1. 

Riita-asian asianosaisina on kolme luottolaitosta (Banco Bilbao Vizcaya Argentaria, S.A. (jäljempänä BBVA), Banco de Sabadell, S.A. (jäljempänä Sabadell) ja Liberbank, S.A. (jäljempänä Liberbank) (jäljempänä yhdessä pankit)) ja yksi maksulaitos (Safe Interenvios, S.A., jäljempänä Safe). ( 2 ) Pankit sulkivat Safen niissä avaamat tilit, koska niillä oli epäilyksiä rahanpesusta. Safe väittää, että pankit syyllistyivät sopimattomaan kaupalliseen menettelyyn.

2. 

Kysymyksiä on herännyt siitä, estääkö unionin oikeus ja etenkin direktiivi 2005/60/EY (jäljempänä rahanpesudirektiivi) ( 3 ) jäsenvaltiota valtuuttamasta luottolaitosta soveltamaan asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä tiettyyn maksulaitokseen. Rahanpesudirektiivissä säädetään kolmentyyppisistä asiakkaan tuntemisvelvollisuutta koskevista toimenpiteistä (tavanomaiset, yksinkertaistetut ja tehostetut) rahanpesuun tai terrorismin rahoitukseen liittyvän riskin suuruudesta riippuen. Sen 8 artiklassa säädettyihin tavanomaisiin asiakkaan tuntemisvelvollisuutta koskeviin toimenpiteisiin kuuluvat esimerkiksi asiakkaan tunnistaminen ja tietojen hankkiminen liikesuhteen tarkoituksesta ja laadusta. Rahanpesudirektiivin 11 artiklan 1 kohdassa säädetään, että yksinkertaistettua asiakkaan tuntemisvelvollisuutta sovelletaan, kun direktiivin soveltamisalaan kuuluvan laitoksen tai henkilön (jäljempänä direktiivin soveltamisalaan kuuluva yksikkö) asiakas on myös rahanpesudirektiivin soveltamisalaan kuuluva luotto- tai rahoituslaitos (mukaan luettuna maksulaitos). Sen 13 artiklassa edellytetään tehostettua asiakkaan tuntemisvelvollisuutta tilanteissa, joissa rahanpesun tai terrorismin rahoituksen riski on suurempi. Rahanpesudirektiivin 5 artiklassa jäsenvaltiot lisäksi valtuutetaan antamaan ankarampia säännöksiä kuin muualla rahanpesudirektiivissä on säädetty.

3. 

Jos luottolaitos voidaan valtuuttaa soveltamaan (tehostettuja) asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä sellaiseen maksulaitokseen, joka sekin kuuluu rahanpesudirektiivin soveltamisalaan, unionin tuomioistuimelta pyydetään opastusta edellytyksistä, joiden täyttyessä jäsenvaltiot voivat säätää tästä. Määräytyykö näiden toimenpiteiden soveltaminen riskinarvioinnin perusteella ja voiko niihin sisältyä se, että maksulaitosta vaaditaan toimittamaan luottolaitokselle tietoja sen omista asiakkaista ja ulkomaille tehtyjen varainsiirtojen vastaanottajista? Kysymyksissä unionin tuomioistuinta pyydetään tarkastelemaan myös direktiiviä 95/46/EY (jäljempänä henkilötietodirektiivi), ( 4 ) direktiiviä 2005/29/EY (jäljempänä sopimattomia kaupallisia menettelyjä koskeva direktiivi) ( 5 ) ja direktiiviä 2007/64/EY (jäljempänä maksupalveludirektiivi). ( 6 )

4.

SEUT 16 artiklan 1 kohdan mukaan ”jokaisella on oikeus henkilötietojensa suojaan”.

5.

Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 8 artiklan 1 kohdassa todetaan, että ”jokaisella on oikeus henkilötietojensa suojaan”. Saman artiklan 2 kohdan mukaan ”tällaisten tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla”.

6.

Perusoikeuskirjan 52 artiklan 1 kohdassa määrätään seuraavaa: ”Tässä perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.”

7.

Rahanpesudirektiivin johdanto-osan viidennessä perustelukappaleessa selitetään, että kaikkien rahanpesun ja terrorismin rahoituksen alalla toteutettujen toimenpiteiden olisi oltava yhteensopivia muiden kansainvälisissä yhteyksissä toteutettujen toimenpiteiden kanssa ja niissä olisi otettava erityisesti huomioon rahanpesun vastaiset suositukset, jotka on antanut rahoitusalan toimintaryhmä (Financial Action Task Force, jäljempänä FATF), ( 7 ) joka on johtava rahanpesun ja terrorismin rahoituksen vastainen kansainvälinen yhteistyöelin. Rahanpesudirektiivi olisi saatettava vuonna 2003 tarkistettujen ja tuntuvasti laajennettujen FATF:n suositusten (jäljempänä FATF:n vuoden 2003 suositukset) mukaiseksi. ( 8 )

8.

Rahanpesudirektiivin johdanto-osan kymmenennessä perustelukappaleessa todetaan, että direktiivin soveltamisalaan kuuluvien yksikköjen olisi tunnistettava ja todennettava todellisen omistajan ja edunsaajan henkilöllisyys. Tässä yhteydessä olisi oltava näiden yksikköjen päätettävissä, käyttävätkö ne tämän vaatimuksen täyttämiseen yleisiä tiedostoja todellisten omistajien ja edunsaajien henkilöllisyydestä, pyytävätkö ne kyseisen tiedon asiakkailtaan vai hankkivatko ne tiedon muuten, ottaen huomioon, että tällaisten asiakkaan tuntemisvelvollisuutta koskevien toimenpiteiden laajuus on suhteessa rahanpesun ja terrorismin rahoituksen riskiin, joka riippuu asiakkaasta, liikesuhteesta, tuotteesta tai liiketoimesta.

9.

Rahanpesudirektiivin johdanto-osan 22 perustelukappaleessa todetaan, ettei rahanpesun ja terrorismin rahoituksen riski ole kaikissa tilanteissa yhtä suuri. Riskiin perustuvan lähestymistavan mukaisesti periaatteena olisi oltava, että yksinkertaistettu asiakkaan tuntemisvelvollisuus sallitaan tietyissä tilanteissa.

10.

Rahanpesudirektiivin johdanto-osan 24 perustelukappaleen mukaan unionin lainsäädännössä olisi vastaavasti otettava huomioon, että eräissä tilanteissa riski on suurempi. Vaikka kaikkien asiakkaiden henkilöllisyys ja liiketoimintaprofiili olisi selvitettävä, eräissä tapauksissa edellytetään siten erityisen perusteellisia menettelyjä asiakkaan tunnistamiseksi ja henkilöllisyyden todentamiseksi.

11.

Rahanpesudirektiivin johdanto-osan 33 perustelukappaleessa todetaan, että tämän direktiivin 28 artiklassa ( 9 ) tarkoitettujen tietojen ilmaisemisen on tapahduttava henkilötietodirektiivissä säädettyjen, henkilötietojen toimittamista kolmansille maille koskevien sääntöjen mukaisesti ja että 28 artiklassa säädetty ei voi vaikuttaa kansalliseen tietosuojaa ja salassapitovelvollisuutta koskevaan lainsäädäntöön.

12.

Rahanpesudirektiivin johdanto-osan 37 perustelukappaleen mukaan jäsenvaltioiden edellytetään mukauttavan täytäntöönpanon yksityiskohdat eri ammattikuntien erityispiirteisiin sekä direktiivin soveltamisalaan kuuluvien yksikköjen välisiin koko- ja merkittävyyseroihin.

13.

Rahanpesudirektiivin johdanto-osan 48 perustelukappaleessa todetaan, että direktiivissä kunnioitetaan perusoikeuksia ja otetaan huomioon erityisesti perusoikeuskirjassa tunnustetut periaatteet ja että sitä ei pitäisi tulkita tai panna täytäntöön Euroopan ihmisoikeussopimuksen vastaisella tavalla.

14.

Rahanpesudirektiivin 1 artiklan 1 kohdassa säädetään, että ”jäsenvaltioiden on huolehdittava, että rahanpesu ja terrorismin rahoittaminen kielletään”. Saman artiklan 2 kohdassa määritellään neljä eri toimintatyyppiä, joita pidetään rahanpesuna, jos niitä harjoitetaan tahallisesti:

15.

Rahanpesudirektiivin 2 artiklan 1 kohdan mukaan direktiiviä sovelletaan 1) luottolaitoksiin, 2) rahoituslaitoksiin ja 3) eri oikeushenkilöihin tai luonnollisiin henkilöihin näiden harjoittaessa ammattitoimintaa. Muualla rahanpesudirektiivissä näistä luokista käytetään yhteisesti nimitystä ”tämän direktiivin soveltamisalaan kuuluvat laitokset ja henkilöt” (tässä ratkaisuehdotuksessa ”direktiivin soveltamisalaan kuuluvat yksiköt”).

16.

Luottolaitos määritellään 3 artiklan 1 kohdassa viittaamalla direktiivin 2000/12/EY ( 10 ) 1 artiklan 1 kohdan ensimmäisessä alakohdassa samalle käsitteelle annettuun määritelmään, ja sillä tarkoitetaan ”yritystä, jonka liiketoimintana on vastaanottaa yleisöltä talletuksia tai muita takaisinmaksettavia varoja ja myöntää luottoja omaan lukuunsa”.

