismi rahastamise tõkestamiseks [vastu võetavate sätete]” suhtes. Seega ei piirdu selle kohaldamisala ainult II peatüki („Kliendi suhtes kohaldatav nõuetekohane hoolsus”) sätetega. Sellepärast võib liikmesriik ette näha, et krediidiasutus kohaldab makseasutuse suhtes kliendikontrolli meetmeid isegi siis, kui artikli 11 lõike 1 tingimused on täidetud (ja seega isegi siis, kui puudub kahtlus artikli 7 punkti c tähenduses), ning muudes olukordades peale artiklites 7 ja 13 loetletute, kui see on õigustatud ja liidu õigusega kooskõlas. ( 42 )

99.

Kokkuvõttes, niisugused sätted nagu rahapesudirektiivi artikkel 8 või 13 jätavad liikmesriikidele selle direktiivi rakendamisel laialdase vabaduse selles, kuidas täpselt täidetakse kohustused näha ette eri tüüpi kliendikontroll olenevalt olukorra asjaoludest ja kooskõlas üldiste kohustustega hinnata riske ja kehtestada seadused, mille kohaselt tuleb kohaldada tuvastatud riskile vastavaid meetmeid, mis on kooskõlas teiste liidu õiguses kohaldatavate kohustustega. Artiklis 5 on ette nähtud ulatuslikum kaalutlusruum: see võimaldab liikmesriikidel vastu võtta või kehtima jätta „rangemaid sätteid”, kui nad neid vajalikuks peavad, tingimusel et seda tehes austavad nad oma liidu õigusest tulenevaid kohustusi.

100.

Teise küsimuse punktis a palub eelotsusetaotluse esitanud kohus suuniseid krediidiasutuste järelevalvevolituste kohta, mis tulenevad rahapesudirektiivist ja makseteenuste direktiivist, seoses nende klientideks olevate makseasutuste toimingute ning kliendikontrolli menetluste ja meetmetega. Teise küsimuse punkti c alapunktis ii, mis on sellega tihedalt seotud, soovitakse teada, kas krediidiasutus võib hinnata makseasutuse kohaldatavaid kliendikontrolli meetmeid.

101.

Minu arusaama järgi põhinevad need küsimused eeldusel, et Safe’i kontod suleti seetõttu, et Safe ei andnud teavet, mida pangad küsisid seoses enda kohaldatavate kliendikontrolli meetmetega. Niisiis tuleks kontode sulgemist pidada vahendiks eesmärgiga tagada Safe’i kohustuste täitmine vastavalt rahapesudirektiivile ja võimalik, et ka makseteenuste direktiivile; see aga on üksnes pädevate asutuste, mitte pankade pädevuses. ( 43 )

102.

Ma ei näe, kuidas saab pankade tegevust järelevalveliseks pidada. Rahapesudirektiiv käsitleb kliendikontrolli nõudeid, mis on kohaldatavad hõlmatud üksustele, mitte klientidele, sest nad on kliendi staatuses. Direktiiv ei nõua, et kliendid annaksid hõlmatud üksustele teavet, mida need üksused peavad omaenda kliendikontrollikohustuste täitmiseks hankima ja kontrollima. Nii näiteks kirjeldab artikkel 8 ärisuhte aspekte, mille kohta tuleb teavet hankida ja kontrollida. Seal ei ole ette nähtud, et siseriiklikus õiguses tuleb sätestada kohustus hankida teavet kliendilt, ega seda, et klient on nõuetekohaselt rakendatud rahapesudirektiivi kohaselt kohustatud sellistele nõudmistele vastama (isegi kui kliendil on artikli 9 lõikes 5 kirjeldatud tagajärgede vältimiseks suur huvi seda teha). ( 44 )

103.

Seetõttu on artikli 9 lõike 5 esimeses lõigus ettenähtu laadsed meetmed (sealhulgas juba loodud ärisuhte lõpetamine) tagajärjena tingitud sellest, et hõlmatud üksusel ei õnnestu täita oma kliendikontrollikohustusi, mis tulenevad artikli 8 lõike 1 punktidest a‐c nii, nagu liikmesriigid on need rakendanud. Niisugust tagajärge õigustab tekkinud risk, et kliente, tehinguid või suhteid kasutatakse (või võidakse kasutada) rahapesu või terrorismi rahastamise eesmärgil.