17.

Rahoituslaitoksella tarkoitetaan ”yritystä, joka ei ole luottolaitos ja jonka pääasiallisena toimintana on yhden tai useamman direktiivin 2006/48/EY [ ( 11 )] liitteessä I olevan luettelon 2–12, 14 ja 15 kohtaan sisältyvän toiminnan harjoittaminen” (3 artiklan 2 kohdan a alakohta). Tähän luetteloon kuuluvia toimia ovat 4 kohdan mukaan ”[maksupalveludirektiivin] 4 artiklan 3 alakohdassa määritellyt maksupalvelut” ( 12 ) ja 5 kohdan mukaan ”maksuvälineiden – – liikkeeseenlasku ja hoitaminen siltä osin kuin tällainen toiminta ei kuulu 4 kohdan soveltamisalaan”. Maksupalveludirektiivin mukaan maksupalvelu käsittää maksutapahtumien toteuttamisen, ja maksulaitokset ovat maksupalveluja tarjoavia yrityksiä, jotka täyttävät direktiivin vaatimukset. ( 13 )

18.

Rahanpesudirektiivin 5 artiklassa säädetään, että ”jäsenvaltiot voivat rahanpesun ja terrorismin rahoittamisen estämiseksi antaa tai pitää voimassa ankarampia säännöksiä [rahanpesudirektiivissä] tarkoitetuista kysymyksistä”.

19.

Rahanpesudirektiivin II luku (”Asiakkaan tuntemisvelvollisuus”) sisältää tavanomaista asiakkaan tuntemisvelvollisuutta koskevien yleisten säännösten (6–10 artikla) lisäksi erilliset jaksot, joissa käsitellään yksinkertaistettua asiakkaan tuntemisvelvollisuutta (11 ja 12 artikla) ja tehostettua asiakkaan tuntemisvelvollisuutta (13 artikla).

20.

Rahanpesudirektiivin 7 artiklan mukaan direktiivin soveltamisalaan kuuluvien yksikköjen on sovellettava asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä a) aloittaessaan liikesuhteen, b) suorittaessaan yksittäisiä liiketoimia, joiden rahamäärä on vähintään 15000 euroa, c) kun rahanpesua tai terrorismin rahoittamista on syytä epäillä, sovellettavista poikkeuksista, vapautuksista tai vähimmäismääristä riippumatta, ja d) kun epäillään, että asiakkaasta aikaisemmin saadut tunnistamistiedot eivät ole oikeita tai riittäviä.

21.

Asiakkaan tuntemisvelvollisuutta koskeviin toimenpiteisiin kuuluvat ”asiakkaan tunnistaminen ja tämän henkilöllisyyden todentaminen luotettavasta ja riippumattomasta lähteestä peräisin olevien asiakirjojen tai tietojen perusteella” (8 artiklan 1 kohdan a alakohta), ”tarvittaessa todellisen omistajan ja edunsaajan tunnistaminen ja riskiin perustuvien ja riittävien toimenpiteiden toteuttaminen todellisen omistajan ja edunsaajan henkilöllisyyden todentamiseksi – –” (8 artiklan 1 kohdan b alakohta), ”tietojen hankkiminen liikesuhteen tarkoituksesta ja laadusta” (8 artiklan 1 kohdan c alakohta) ja ”liikesuhteen jatkuvan seurannan toteuttaminen, mukaan lukien liiketoimien säännöllinen seuranta koko liikesuhteen ajan – –” (8 artiklan 1 kohdan d alakohta).

22.

Rahanpesudirektiivin 8 artiklan 2 kohdassa säädetään, että direktiivin soveltamisalaan kuuluvat yksiköt voivat määritellä asiakkaan tuntemisvelvollisuutta koskevien toimenpiteiden laajuuden sillä perusteella, kuinka suuri riski asiakkaaseen, liikesuhteeseen, tuotteeseen tai liiketoimeen liittyy. Niiden on voitava osoittaa toimivaltaisille viranomaisille, että toimenpiteet ovat riittävän laajoja rahanpesun ja terrorismin rahoituksen riskeihin nähden.

23.

Rahanpesudirektiivin 9 artiklan 1 kohdan mukaan jäsenvaltioiden on joitakin poikkeuksia lukuun ottamatta huolehdittava, että asiakkaan ja todellisen omistajan ja edunsaajan henkilöllisyys todennetaan ennen liikesuhteen aloittamista tai liiketoimen suorittamista.

24.

Jos direktiivin soveltamisalaan kuuluva yksikkö ei pysty noudattamaan 8 artiklan 1 kohdan a–c alakohdan vaatimuksia, jäsenvaltioiden on 9 artiklan 5 kohdan ensimmäisen alakohdan nojalla huolehdittava, että ”se ei saa pankkitilin kautta suorittaa liiketoimia, ei saa aloittaa liikesuhdetta tai suorittaa liiketointa, vaan liikesuhde on lopetettava ja on harkittava asiakkaasta ilmoittamista rahanpesun selvittelykeskukselle 22 artiklan[ ( 14 )] mukaisesti”. Rahanpesudirektiivin 9 artiklan 6 kohdan nojalla jäsenvaltioiden on huolehdittava, että direktiivin soveltamisalaan kuuluvat yksiköt soveltavat asiakkaan tuntemisvelvollisuutta koskevia menettelyjä ei ainoastaan uusiin asiakkaisiin vaan tarvittaessa myös olemassa oleviin asiakkaisiin riskialttiuden perusteella.

25.

Rahanpesudirektiivin 11 artiklan 1 kohdassa säädetään seuraavaa: ”Poiketen siitä, mitä 7 artiklan a, b ja d alakohdassa, 8 artiklassa sekä 9 artiklan 1 kohdassa säädetään, kyseisissä artikloissa esitetyt vaatimukset eivät koske tämän direktiivin soveltamisalaan kuuluvia [yksikköjä], jos asiakas on tämän direktiivin soveltamisalaan kuuluva luotto- tai rahoituslaitos tai henkilö taikka sellaisessa kolmannessa maassa sijaitseva luotto- tai rahoituslaitos tai sellaisessa kolmannessa maassa asuva henkilö, jossa on säädetty tätä direktiiviä vastaavista vaatimuksista ja jossa näiden vaatimusten noudattamista valvotaan.” Mainitun artiklan 2 kohdassa täsmennetään tilanteet, joissa jäsenvaltiot voivat sallia, että direktiivin soveltamisalaan kuuluvat yksiköt eivät sovella asiakkaan tavanomaista tuntemisvelvollisuutta, poiketen siitä, mitä 7 artiklan a, b ja d alakohdassa, 8 artiklassa sekä 9 artiklan 1 kohdassa säädetään. Saman artiklan 3 kohdan mukaan direktiivin soveltamisalaan kuuluvien yksikköjen on aina kerättävä riittävästi tietoja sen selvittämiseksi, täyttääkö asiakas edellytykset 1 ja 2 kohdissa mainittuja poikkeuksia varten. ( 15 )

26.

Rahanpesudirektiivin 13 artiklan 1 kohdan nojalla jäsenvaltioiden on 7 ja 8 artiklassa ja 9 artiklan 6 kohdassa säädettyjen toimenpiteiden lisäksi vaadittava, että direktiivin soveltamisalaan kuuluvat yksiköt soveltavat riskialttiuden perusteella tehostettua asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä erityisesti tilanteissa, joissa rahanpesun tai terrorismin rahoituksen riski voi tilanteen luonteen vuoksi olla suurempi. Niiden on tehtävä näin ainakin 13 artiklan 2–4 kohdassa säädetyissä tilanteissa sekä muissa tilanteissa, joissa rahanpesun tai terrorismin rahoituksen riski on suuri ja joissa 40 artiklan 1 kohdan c alakohdan mukaisesti asetetut tekniset arviointiperusteet täyttyvät. ( 16 ) Mainitun 13 artiklan 2–4 kohdassa tarkoitetut tilanteet ovat niitä, joissa asiakas on etätunnistettu tai joissa on kyse rajatylittävistä kirjeenvaihtajapankkisuhteista vastapuolena toimivien kolmansien maiden laitosten kanssa taikka toisessa jäsenvaltiossa tai kolmannessa maassa asuvien poliittisesti vaikutusvaltaisten henkilöiden liiketoimista ja liikesuhteista. Tällaisia tilanteita varten on lueteltu erityiset tehostetut asiakkaan tuntemisvelvollisuutta koskevat toimenpiteet (tai annettu esimerkkejä asianmukaisista toimenpiteistä).

27.

Rahanpesudirektiivin 20 artiklan mukaan jäsenvaltioiden on vaadittava, että direktiivin soveltamisalaan kuuluvat yksiköt tutkivat erityisen huolellisesti kaikki toimet, joiden luonteen vuoksi ne pitävät erityisen todennäköisenä sitä, että kyseiset toimet liittyvät rahanpesuun tai terrorismin rahoitukseen.

28.

Rahanpesudirektiivin 22 artiklassa, joka koskee 23 artiklan tavoin ilmoitusvelvollisuutta, direktiivin soveltamisalaan kuuluvien yksikköjen (ja tarvittaessa niiden johtajien ja työntekijöiden) edellytetään tekevän yhteistyötä muun muassa ilmoittamalla oma-aloitteisesti viipymättä rahanpesun selvittelykeskukselle, kun ne saavat tietoonsa tai epäilevät tai kun on perusteltua syytä epäillä, että rahanpesua tai terrorismin rahoitusta toteutetaan tai on toteutettu tai yritetään toteuttaa (22 artiklan 1 kohdan a alakohta).

29.

Rahanpesudirektiivin 28 artiklassa direktiivin soveltamisalaan kuuluvia yksikköjä, niiden johtajia ja työntekijöitä kielletään ilmaisemasta kyseiselle asiakkaalle tai kolmannelle henkilölle, että rahanpesun selvittelykeskukselle on toimitettu tietoja 22 ja 23 artiklan mukaisesti tai että rahanpesua tai terrorismin rahoitusta tutkitaan tai saatetaan tutkia.

30.

Rahanpesudirektiivin 34 artiklan 1 kohdan mukaan jäsenvaltioiden on vaadittava, että direktiivin soveltamisalaan kuuluvat yksiköt soveltavat asianmukaisia ja sopivia asiakkaan tuntemisvelvollisuutta, ilmoitusvelvollisuutta, tietojen säilyttämistä, sisäistä valvontaa, riskien arviointia, riskinhallintaa, noudattamisen valvontaa ja tiedottamista koskevia käytänteitä ja menettelyjä, joilla estetään ja ehkäistään rahanpesuun tai terrorismin rahoitukseen liittyviä toimia.

31.

Rahanpesudirektiivin 36 ja 37 artikla liittyvät valvontaan. Erityisesti 37 artiklan 1 kohdassa säädetään, että jäsenvaltioiden on vaadittava toimivaltaisia viranomaisia vähintään valvomaan tehokkaasti, että kaikki direktiivin soveltamisalaan kuuluvat yksiköt noudattavat direktiivin vaatimuksia, ja toteuttamaan tarvittavat toimenpiteet tämän varmistamiseksi.

32.

Rahanpesudirektiivin 40 artiklan 1 kohdan c alakohdan mukaan komissio voi hyväksyä täytäntöönpanotoimet, joissa määritetään tekniset perusteet sen arvioimiseksi, onko tilanteiden rahanpesun tai terrorismin rahoituksen riski 13 artiklassa tarkoitetulla tavalla suuri.

33.

Henkilötietodirektiivin johdanto-osan kahdeksannessa perustelukappaleessa todetaan, että ”yksilöiden oikeuksien ja vapauksien suojan tason [henkilötietojen] käsittelyssä on oltava sama kaikissa jäsenvaltioissa”. Sen johdanto-osan yhdeksännessä perustelukappaleessa hyväksytään, että vaikka jäsenvaltiot eivät enää voi asettaa esteitä henkilötietojen vapaalle liikkuvuudelle välillään yksilöiden oikeuksien ja vapauksien suojan perusteella, niillä on käytettävissään toimenpidemarginaali, jonka rajoissa talouselämän osapuolet ja työmarkkinaosapuolet voivat (henkilötietodirektiivin täytäntöönpanon yhteydessä) toimia.

34.

Henkilötietodirektiivin 1 artiklan 1 kohdassa säädetään, että ”jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja -vapautensa ja erityisesti heidän oikeutensa yksityisyyteen”. Saman artiklan 2 kohdan mukaan ”jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan”.

35.

Henkilötietodirektiivin 2 artiklan a alakohdan määritelmän mukaan henkilötiedoilla tarkoitetaan ”kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (’rekisteröity’) koskevia tietoja” ja tunnistettavissa olevana pidetään ”henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.

36.

Henkilötietojen käsittelyllä tarkoitetaan 2 artiklan b alakohdassa ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen”.

37.

Henkilötietodirektiivin 3 artiklan 1 kohdan mukaan direktiiviä sovelletaan ”osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa”.

38.

Henkilötietodirektiivin 7 artiklassa vahvistetaan periaatteet, joiden mukaisesti määritetään, onko tietojenkäsittely laillista. Sen c ja f alakohdan mukaan käsittely on laillista, jos käsittely on tarpeen ”rekisterinpitäjän laillisen velvoitteen noudattamiseksi” tai ”rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit ja perusoikeudet ja -vapaudet”.

39.

Sopimattomia kaupallisia menettelyjä koskevan direktiivin johdanto-osan kahdeksannessa perustelukappaleessa todetaan, että direktiivillä suojellaan nimenomaisesti kuluttajien taloudellisia etuja elinkeinonharjoittajien sopimattomilta kaupallisilta menettelyiltä ja suojellaan välillisesti myös laillisesti toimivia elinkeinonharjoittajia kilpailijoilta, jotka eivät noudata direktiivin sääntöjä. Kyseisellä direktiivillä taataan siten terve kilpailu sen koordinoimalla alalla.

40.

Sopimattomia kaupallisia menettelyjä koskevassa direktiivissä kuluttajalla tarkoitetaan ”luonnollista henkilöä, joka tämän direktiivin alaan kuuluvissa kaupallisissa menettelyissä toimii tarkoituksessa, joka ei kuulu hänen elinkeino-, liike-, käsiteollisuus- tai ammattitoimintaansa” (2 artiklan a alakohta). Elinkeinonharjoittajalla tarkoitetaan ”luonnollista henkilöä tai oikeushenkilöä, joka tämän direktiivin alaan kuuluvissa kaupallisissa menettelyissä toimii tarkoituksessa, joka liittyy hänen elinkeino-, liike-, käsiteollisuus- tai ammattitoimintaansa, ja elinkeinonharjoittajan nimissä tai puolesta toimivaa henkilöä” (2 artiklan b alakohta). Elinkeinonharjoittajien ja kuluttajien välisillä kaupallisilla menettelyillä tai kaupallisilla menettelyillä tarkoitetaan ”elinkeinonharjoittajan tointa, [tekemättä] jättämistä, käyttäytymistä tai edustamista, kaupallista viestintää, mukaan lukien mainontaa ja markkinointia, joka liittyy välittömästi tuotteen [eli minkä tahansa tavaran tai palvelun ( 17 )] myynnin edistämiseen, myymiseen tai toimittamiseen kuluttajille” (2 artiklan d alakohta).

41.

Sopimattomia kaupallisia menettelyjä koskevan direktiivin 3 artiklan 1 kohdassa säädetään, että direktiiviä ”sovelletaan 5 artiklassa [jossa kielletään sopimattomat kaupalliset menettelyt ja määritellään, mitä ne ovat] tarkoitettuihin elinkeinonharjoittajien ja kuluttajien välisiin sopimattomiin kaupallisiin menettelyihin ennen jotakin tuotetta koskevaa liiketointa [, sen aikana] ja sen jälkeen”.

42.

Mainitun 3 artiklan 4 kohdassa todetaan, että ”jos [sopimattomia kaupallisia menettelyjä koskevan direktiivin] säännökset ovat ristiriidassa sopimattomien kaupallisten menettelyjen yksittäisiä näkökohtia säätelevien muiden yhteisön sääntöjen kanssa, jälkimmäisillä on etusija ja niitä sovelletaan kyseisiin yksittäisiin näkökohtiin”.

43.

Maksupalveludirektiivissä vahvistetaan muun muassa säännöt, joiden mukaisesti maksupalveluntarjoajat jaetaan kuuteen ryhmään, joihin kuuluvat direktiivin 2006/48 4 artiklan 1 kohdan a alakohdassa tarkoitetut luottolaitokset (1 artiklan 1 kohdan a alakohta) ja maksupalveludirektiivissä tarkoitetut maksulaitokset (1 artiklan 1 kohdan d alakohta).

44.

Maksupalveludirektiivin 4 artiklan 3 alakohdassa maksupalvelulla tarkoitetaan ”mitä tahansa liitteessä lueteltua liiketoimintaa”, johon kuuluu maksutapahtumien toteuttaminen. Saman artiklan 4 alakohdassa maksulaitoksella tarkoitetaan ”oikeushenkilöä, jolle on tämän direktiivin 10 artiklan [jossa edellytetään, että yritykset, jotka aikovat tarjota maksupalveluja, hankkivat maksulaitostoimiluvan ennen maksupalvelujen tarjoamisen aloittamista] mukaisesti myönnetty toimilupa maksupalvelujen tarjoamiseen ja toteuttamiseen kaikkialla yhteisössä”. Maksupalvelulla tarkoitetaan ”mitä tahansa liitteessä lueteltua liiketoimintaa” (4 artiklan 3 alakohta). Asiamiehellä tarkoitetaan ”luonnollista tai oikeushenkilöä, joka tarjoaa maksupalveluja maksulaitoksen puolesta” (4 artiklan 22 alakohta).

45.

Maksupalveludirektiivin 5 artiklan mukaan maksulaitostoimilupaa koskevaan hakemukseen on sisällytettävä useita asiakirjoja, kuten ”kuvaus sisäisen tarkastuksen menetelmistä, jotka hakija on ottanut käyttöön täyttääkseen [rahanpesudirektiivin] mukaiset rahanpesun ja terrorismin rahoituksen torjuntaan liittyvät velvollisuutensa”. Maksupalveludirektiivin 10 artiklan 2 kohdassa säädetään, että toimilupa on myönnettävä, ”jos hakemukseen sisältyvät tiedot ja todisteet täyttävät kaikki 5 artiklan mukaiset vaatimukset ja jos hakemuksen tutkineet toimivaltaiset viranomaiset päätyvät myönteiseen kokonaisarvioon”. Sen 12 artiklan 1 kohdan mukaan toimilupa voidaan peruuttaa ainoastaan tarkkaan määritellyissä olosuhteissa, kuten silloin, kun maksulaitos ei enää täytä toimiluvan myöntämisen edellytyksiä (12 artiklan 1 kohdan c alakohta).