104.

Artikli 9 lõike 5 kohaldamine ei olene sellest, miks hõlmatud üksusel ei õnnestu kinni pidada artikli 8 lõike 1 punktides a‐c ette nähtud kliendikontrolli meetmetest. Nii ei ole see, kui hõlmatud üksuse kliendid ei esita koostöö korras teavet, mis võimaldaks tal täita artiklit 8 rakendavat siseriiklikku seadust, vajalik ega ka alati piisav artikli 9 lõikes 5 ette nähtud tagajärgede tekkimiseks.

105.

On tõsi, et rahapesudirektiivi artikkel 37 kohustab pädevaid asutusi tõhusale seirele ja võtma vajalikud meetmed tagamaks, et hõlmatud üksused, nende seas oma klientide suhtes kliendikontrolli meetmeid kohaldavad krediidiasutused ja makseasutused seda direktiivi järgivad. Nagu kohtujurist Bot on märkinud, tagab kliendikontrolli ja teatamismeetmete tõhususe see, et pädevatele siseriiklikele asutustele antakse laiem kontrolli‑ ja karistuspädevus. ( 45 ) Nõustun temaga, et kliendikontrolli, teatamis‑, järelevalve‑ ja seiremeetmed koos moodustavad ennetava ja hoiatava meetmestiku, mille abil tõhusalt võidelda rahapesu ja terrorismi rahastamise vastu ning kaitsta finantssüsteemi stabiilsust ja terviklikkust.

106.

See aga ei tähenda, nagu saaksid hõlmatud üksused rahapesudirektiivi artikleid 8 ja 9 rakendavate siseriiklike seaduste alusel tegutsedes asuda täitma järelevalvefunktsiooni, mis on reserveeritud pädevatele asutustele.

107.

Samuti ei tähenda see, nagu tohiksid hõlmatud üksused kompromiteerida järelevalveülesandeid, mida peavad makseteenuste direktiivi artikli 21 kohaselt täitma pädevad asutused, kontrollides, kas makseasutused peavad kinni selle direktiivi II jaotise („Makseteenuse pakkuja”) sätetest. ( 46 ) Ehkki vajaduse korral võivad need asutused selle direktiivi kohaselt agentide, filiaali või makseasutuse enda kohta tehtud registrikandeid tühistada, ( 47 ) eksisteerivad sellised volitused paralleelselt ennetusmeetmetega, mida peavad kohaldama hõlmatud üksused, ja pädevate asutuste järelevalvevolitustega, mis tulenevad rahapesudirektiivist.

108.

Eelotsusetaotluse esitanud kohus soovib teise küsimuse punktis b ja punkti c alapunktides i‐iii – kui liikmesriigid võivad lubada või nõuda krediidiasutuste poolt makseasutuste suhtes kliendikontrolli meetmete kohaldamist – teada sisuliselt seda, kas niisugused meetmed võivad põhineda pelgalt selle makseasutuse tegevusalal üldiselt või tuleb analüüsida selle asutuse toiminguid ühekaupa.

109.

Meenutan, et eelotsuse küsimused on tekkinud seoses vaidlusega, milles osalevad hõlmatud üksused, kes enda väitel on lähtunud kliendikontrolli meetmeid võttes siseriiklikest õigusnormidest, mida kohaldatakse olukordadele, kus seadusandja arvates esineb suur risk (nagu näiteks rahasaatmisteenuste osutamine), ja mida ei ole artiklis 13 loetletud. Peale selle olen juba selgitanud, mis on nõutav artikli 7 punkti c tähenduses rahapesu kahtluse korral. ( 48 )

110.

Sellepärast saan teise küsimuse punktist b ja punkti c alapunktidest i‐iii aru nii, et need on seotud olukordadega, kus liikmesriik tegutseb talle rahapesudirektiiviga jäetud kaalutlusruumi piires.

111.

Kui liikmesriik tegutseb selle kaalutlusruumi piires, peab ta siiski teostama seda pädevust kooskõlas liidu õigusega, sealhulgas aluslepingutes tagatud põhivabadustega. ( 49 ) Euroopa Kohus on nõustunud, et rahapesudirektiivi aluseks olevat eesmärki võidelda finantssüsteemi rahapesu või terrorismi rahastamise eesmärgil kasutamise vastu tuleb tasakaalustada muude huvide, sealhulgas teenuste osutamise vabaduse kaitsega. Nii järeldas Euroopa Kohus oma otsuses Jyske Bank Gibraltar sisuliselt seda, et teabe esitamise kohustustest tulenevad teenuste osutamise vabaduse piirangud on lubatavad, „tingimusel et nende õigusnormide eesmärk on tugevdada kooskõlas liidu õigusega rahapesu ja terrorismi rahastamise vastase võitluse tõhusust”. ( 50 ) Kui liidu õigusnorme ei ole (nagu käesolevas asjas) täielikult ühtlustatud, võivad põhivabadusi piiravad siseriiklikud õigusaktid olla õigustatud, sest need on vastavuses ülekaaluka üldise huviga, mis ei ole kaitstud teenuseosutaja suhtes tema asukohaliikmesriigis kohaldatavate eeskirjadega, ja ainult niivõrd, kui see on eesmärgi saavutamise tagamiseks sobiv ega lähe kaugemale, kui on vaja eesmärgi saavutamiseks. ( 51 )

112.

Euroopa Kohus on juba nõustunud, et rahapesu ja terrorismi rahastamise tõkestamine ja nende vastu võitlemine kujutavad endast õiguspäraseid eesmärke, mis on seotud avaliku korra kaitsega ja võivad õigustada teenuste osutamise vabaduse piiramist. ( 52 )

113.

Kas niisugused, vaidlusaluste laadi siseriiklikud õigusnormid on selle eesmärgi saavutamiseks kohased, sest need aitavad vähendada riski ja üldisemalt vastavad tõepoolest huvile saavutada see eesmärk ühtselt ja süstemaatiliselt? ( 53 ) Mulle näib, et siseriiklikud õigusnormid, milles on pärast asjakohase riskihinnangu andmist (sealhulgas nende klientide suhtes, kes on makseasutused) osutatud suurele riskile seoses teatavat tüüpi (näiteks) kliendi, riigi, toote või tehinguga ning milles seetõttu lubatakse või isegi nõutakse, et hõlmatud üksused kohaldaksid pärast omapoolse individualiseeritud riskihinnangu andmist asjakohaseid kliendikontrolli meetmeid, vastavad sellele nõudele.

114.

Hinnangu andmisel selle kohta, kas siseriiklik õigusnorm on proportsionaalne, tuleb kindlaks määrata kaitse tase, mida liikmesriik seoses tuvastatud rahapesu ja terrorismi rahastamise riski tasemega soovib. Minu arusaama kohaselt kinnitab rahapesudirektiiv seda, et liikmesriigid võivad näiteks ette näha liidu seadusandja valitust kõrgema kaitsetaseme, määrata kindlaks muid (suure) riskiga olukordi ning lubada või nõuda muid kliendikontrolli meetmeid peale direktiivis ettenähtute.

115.

Kui nad teevad nii, võib liikmesriik näiteks määrata kindlaks konkreetsed meetmed, mida tuleb teatavates määratletud olukordades kohaldada, või anda hõlmatud üksustele kaalutlusõiguse kohaldada asjakohase riskihinnangu põhjal meetmeid, mida peetakse vastavas olukorras riskile vastavaks. Kummalgi juhul peavad liikmesriigid tagama, et kohaldatavad tugevdatud kliendikontrolli meetmed põhinevad olenevalt olukorrast kliendi, ärisuhte, konto, toote või tehingu suhtes rahapesu või terrorismi rahastamise riski esinemise ja taseme kohta antud hinnangul. Ilma sellise hinnanguta ei ole liikmesriigil või – asjakohasel juhul – hõlmatud üksusel võimalik konkreetses olukorras otsustada, milliseid meetmeid kohaldada. Ja kui rahapesu või terrorismi rahastamise ohtu ei ole, ei saa nendel (õiguspärastel) alustel ennetusmeetmeid võtta.