46.

Maksupalveludirektiivin 17 artiklan 1 kohdan mukaan maksulaitoksen, joka aikoo tarjota maksupalveluja asiamiehen välityksellä, on ilmoitettava kotijäsenvaltiolleen tiettyjä tietoja, jotta asiamies voidaan rekisteröidä 13 artiklassa tarkoitettuun julkiseen rekisteriin. Näitä tietoja ovat asiamiehen nimi ja osoite sekä kuvaus sisäisen tarkastuksen menetelmistä, joita asiamiehet käyttävät täyttääkseen rahanpesudirektiivin mukaiset rahanpesun ja terrorismin rahoituksen torjuntaan liittyvät velvollisuudet.

47.

Maksupalveludirektiivin 20 artiklan 1 kohdan ensimmäisen alakohdan mukaan jäsenvaltioiden on nimettävä toimivaltaisiksi viranomaisiksi ”joko viranomaisia tai kansallisen lainsäädännön mukaisia tai kansallisessa lainsäädännössä nimenomaisesti tätä varten valtuutettujen viranomaisten hyväksymiä elimiä, kansalliset keskuspankit mukaan lukien”. Toisessa alakohdassa todetaan, että toimivaltaisten viranomaisten on taattava riippumattomuus talousalan organisaatioista ja vältettävä eturistiriitoja. Toimivaltaiset viranomaiset eivät voi olla maksulaitoksia, luottolaitoksia, sähköisen rahan liikkeeseenlaskijoita eivätkä postisiirtoa hoitavia laitoksia, sanotun kuitenkaan rajoittamatta ensimmäisen alakohdan soveltamista.

48.

Maksupalveludirektiivin 21 artiklassa (”Valvonta”) säädetään seuraavaa:

”1.   Jäsenvaltioiden on varmistettava, että toimet, joita toimivaltaiset viranomaiset toteuttavat valvoessaan, että tämän osaston [Maksupalveluntarjoajat] säännöksiä aina noudatetaan, ovat oikeasuhteisia, riittäviä ja maksulaitokseen kohdistuvat riskit huomioon ottavia.

Toimivaltaisilla viranomaisilla on oikeus tämän osaston säännöksien noudattamista valvoessaan erityisesti:

2.   – – jäsenvaltioiden on huolehdittava, että niiden toimivaltaiset viranomaiset voivat, jos maksulaitokset tai niiden liikkeenjohdosta vastaavat johtajat rikkovat maksulaitosten toiminnan valvontaa tai harjoittamista koskevia lakeja, asetuksia tai hallinnollisia määräyksiä, ottaa käyttöön tai määrätä rangaistusseuraamuksia tai toimenpiteitä, joilla nimenomaan pyritään havaittujen rikkomusten tai niiden syiden lopettamiseen.

– –”

49.

Maksupalveludirektiivin 79 artiklassa (”Tietosuoja”) säädetään seuraavaa: ”Jäsenvaltioiden on sallittava, että maksujärjestelmät ja maksupalveluntarjoajat käsittelevät henkilötietoja, kun se on välttämätöntä maksupetoksiin liittyvien rikosten torjunnan, tutkinnan ja selvittämisen varmistamiseksi. Henkilötietojen käsittelyssä on noudatettava [henkilötietodirektiiviä].”

50.

Rahanpesun ja terrorismin rahoituksen torjunnasta 28.4.2010 annetussa laissa 10/2010 (Ley de prevención del blanqueo de capitales y de la financiación del terrorismo, jäljempänä laki 10/2010), jolla rahanpesudirektiivi saatettiin osaksi Espanjan lainsäädäntöä, erotetaan seuraavat kolme asiakkaan tuntemisvelvollisuutta koskevaa toimenpidettä: i) tavanomaiset asiakkaan tuntemisvelvollisuutta koskevat toimenpiteet (3–6 §), ii) yksinkertaistetut asiakkaan tuntemisvelvollisuutta koskevat toimenpiteet (9 §) ( 18 ) ja iii) tehostetut asiakkaan tuntemisvelvollisuutta koskevat toimenpiteet (11 §).

51.

Tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä ovat kyseessä olevien henkilöiden virallinen tunnistaminen (3 §), todellisten omistajien ja edunsaajien tunnistaminen (4 §), tietojen hankkiminen suunnitellun liikesuhteen tarkoituksesta ja laadusta (5 §) ja liikesuhteen jatkuva seuranta (6 §).

52.

Lain 10/2010 7 §:n 3 momentin mukaan henkilöt, joihin lakia 10/2010 sovelletaan, eivät saa aloittaa liikesuhdetta tai suorittaa liiketointa, jos ne eivät pysty soveltamaan tässä laissa säädettyjä asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. Jos näin käy liikesuhteen aikana, liikesuhde olisi lopetettava.

53.

Lain 10/2010 9 §:n 1 momentin b kohdassa säädetään, että lain soveltamisalaan kuuluvilla henkilöillä on valtuudet olla soveltamatta tiettyjä tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, kun kyseessä ovat Euroopan unionin alueelle tai vastaaviin kolmansiin maihin sijoittautuneet rahoituslaitokset, joita valvotaan sen varmistamiseksi, että ne toteuttavat asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan sanan ”valtuudet” käyttö viittaa siihen, ettei säännöksessä aseteta varsinaista velvoitetta. Ennakkoratkaisua pyytänyt tuomioistuin on kuitenkin epävarma sanan tarkasta merkityksestä.

54.

Lain 10/2010 11 §:n mukaan tehostettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä on toteutettava tilanteissa, joissa rahanpesun tai terrorismin rahoituksen riski on riskialttiuden perusteella suuri. Tiettyihin tilanteisiin, etenkin rahalähetyspalveluihin, liittyy niiden luonteen vuoksi suuri riski.

55.

Safe on yritys, joka hoitaa asiakkaidensa varainsiirtoja ulkomaille (eli toisiin jäsenvaltioihin ja kolmansiin maihin) sillä luottolaitoksissa olevien tilien kautta.

56.

Ennakkoratkaisupyynnöstä ilmenee, että pankit sulkivat Safen niissä olevat tilit sen jälkeen, kun tämä oli kieltäytynyt toimittamasta niille tietoja (asiakkaistaan ja varainsiirtojen määränpäästä), joita ne olivat pyytäneet lain 10/2010 nojalla havaittuaan niihin Safen asiamiehiin liittyviä sääntöjenvastaisuuksia, jotka Safe oli valtuuttanut suorittamaan varainsiirtoja tiliensä kautta ja jotka Banco de España (jäljempänä Espanjan keskuspankki) oli hyväksynyt.

57.

BBVA ilmoitti 11.5.2011 sääntöjenvastaisuuksista Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias del Banco de Españalle (Espanjan keskuspankin rahanpesun ja talousrikosten vastaisen komitean toimeenpanoyksikkö, jäljempänä SEPBLAC). BBVA ilmoitti 22.7.2011 Safelle sen tilin lopullisesta sulkemisesta.

58.

Safe nosti BBVA:n tekemästä tilinsulkemispäätöksestä (ja kahden muun pankin vastaavista päätöksistä) kanteen Juzgado de lo Mercantil no 5 de Barcelonassa (jäljempänä kauppatuomioistuin), koska se katsoi tilien sulkemisen olevan sopimatonta kilpailua, joka esti sitä harjoittamasta tavanomaista toimintaansa eli tekemästä varainsiirtoja ulkomaille. Safen mukaan i) varainsiirrot ulkomaille edellyttivät, että sillä oli käytössään tilejä, ii) se kilpaili markkinoilla pankkien kanssa, iii) pankit eivät olleet koskaan aiemmin vaatineet vastaavia tietoja Safen asiakkaista ja varojen alkuperästä ja määränpäästä (pankit aloittivat käytännön lain 10/2010 nojalla) ja iv) näiden tietojen antaminen pankeille olisi ristiriidassa henkilötietojen suojaa koskevan lainsäädännön kanssa. Pankit vastasivat, että niiden toimenpiteet olivat lain 10/2010 mukaisia ja perusteltuja erityisesti ulkomaille tehtäviin varainsiirtoihin liittyvien riskien vuoksi ja että ne eivät olleet kilpailuoikeuden vastaisia.

59.

Kauppatuomioistuin hylkäsi Safen kanteen 25.9.2009. Se katsoi, että pankeilla oli oikeus vaatia Safea toteuttamaan tehostettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä ja luovuttamaan tietoja asiakkaistaan, jos ne havaitsivat Safen käyttäytymisessä merkkejä lain 10/2010 vastaisesta toiminnasta. Oli tapauskohtaisesti tutkittava, oliko pankeilla perusteet sulkea Safen tilit. Vaikka yksikään pankeista ei ollut rikkonut mitään tiettyä kilpailunvastaisen menettelyn kieltoa, Sabadell ja Liberbank (ei kuitenkaan BBVA) olivat toimineet sopimattomasti, kun ne eivät olleet perustelleet toimenpiteitään. BBVA:n menettely todettiin oikeutetuksi, koska se perustui tarkastuksiin, joista kävi ilmi, että 22 prosenttia Safen tilin kautta 1.9.–30.11.2010 tehdyistä siirroista ei ollut Safen valtuuttamien ja Espanjan keskuspankin hyväksymien asiamiesten tekemiä. Mainitulla ajanjaksolla varainsiirtoja teki yhteensä 1291 henkilöä, mikä ylitti selvästi Safen asiamiesten määrän. Asiantuntijan raportissa oli lisäksi korostettu riskejä, jotka liittyivät siihen, että varainsiirtoja tekivät muut kuin nimetyt asiamiehet.

60.

Safe, Sabadell ja Liberbank valittivat tuomiosta Audiencia Provincial de Barcelonaan (jäljempänä ennakkoratkaisua pyytänyt tuomioistuin), joka käsittelee kyseiset kolme valitusta yhdessä.

61.

Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että lakia 10/2010 sovelletaan kaikkiin asianosaisiin, sillä ne kuuluvat sen 2 §:ssä mainittuihin luokkiin, joihin kuuluvat luotto- ja maksulaitokset. Ne kaikki lisäksi kilpailevat keskenään markkinoilla ja harjoittavat samaa toimintaa eli varainsiirtoja ulkomaille. Maksulaitokset (kuten Safe) joutuvat kuitenkin hyödyntämään toiminnassaan luottolaitoksissa (kuten pankeissa) olevia tilejään.

62.

Safe väittää ensiksi, ettei BBVA ollut velvollinen soveltamaan asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä rahoituslaitoksiin, koska ne ovat viranomaisten, etenkin Espanjan keskuspankin, suorassa valvonnassa. Toiseksi ainoastaan SEPBLAC:lla on Espanjassa pääsy maksulaitosten asiakkaiden tietoihin. Kolmanneksi on niin, että vaikka BBVA olisi ollut velvollinen toteuttamaan asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, sen olisi pitänyt ennen niiden toteuttamista joka tapauksessa laatia yksityiskohtainen ja kattava arvio siitä, kuinka Safe noudatti asiaankuuluvaa lainsäädäntöä. BBVA oli käsiteltävässä tapauksessa teettänyt ainoastaan asiantuntijalausunnon, joka oli laadittu BBVA:n tietojen pohjalta. Neljänneksi lakia 10/2010 ei sovelleta henkilöihin, kuten asiamiehiin, jotka avustavat rahoituslaitoksia varojen siirrossa.

63.

Sabadellin valituksessa huomautetaan, että kauppatuomioistuimen tuomiossa todettiin, että Sabadell saattoi periaatteessa toteuttaa tehostettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, muttei kuitenkaan, että se saattoi toteuttaa niitä käsiteltävässä tapauksessa. Liberbank väittää, että tilin sulkeminen oli perusteltua, koska Safe ei ollut toimittanut pyydettyjä tietoja.

64.

Tätä taustaa vasten ennakkoratkaisua pyytänyt tuomioistuin pyytää ennakkoratkaisua seuraavista kysymyksistä:

65.

Kirjallisia huomautuksia ovat esittäneet BBVA, Safe, Espanjan ja Portugalin hallitukset sekä Euroopan komissio. Samat osapuolet BBVA:ta ja Portugalin hallitusta lukuun ottamatta esittivät suullisia huomautuksia 6.5.2015 pidetyssä istunnossa.

66.

Kansallisen tuomioistuimen ratkaistavana olevassa riita-asiassa on lähinnä kyse siitä, olivatko pankit oikeutettuja tai velvollisia toteuttamaan kyseiset toimet rahanpesudirektiivin nojalla (asianmukaisesti sovellettuna) vai käyttivätkö ne direktiiviä perusteettomasti tekosyynä sopimattomalle kilpailumenettelylle.

67.

Esitetyt kysymykset ovat aiheellisia ainoastaan, jos pankit ja Safe ovat rahanpesudirektiivin soveltamisalaan kuuluvia yksikköjä. ( 19 ) Asianosaiset ja muut osapuolet eivät ole kyseenalaistaneet ennakkoratkaisua pyytäneen tuomioistuimen päätöstä luonnehtia niitä kysymyksissään rahanpesudirektiivin 3 artiklan täytäntöönpanemiseksi annetussa kansallisessa lainsäädännössä tarkoitetuiksi luottolaitoksiksi ja maksulaitokseksi.

68.

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään ohjeita rahanpesudirektiivin 11 artiklan 1 kohdan osalta ja erityisesti sen osalta, estetäänkö kyseisessä kohdassa, luettuna yhdessä 5 ja 7 artiklan kanssa, jäsenvaltiota valtuuttamasta tai vaatimasta luottolaitosta soveltamaan tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä sellaiseen asiakkaaseen, joka on maksulaitos ja johon myös sovelletaan rahanpesudirektiiviä (ensimmäisen kysymyksen a ja b kohta). Ensimmäisen kysymyksensä c kohdalla se tiedustelee samaa 13 artiklassa tarkoitettujen tehostettujen asiakkaan tuntemisvelvollisuutta koskevien toimenpiteiden yhteydessä.

69.

Mielestäni ensimmäiseen kysymykseen annettava vastaus määräytyy ennen kaikkea rahanpesudirektiivin 7 artiklan, 11 artiklan 1 kohdan ja 13 artiklan soveltamisalan perusteella. Jos jäsenvaltioilla on näitä säännöksiä täytäntöönpannessaan mahdollisuus valtuuttaa luottolaitos sulkemaan maksulaitoksen tilit tai vaatia sitä tekemään näin käsiteltävässä asiassa kyseessä olevan kaltaisissa olosuhteissa, 5 artiklaa ei ole tarpeen tarkastella, koska kansalliseen lakiin perustuvat velvoitteet vastaavat tällöin rahanpesudirektiivissä asetettuja velvoitteita.

70.

Vastaavasti jos rahanpesudirektiivin 5 ja 7 artiklaa, 11 artiklan 1 kohtaa ja 13 artiklaa on tulkittava siten, että niissä estetään jäsenvaltioita valtuuttamasta tai vaatimasta luottolaitoksia, kuten pankkeja, toteuttamaan (tehostettuja) asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä olosuhteissa, joissa on perusteltua soveltaa yksinkertaistettua asiakkaan tuntemisvelvollisuutta, toinen ja kolmas kysymys eivät enää ole relevantteja, koska pankkien toimenpiteille ei ole voinut olla lainmukaista perustaa.

71.

Jos rahanpesudirektiivissä jäsenvaltioita ei estetä valtuuttamasta tai vaatimasta (tehostettuja) asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä tällaisissa olosuhteissa, toisella ja kolmannella kysymyksellä unionin tuomioistuimelta tiedustellaan, mikä on näiden toimenpiteiden laajuus ja millä edellytyksillä niitä voidaan määrätä. Voidaanko kansallisessa lainsäädännössä erityisesti säätää, että luottolaitokset valvovat maksulaitosten toimintaa ja niiden toteuttamia asiakkaan tuntemisvelvollisuutta koskevia menettelyjä ja toimenpiteitä, ja jos voidaan, kuinka laajaa tämä valvonta voi olla (toisen kysymyksen a kohta)? Onko oltava erityinen peruste, jotta oikeutta toteuttaa (tehostettuja) asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä voidaan käyttää, vai riittääkö, että asiakas harjoittaa riskialtista toimintaa (toisen kysymyksen b kohta)? Jos erityinen peruste vaaditaan, minkä kriteerien perusteella tällainen arviointi voidaan tehdä (toisen kysymyksen c kohta)? Voiko asiakkaan tuntemisvelvollisuutta koskeviin toimenpiteisiin kuulua se, että maksulaitosta vaaditaan luovuttamaan kaikkien niiden asiakkaidensa henkilöllisyyttä koskevia tietoja, joilta välitetyt varat ovat peräisin, sekä maksujen saajan henkilöllisyyttä koskevia tietoja, ja onko tämä yhdenmukaista henkilötietodirektiivin kanssa (kolmannen kysymyksen a ja b kohta)?

72.

Asianosaiset ja muut osapuolet ovat rahanpesudirektiiviä tulkitessaan tukeutuneet FATF:n suosituksiin ja muuhun sen laatimaan aineistoon; FATF on hallitustenvälinen elin, joka vahvistaa standardeja ja kehittää ja edistää toimintamalleja, joilla torjutaan rahanpesua ja terrorismin rahoitusta. ( 20 ) Unionin tuomioistuin on jo todennut, että rahanpesudirektiivi (ja sitä edeltänyt direktiivi 91/308/ETY) annettiin, jotta FATF:n suosituksia sovellettaisiin ja niistä tehtäisiin velvoittavia unionissa. ( 21 ) Rahanpesudirektiiviä olisi näin ollen tulkittava alan vähimmäisstandardit muodostavien FATF:n vuoden 2003 suositusten ( 22 ) mukaisesti. Otan ne siis huomioon silloin kuin se on asianmukaista.

73.

Ennakkoratkaisua pyytänyt tuomioistuin on joissakin kysymyksissä yksilöinyt erityisiä unionin oikeuden säännöksiä ja toisissa taas ei. Vakiintuneen oikeuskäytännön mukaan on kuitenkin niin, että voidakseen antaa hyödyllisen vastauksen ennakkoratkaisukysymyksiin unionin tuomioistuin saattaa joutua ottamaan huomioon sellaisia unionin oikeuden säännöksiä, joihin kysymyksissä ei ole viitattu. ( 23 ) Sovellan tätä lähestymistapaa esitettyihin kysymyksiin vastatessani.

74.

Vaikka kolmannen kysymyksen b kohdassa ei viitata sopimattomia kaupallisia menettelyjä koskevaan direktiiviin, ennakkoratkaisua pyytänyt tuomioistuin esittää muualla ennakkoratkaisupyynnössä kuitenkin epäilynsä siihen perustuvien oikeuksien ja rahanpesudirektiivin välisestä suhteesta. Sopimattomia kaupallisia menettelyjä koskevaa direktiiviä ei kuitenkaan sovelleta käsiteltävässä asiassa, koska Safe ”[toimii] tarkoituksessa, joka [kuuluu sen] elinkeino-, liike-, käsiteollisuus- tai ammattitoimintaan”. ( 24 ) Unionin tuomioistuin on todennut, että kuluttajan ja elinkeinonharjoittajan käsitteet ovat mainitussa direktiivissä vastakkaisia ja että kuluttajan käsitteellä tarkoitetaan ”yksityistä, joka ei harjoita elinkeino- tai ammattitoimintaa”. ( 25 ) Safe ei näin ollen ole direktiivissä tarkoitettu kuluttaja.

75.

Vaikka ennakkoratkaisua pyytänyt tuomioistuin ei ole nimenomaisesti näin todennut, asiakirja-aineiston sekä kirjallisten ja suullisten huomautusten perusteella voidaan päätellä, että BBVA ryhtyi epäilemään rahanpesua tai terrorismin rahoitusta sen jälkeen, kun se totesi säännönvastaisuuksia niitä asiamiehiä koskevissa tiedoissa, jotka siirsivät varoja Safen BBVA:ssa olevan tilin kautta.

76.

BBVA sulki Safen tilin lain 10/2010 nojalla, jossa yhtäältä sallitaan yksinkertaistettujen asiakkaan tuntemisvelvollisuutta koskevien toimenpiteiden soveltaminen rahoituslaitoksiin, joita valvotaan jo sen varmistamiseksi, että ne toteuttavat asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, ja toisaalta vaaditaan direktiivin soveltamisalaan kuuluvia yksikköjä toteuttamaan riskinarvioinnin perusteella tarvittaessa tehostettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä tilanteissa, joissa rahanpesun tai terrorismin rahoituksen riski voi tilanteen luonteen vuoksi olla suuri, kuten varainsiirtojen yhteydessä.

77.

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään lähinnä, onko rahanpesudirektiivi esteenä sellaiselle kansalliselle lainsäädännölle, jossa säädetään (yksinkertaistetuista ja tehostetuista) asiakkaan tuntemisvelvollisuutta koskevista toimenpiteistä tällä tavoin.

78.

Rahanpesudirektiivissä säädetään kolmentyyppistä asiakkaan tuntemisvelvollisuutta koskevista toimenpiteistä (tavanomaiset, yksinkertaistetut ja tehostetut). Jäsenvaltioiden on säädettävä toimenpiteiden asianmukaisesta toteuttamisesta, jotta estetään rahoitusjärjestelmän käyttö rahanpesuun ja terrorismin rahoitukseen. Toimenpiteitä voi olla tarpeen toteuttaa ennen liikesuhteen aloittamista tai liiketoimen suorittamista tai sen jälkeen. Kunkin erityyppisen toimenpiteen aiotun ehkäisevän vaikutuksen laajuus riippuu siitä, kuinka suuri on havaittu riski siitä, että rahoitusjärjestelmää käytetään näihin tarkoituksiin. Riskin suuruus vaihtelee väistämättä, joten jäsenvaltioiden on varmistettava, että toteutettavat toimenpiteet sopivat kuhunkin tilanteeseen. ( 26 ) Katson näin ollen, että päätöksen siitä, minkä tasoista asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä toteutetaan, on aina perustuttava todennettaviin perusteisiin.

79.

Lähtökohtana rahanpesudirektiivin II luvun (”Asiakkaan tuntemisvelvollisuus”) ja 5 ja 7 artiklan, 11 artiklan 1 kohdan ja 13 artiklan välisen yhteyden hahmottamiselle on mielestäni velvollisuus toteuttaa tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä.

80.

Kyseisessä 7 artiklassa säädetään tilanteista, joissa on automaattisesti velvollisuus toteuttaa tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, koska niihin katsotaan liittyvän rahanpesun tai terrorismin rahoituksen riskejä, jotka voidaan estää 8 ja 9 artiklassa tarkoitetuilla toimenpiteillä. ( 27 ) Nämä tilanteet liittyvät a) liikesuhteen aloittamiseen, b) yksittäisiin liiketoimiin, joiden rahamäärä on vähintään 15000 euroa, c) rahanpesua tai terrorismin rahoittamista koskeviin epäilyihin ja d) epäilyihin siitä, että asiakkaasta aikaisemmin saadut tunnistamistiedot eivät ole oikeita tai riittäviä. Tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä voidaan siis toteuttaa ennen liikesuhteen muodostamista tai liiketoimen suorittamista (7 artiklan a ja b alakohta) mutta myös muissa yhteyksissä (7 artiklan c ja d alakohta). Mikään 7 artiklan c alakohdassa ei erityisesti viittaa siihen, että rahanpesua tai terrorismin rahoitusta koskevan epäilyn on herättävä pikemminkin ennen liikesuhteen aloittamista tai liiketoimen suorittamista kuin sen aikana.

81.

Rahanpesudirektiivissä ei määritellä ilmaisua ”rahanpesua tai terrorismin rahoittamista koskeva epäily”. Vaikka 22 artiklan 1 kohdan a alakohta (rahanpesun selvittelykeskukselle ilmoittamista koskevan velvollisuuden laajuus) viittaa siihen, että sen epäileminen, että rahanpesua tai terrorismin rahoitusta toteutetaan (tai on toteutettu) tai yritetään toteuttaa, ei ole sama asia kuin se, että olemassa on perusteltu syy epäillä tällaista toimintaa, mielestäni niiden välisen eron ei voida katsoa tarkoittavan sitä, että 7 artiklan c alakohdassa tarkoitettu epäily on luonteeltaan täysin subjektiivinen. Epäilyn on perustuttava johonkin objektiiviseen aineistoon, joka voidaan tarkastaa sen todentamiseksi, että rahanpesudirektiivin 7 artiklan c alakohtaa ja sen muita säännöksiä ( 28 ) on noudatettu. Näin ollen 7 artiklan c alakohdassa tarkoitettu rahanpesua tai terrorismin rahoittamista koskeva epäily herää erityisesti silloin, kun todennettavat perusteet osoittavat, että tiettyyn asiakkaaseen liittyy nyt tai tulevaisuudessa rahanpesun tai terrorismin rahoittamisen riski, kun otetaan huomioon asiakkaan ja hänen liiketoimiensa yksittäiset olosuhteet (jotka liittyvät muun muassa hänen tili(e)nsä käyttöön ja hallinnointiin).

82.

Rahanpesudirektiivin nojalla kansallisessa lainsäädännössä on säädettävä, että kun tällainen epäily on olemassa (sekä muissa 7 artiklassa luetelluissa tilanteissa), direktiivin soveltamisalaan kuuluvien yksikköjen on toteutettava tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, joihin kuuluvat asiakkaan tunnistaminen ja tämän henkilöllisyyden todentaminen (8 artiklan 1 kohdan a alakohta), tarvittaessa todellisen omistajan ja edunsaajan tunnistaminen (8 artiklan 1 kohdan b alakohta), tietojen hankkiminen liikesuhteen tarkoituksesta ja laadusta (8 artiklan 1 kohdan c alakohta) sekä nykyisen liikesuhteen ja jo suoritettujen liiketoimien jatkuvan seurannan toteuttaminen (8 artiklan 1 kohdan d alakohta). Rahanpesudirektiivin 8 artiklan 1 kohdan d alakohtaa voidaan soveltaa vain jälkikäteen. Muita kolmentyyppisiä toimenpiteitä voidaan toteuttaa missä vaiheessa tahansa. Tämä on yhteensopivaa 9 artiklan 6 kohdan kanssa, jonka nojalla jäsenvaltioiden on edellytettävä, että direktiivin soveltamisalaan kuuluvat yksiköt soveltavat asiakkaan tuntemisvelvollisuutta koskevia menettelyjä kaikkiin uusiin ja tarvittaessa myös olemassa oleviin asiakkaisiin riskialttiuden perusteella. Ennen liikesuhteen aloittamista tai liiketoimen suorittamista jäsenvaltioiden on kuitenkin huolehdittava siitä, että asiakkaan ja todellisen omistajan ja edunsaajan henkilöllisyys todennetaan (9 artiklan 1 kohta).

83.

Näin ollen 7, 8 ja 9 artiklassa määritellään ne tilanteet, joissa unionin lainsäätäjä on katsonut, että kansallisessa lainsäädännössä on säädettävä tavanomaisista ehkäisevistä toimenpiteistä, kun on olemassa riski rahanpesusta ja terrorismin rahoittamisesta, ja määritellyt asianmukaiset toimenpiteet, joilla riskin toteutuminen estetään.

84.

Muissa tilanteissa (esimerkiksi asiakkaasta, liikesuhteesta, tuotteesta tai liiketoimesta riippuen) ( 29 ) riski voi olla suurempi tai pienempi. Rahanpesudirektiivin 11 ja 13 artiklassa käsitellään näitä tilanteita, ja niissä jäsenvaltioiden edellytetään varmistavan, että eriasteista asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä toteutetaan.

85.

Jollei muuta johdu tietyistä 11 artiklassa säädetyistä edellytyksistä, 8 artiklassa ja 9 artiklan 1 kohdassa tarkoitettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä ei toteuteta olosuhteissa, joissa niitä muuten 7 artiklan a, b ja d alakohdan nojalla olisi toteutettava. Edellytykset liittyvät tilanteisiin, joissa unionin lainsäätäjä on todennut rahanpesua ja terrorismin rahoitusta koskevan riskin olevan pienempi esimerkiksi asiakkaan henkilöllisyyden taikka liiketoimen tai tuotteen arvon tai sisällön vuoksi.

86.

Näin on silloin, kun direktiivin soveltamisalaan kuuluvan yksikön asiakaskin on rahanpesudirektiivissä tarkoitettu luotto- tai rahoituslaitos. Rahanpesudirektiivin 11 artiklan 1 kohdan nojalla jäsenvaltiot eivät voi vaatia direktiivin soveltamisalaan kuuluvia yksikköjä (kuten pankkeja) soveltamaan 8 artiklassa ja 9 artiklan 1 kohdassa tarkoitettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä asiakkaisiinsa (kuten Safeen) 7 artiklan a, b ja d alakohdassa luetelluissa tilanteissa.

87.

Tätä päätelmää ei muuta se, että 11 artiklan 1 kohdassa edellytetään, ettei direktiivin soveltamisalaan kuuluviin yksikköihin sovelleta tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, kun taas 11 artiklan muiden kohtien (kuten sen 2 kohdan) nojalla jäsenvaltiot voivat sallia yksinkertaistetut asiakkaan tuntemisvelvollisuutta koskevat toimenpiteet. Sallivan muodon käyttö muualla 11 artiklassa osoittaa, että jäsenvaltioilla on mahdollisuus määrätä 11 artiklassa tarkoitetuista yksinkertaistetuista asiakkaan tuntemisvelvollisuutta koskevista toimenpiteistä, 8 artiklassa tarkoitetuista tavanomaisista toimenpiteistä tai 13 artiklassa tarkoitetuista tehostetuista toimenpiteistä ja 5 artiklassa tarkoitetuista ankarammista toimenpiteistä. Kieltomuodon käyttäminen 11 artiklan 1 kohdassa tarkoittaa mielestäni, että valinnanmahdollisuuksia on vähemmän: joko toteutetaan yksinkertaistettuja toimenpiteitä tai tarvittaessa 13 artiklassa tarkoitettuja tehostettuja tai 5 artiklassa tarkoitettuja ankarampia toimenpiteitä. Tavanomaisia toimenpiteitä ei sen sijaan voida toteuttaa. Mielestäni 11 artiklan 1 kohdassa ei siis kielletä 5 artiklaan perustuvia ankarampia säännöksiä.

88.

Perusteena 11 artiklan 1 kohdassa säädetylle poikkeukselle on se, että rahanpesudirektiiviä sovelletaan myös asiakkaaseen. Asiakkaan on noudatettava kaikkia tässä direktiivissä asetettuja asiaankuuluvia vaatimuksia, sellaisina kuin ne on pantu täytäntöön kansallisessa lainsäädännössä, myös niitä, jotka koskevat asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, joita sen on sovellettava omiin asiakkaisiinsa, ja sen on täytettävä direktiivissä asetetut ilmoitus-, valvonta- ja muut velvollisuudet. Tällaisessa tilanteessa ehkäisevien toimien toteuttamisen tarve on pienempi.

89.

Tämä päättely on linjassa myös FATF:n vuoden 2012 suositusten kanssa. Suositusta 10 koskevan tulkintaohjeen 16 kohdassa todetaan, että joissakin tilanteissa rahanpesun tai terrorismin rahoittamisen riski on pienempi ja että voi olla järkevää sallia rahoituslaitosten toteuttaa asianmukaisen riskianalyysin perusteella yksinkertaistettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. ( 30 ) Tulkintaohjeen 17 kohdassa mainitaan nimenomaisesti esimerkkinä rahoituslaitokset, joihin myös sovelletaan FATF:n vuoden 2012 suositusten kanssa yhteensopivia rahanpesun ja terrorismin rahoituksen torjuntaa koskevia vaatimuksia; jotka ovat täyttäneet nämä vaatimukset ja joiden vaatimusten noudattamista valvotaan. ( 31 )

90.

Olen siis sitä mieltä, että 11 artiklan 1 kohta heijastelee periaatetta, jonka mukaan asiakkaan tuntemisvelvollisuutta koskevien toimenpiteiden olisi oltava oikeassa suhteessa tunnistettuihin riskeihin. ( 32 ) Rahanpesudirektiivin 11 artiklan 1 kohdassa riskin oletetaan olevan pienempi, koska asiakas on direktiivin soveltamisalaan kuuluva yksikkö ja koska asiakkaan tuntemisvelvollisuutta, ilmoittamista ja valvontaa koskevia toimenpiteitä toteutetaan jo niiden riskien hallitsemiseksi, joita saattaa liittyä kyseiseen yksikköön ja erityisesti sen omiin asiakkaisiin. Mainitussa artiklan kohdassa pyritään siis sovittamaan yhteen tehokkaan sääntelyn, kustannustehokkaan riskinhallinnan sekä rahanpesun ja terrorismin rahoituksen riskin asianmukaisen ja oikeasuhteisen torjumisen intressit.

91.

Rahanpesudirektiivin 11 artiklan 1 kohtaa sovelletaan kaikkiin direktiivin soveltamisalaan kuuluviin yksikköihin, vaikka joillekin niistä voidaan asettaa lisäedellytyksiä, kuten maksulaitoksille on asetettu maksupalveludirektiivin nojalla. Jotta laitos saisi luvan toimia maksulaitoksena, sen on noudatettava rahanpesudirektiiviä, ja kun se aikoo käyttää rekisteröityjä asiamiehiä, sillä on oltava käytössään sisäiset valvontamekanismit noudattamisen varmistamiseksi. ( 33 )

92.

Rahanpesudirektiivin, maksupalveludirektiivin ja muun unionin lainsäädännön ( 34 ) soveltamisesta huolimatta voimassa olevassa unionin oikeudessa (ja kansallisissa täytäntöönpanosäädöksissä) annetulla suojalla rahanpesua ja terrorismin rahoitusta vastaan ei voida taata, ettei riskiä olisi lainkaan olemassa. ( 35 )

93.

Tästä syystä 11 artiklan 1 kohdassa ei tehdä poikkeusta 7 artiklan c alakohtaan. Rahanpesudirektiivin 7 artiklan c alakohdassa säädetään, että asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä on toteutettava aina, kun rahanpesua ja terrorismin rahoittamista on syytä epäillä, poikkeuksista, vapautuksista tai vähimmäismääristä huolimatta ja siten siitä riippumatta, onko asiakas direktiivin soveltamisalaan kuuluva yksikkö. ( 36 ) Toisin sanoen on niin, että kun tällainen epäilys herää, jäsenvaltio ei näin ollen voi sallia tai vaatia, että toteutetaan yksinkertaistettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. Jos toimivaltainen kansallinen tuomioistuin siis toteaa käsiteltävässä tapauksessa, että BBVA ja kaksi muuta pankkia totesivat asianmukaisesti, että tällaisia epäilyksiä oli olemassa Safen suhteen, unionin oikeudessa sen edellytetään tulkitsevan kansallista lainsäädäntöä (niin pitkälle kuin mahdollista) siten, että 7 artiklan c alakohdan nojalla pankkien oli toteuttava (ainakin) tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. ( 37 )

94.

Myöskään se, että asiakas on itse rahanpesudirektiivin soveltamisalaan kuuluva yksikkö, ei tarkoita sitä, ettei jäsenvaltion pidä edellyttää 13 artiklassa tarkoitettujen tehostettujen asiakkaan tuntemisvelvollisuutta koskevien toimenpiteiden soveltamista kyseiseen asiakkaaseen, jos rahanpesudirektiivissä, maksupalveludirektiivissä ja muussa unionin oikeudessa jo annetuista takeista riippumatta on olemassa kyseisessä artiklassa säädetty suurempi rahanpesun tai terrorismin rahoituksen riski. Rahanpesudirektiivin 11 artiklassa poiketaan tavanomaisista asiakkaan tuntemisvelvollisuutta koskevista toimenpiteistä ainoastaan tilanteissa, joissa riski on pienempi. Siinä ei viitata 13 artiklaan, joten se ei vaikuta suuremman riskin yhteydessä edellytettyihin asiakkaan tuntemisvelvollisuutta koskeviin toimenpiteisiin.

95.

Rahanpesudirektiivin 13 artiklassa edellytetään jäsenvaltioiden vaativan, että direktiivin soveltamisalaan kuuluvat yksiköt soveltavat riskialttiuden perusteella tehostettuja asiakkaan tuntemista koskevia toimenpiteitä erityisesti tilanteissa, joissa rahanpesun tai terrorismin rahoituksen riski voi tilanteen luonteen vuoksi olla suurempi, ja ainakin 13 artiklan 2–4 kohdassa määritellyissä suuremman riskin tilanteissa. Näissä kohdissa ei mainita varainsiirtoa ulkomaille. Ennakkoratkaisua pyytänyt tuomioistuin ei myöskään ole esittänyt, että jotain näistä kohdista sovellettaisiin käsiteltävässä asiassa. ( 38 ) Rahanpesudirektiivin 13 artiklassa jäsenvaltioita ei kuitenkaan estetä määrittelemästä kansallisessa lainsäädännössään riskialttiuden perusteella muita tilanteita, joissa riski voi tilanteen luonteen vuoksi olla suurempi, mikä oikeuttaa tehostetun asiakkaan tuntemisvelvollisuuden soveltamisen tai jopa velvoittaa siihen (tavanomaisen asiakkaan tuntemisvelvollisuuden lisäksi).

96.

Rahanpesudirektiivin 11 artiklan 1 kohdan poikkeuksesta huolimatta sen 7 ja 13 artiklassa jäsenvaltioiden edellytetään näin ollen varmistavan, että direktiivin soveltamisalaan kuuluvat yksiköt soveltavat tilanteissa, joissa on kyse asiakkaista, jotka nekin kuuluvat direktiivin soveltamisalaan, i) 8 artiklassa ja 9 artiklan 1 kohdassa tarkoitettuja tavanomaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä, kun ne epäilevät 7 artiklan c alakohdassa tarkoitettua rahanpesua tai terrorismin rahoittamista, ja ii) 13 artiklassa tarkoitettuja tehostettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä niissä tilanteissa, joista säädetään samaisessa artiklassa.

97.

Siinäkin tapauksessa, että jäsenvaltiot ovat saattaneet 7, 11 ja 13 artiklan asianmukaisesti osaksi kansallista lainsäädäntöään, ( 39 ) 5 artiklassa niiden sallitaan antaa tai pitää voimassa ankarampia säännöksiä, joilla pyritään tehostamaan rahanpesun ja terrorismin rahoittamisen estämistä ( 40 ) ja vahvistetaan, että rahanpesudirektiivissä säädetään vain vähimmäistason yhdenmukaistamisesta. ( 41 ) Ankarammat säännökset voivat nähdäkseni liittyä tilanteisiin, joissa direktiivissä säädetään tietyntyyppisestä asiakkaan tuntemisvelvollisuudesta, ja myös muihin tilanteisiin, joihin jäsenvaltiot katsovat liittyvän riskejä.

98.

Kyseinen 5 artikla sisältyy I lukuun (”Kohde, soveltamisala ja määritelmät”), ja sitä sovelletaan rahanpesun ja terrorismin rahoittamisen estämiseksi kaikkiin rahanpesudirektiivissä tarkoitettuihin kysymyksiin. Sen soveltamisala ei siis rajoitu II luvun (”Asiakkaan tuntemisvelvollisuus”) säännöksiin. Jäsenvaltio voi näin ollen säätää, että luottolaitoksen on sovellettava asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä maksulaitokseen silloinkin, kun 11 artiklan 1 kohdassa tarkoitetut edellytykset täyttyvät (ja näin ollen silloinkin, kun olemassa ei ole 7 artiklan c alakohdassa tarkoitettua epäilystä), ja myös muissa kuin 7 ja 13 artiklassa luetelluissa tilanteissa, kun se on perusteltua ja muuten unionin oikeuden mukaista. ( 42 )

99.

Lyhyesti sanottuna rahanpesudirektiivin 8 tai 13 artiklan kaltaisissa säännöksissä jäsenvaltioille jätetään huomattava vapaus päättää direktiiviä täytäntöön pannessaan siitä, miten ne tarkkaan ottaen täyttävät velvollisuutensa varmistaa erityyppiset asiakkaan tuntemisvelvollisuuden tavat kyseessä olevan tilanteen perusteella ja niille asetettujen niiden yleisten velvollisuuksien mukaisesti, joiden mukaan niiden on arvioitava riskit ja otettava käyttöön sellaista lainsäädäntöä, jossa edellytetään sellaisten toimenpiteiden toteuttamista, jotka ovat oikeassa suhteessa havaittuun riskiin ja soveltuvat yhteen muiden unionin oikeudessa asetettujen velvollisuuksien kanssa. Rahanpesudirektiivin 5 artiklassa säädetään vielä tätä laajemmasta jäsenvaltioiden vapaudesta antaa tai pitää voimassa ankarampia säännöksiä, kun ne pitävät sitä välttämättömänä, kunhan ne tässä yhteydessä noudattavat unionin oikeudessa niille asetettuja velvollisuuksia.

100.

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisen kysymyksensä a kohdalla, kuinka laajat valtuudet luottolaitoksilla on rahanpesudirektiivin ja maksupalveludirektiivin nojalla valvoa asiakkaisiinsa kuuluvien maksulaitosten toimintoja ja asiakkaan tuntemisvelvollisuutta koskevia menettelyjä ja toimenpiteitä. Tähän läheisesti liittyvällä toisen kysymyksensä c kohdan ii alakohdalla ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, voiko luottolaitos arvioida maksulaitoksen toteuttamia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä.

101.

Nähdäkseni näiden kysymysten taustalla on oletus siitä, että Safen tilit suljettiin siksi, ettei tämä toimittanut tietoja, joita pankit siltä pyysivät toteuttaessaan asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. Tilien sulkemista olisi siten pidettävä keinona pakottaa Safe noudattamaan rahanpesudirektiiviin ja mahdollisesti maksupalveludirektiiviin perustuvia velvollisuuksiaan, joiden noudattamisen valvominen kuuluu ainoastaan toimivaltaisille viranomaisille, ei pankeille. ( 43 )

102.

Mielestäni pankkien toimia ei voida pitää luonteeltaan valvontatoimina. Rahanpesudirektiivissä asetetaan asiakkaan tuntemisvelvollisuutta koskevia vaatimuksia, joita sovelletaan direktiivin soveltamisalaan kuuluviin yksikköihin muttei asiakkaisiin niiden asiakasaseman vuoksi. Direktiivissä ei edellytetä, että asiakkaat toimittavat direktiivin soveltamisalaan kuuluville yksiköille tiedot, jotka näiden on hankittava ja todennettava, jotta ne täyttäisivät omat asiakkaan tuntemisvelvollisuutta koskevat velvollisuutensa. Esimerkiksi 8 artiklassa kuvataan liikesuhteen ne osa-alueet, joita koskevat tiedot on hankittava ja todennettava. Siinä ei täsmennetä, että kansallisessa lainsäädännössä olisi säädettävä, että tiedot on hankittava asiakkaalta ja että asiakkaan on vastattava tietopyyntöihin rahanpesudirektiivin nojalla, sellaisena kuin se on asianmukaisesti pantu täytäntöön (vaikka tämä olisi asiakkaan edun mukaista, sillä näin se voisi välttää 9 artiklan 5 kohdassa kuvatut seuraamukset). ( 44 )

103.

Näin ollen 9 artiklan 5 kohdan ensimmäisessä alakohdassa säädetyn kaltaiset toimet (joihin kuuluu myös liikesuhteen lopettaminen, jos sellainen on jo aloitettu) ovat seurausta siitä, ettei direktiivin soveltamisalaan kuuluva yksikkö ole kyennyt noudattanut 8 artiklan 1 kohdan a–c alakohdassa säädettyä asiakkaan tuntemisvelvollisuutta, sellaisena kuin jäsenvaltiot ovat panneet sen täytäntöön. Tämä seuraamus on perusteltu sen vuoksi, että velvollisuuden laiminlyönti on johtanut riskiin siitä, että asiakkaita, liiketoimia ja liikesuhteita käytetään (tai voidaan käyttää) rahanpesuun tai terrorismin rahoittamiseen.

104.

Mainitun 9 artiklan 5 kohdan soveltaminen ei määräydy sen perusteella, miksi direktiivin soveltamisalaan kuuluva yksikkö ei pysty toteuttamaan 8 artiklan 1 kohdan a–c alakohdassa edellytettyjä asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. Näin ollen 9 artiklan 5 kohdassa säädettyjen seuraamusten soveltaminen ei edellytä, etteivät direktiivin soveltamisalaan kuuluvan yksikön asiakkaat tee yhteistyötä toimittamalla sille tietoja, joiden ansiosta se pystyisi noudattamaan 8 artiklan täytäntöön panemiseksi annettua kansallista lainsäädäntöä, eikä se välttämättä aina edes riitä perusteeksi seuraamusten soveltamiselle.

105.

Rahanpesudirektiivin 37 artiklassa toki edellytetään, että toimivaltaiset viranomaiset valvovat tehokkaasti, että direktiivin soveltamisalaan kuuluvat yksiköt, mukaan luettuna ne luotto- ja maksulaitokset, jotka soveltavat asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä johonkin asiakkaaseensa, noudattavat kyseistä direktiiviä, ja toteuttavat tarvittavat toimenpiteet noudattamisen varmistamiseksi. Kuten julkisasiamies Bot on todennut, asiakkaan tuntemisvelvollisuutta ja ilmoitusvelvollisuutta koskevien toimenpiteiden tehokkuus varmistetaan myöntämällä toimivaltaisille kansallisille viranomaisille valvontaa ja seuraamusten määräämistä koskevat valtuudet