116.

Selles riskihinnangus tuleb arvesse võtta vähemalt kõiki olulisi faktilisi asjaolusid, millest võib nähtuda ühe niisugust tüüpi tegevuse risk(i tase), mida tuleb pidada rahapesuks või terrorismi rahastamiseks. Sellised riskid (ja nende tase) võivad oleneda muu hulgas klientidest, riikidest või geograafilistest piirkondadest, toodetest, teenustest, tehingutest või kohaletoimetamise kanalitest. Nii võib olla vaja tuvastada juba saadaval oleva teabe põhjal (näiteks) vara võõrandamisega seotud isikud; selle vara päritolu; võõrandatavad õigused; see, kas oldi teadlikud kuritegelikust tegevusest; konkreetsete isikute ja üksuste seotus vara omandamise, valdamise, kasutamise või võõrandamisega; tehingu või suhte eesmärk; vara hõlmava tehingu geograafiline ulatus; vara või seda vara hõlmava tehingu väärtus; või ärisuhte regulaarsus või kestus.

117.

Niisugune hinnang võimaldab üldiselt ja ka üksikjuhuliselt otsustada, kuidas seda riski asjakohaste meetmete võtmise teel ohjata. Selliseid meetmeid valides on (nii liikmesriikidel kui ka – asjakohastel puhkudel – hõlmatud üksustel) vaja hinnata, kui suures ulatuses on tajutav risk juba ohjatud ja milline osa soovitud kaitse tasemest on juba tagatud teiste meetmetega, sealhulgas nendega, mis põhinevad rahapesudirektiivil, makseteenuste direktiivil ja muudel liidu (või siseriiklikel) õigusaktidel. Küllap ei ole tõenäoline, et üheainsa kliendikontrolli‑ või muu meetmega saab rahapesu või terrorismi rahastamise ohu likvideerida. Liidu õigusaktid osutavad hoopis sellele, et liikmesriigid peavad ette nägema palju eri tüüpi vastuseid niisugustele riskidele.

118.

See, kas siseriiklik õigusnorm on proportsionaalne, oleneb ka sellest, mil määral võivad selle normiga ette nähtud kliendikontrolli meetmed riivata teisi liidu õiguses kaitstud õigusi ja huve, näiteks isikuandmete kaitset (harta artikkel 8) ja samal turul tegutsevate ettevõtjate vaba konkurentsi põhimõtet. Nende eesmärke tuleb niisuguste teiste õiguspäraste huvidega tasakaalustada.

119.

Lõpuks oleneb see, kas siseriiklik õigusnorm on proportsionaalne, ka sellest, kas on olemas teisi võimalikke, vähem piiravaid vahendeid sama kaitsetaseme saavutamiseks. Nii näiteks võib seadus, milles eristatakse rahasaajate asukohariike (vastavalt riskile, mida sinna raha saatmine tähendab) või nõutakse hõlmatud üksustelt niisugust eristamist, olla vähem piirav kui üldistav seadus, mis eeldab, et raha saatmine välismaale tähendab alati suurt riski, ( 54 ) ja ikkagi võimaldada saavutada liikmesriigi soovitud kaitsetaseme.

120.

Kolmanda küsimuse punktis b soovib eelotsusetaotluse esitanud kohus teada sisuliselt seda, kas isikuandmete direktiiviga on vastuolus see, kui liikmesriigid nõuavad, et makseasutused esitaksid oma klientide kohta andmeid krediidiasutustele, kes nendega otseselt konkureerivad, seoses krediidiasutuste kohaldatavate tugevdatud kliendikontrolli meetmetega. Kolmanda küsimuse punkt a on samalaadne, kuigi selles ei ole viidatud ühelegi konkreetsele liidu õiguse sättele ega makseasutuse ja krediidiasutuste vahelisele konkurentsile (kuid seevastu on viidatud andmetele Safe’i kontode kaudu üle kantud raha saajate kohta).

121.

Tekkinud on mõningaid kahtlusi kolmanda küsimuse vastuvõetavuses, sest BBVA väitel ei ole ta kunagi küsinud Safe’i klientide ega ülekantava raha saajate isikuandmeid; ta palus ainult teavet Safe’i nimel tegutsenud ja Safe’i kontosid kasutanud agentide kohta.

122.

Kui BBVA esitab faktilisi asjaolusid õigesti ja need vastavad ka kahe teise panga ja Safe’i vahelise vaidluse sündmustele, näib tõepoolest, et kolmas küsimus ei ole põhikohtuasjas vaidluse lahendamiseks oluline. Kohtupraktikas on siiski välja kujunenud, et vaidluse põhjustanud faktiliste asjaolude tuvastamine ja hindamine ei ole Euroopa Kohtu pädevuses. See õigus on siseriiklikel kohtutel ( 55 ) ja nende sellekohane pädevus on siseriiklike õigusnormide küsimus. Sellepärast vastan kolmandale küsimusele nii palju kui võimalik.

123.

Hõlmatud üksustel, nagu krediidiasutused ja makseasutused, võib olla vaja koguda ja kontrollida andmeid vähemalt nende endi klientide kohta kas vastavalt rahapesudirektiivile või – kui selle kohta kehtib rangemaid sätteid, mida võimaldab selle direktiivi artikkel 5 – vastavalt muudele, siseriiklikele õigusnormidele, mis on liidu õigusega kooskõlas. Kui sellega kaasneb isikuandmete töötlemine, mis kuulub isikuandmete direktiivi kohaldamisalasse, (rahapesudirektiiv ei ole selles suhtes väga konkreetne) kohaldatakse põhimõtteliselt mõlema direktiivi nõudeid. Seoses teabe avaldamisega vastavalt rahapesudirektiivi artiklile 28 kinnitab seda sama direktiivi põhjendus 33. Seda teeb samuti põhjendus 48, mis viitab põhiõiguste austamisele, seega ka isikuandmete kaitsele harta artikli 8 alusel.

124.

Ma ei näe mingit põhjust tõlgendada kas artikli 8 lõike 1 punktis a ( 56 ) või artiklis 13 kasutatud mõistet „klient” nii, et see viitab ka hõlmatud üksuse kliendi kliendile või klientidele. Need sätted käsitlevad sisuliselt suhet hõlmatud üksuse ja tema kliendi või klientide vahel ning seoses selle suhtega sooritatavaid tehinguid. Tõesti on artikli 13 lõike 4 punktis c mainitud meetmeid, mille abil teha kindlaks varanduse ja rahaliste vahendite allikad, mida kasutatakse ärisuhte või tehingu raames teises liikmesriigis või kolmandas riigis elavate riikliku taustaga isikutega. Ent eelotsusetaotluses ei viita miski sellele, nagu oleks käesolevas asjas tegu niisuguse olukorraga.

125.

Samas arvan, et rahapesudirektiiviga ei ole tingimata vastuolus siseriiklikud õigusnormid, mis kohustavad või volitavad hõlmatud üksust hankima teavet oma kliendi klientide kohta, kui see on põhjendatud. Neid kliente käsitlev teave võib olla oluline hinnangu andmisel selle kohta, kas hõlmatud üksuse kliendi, tema tehingute ja ärisuhetega on seotud rahapesu või terrorismi rahastamise riske.

126.

Sel põhjusel ei ole ma nõus, et hõlmatud üksust ei tohi rahapesudirektiivi kohaselt kunagi siseriiklike õigusnormidega volitada ega kohustada hankima teavet oma klientide klientide kohta, et tõkestada rahapesu või terrorismi rahastamist. Samuti näib, et isikuandmete direktiiviga, sealhulgas selle artikliga 7 ei ole vastuolus isikuandmete töötlemine niisugustel asjaoludel.

127.

Sellised siseriiklikud õigusnormid peavad siiski olema kooskõlas selle liikmesriigi teiste kohustustega, mis tulenevad liidu õigusest, sealhulgas isikuandmete direktiivi ning harta artikli 8 ja artikli 52 lõike 1 nõuetega.

128.

Kõikidel nendel kaalutlustel teen Euroopa Kohtule ettepaneku vastata Audiencia Provincial de Barcelonale (Hispaania) nii: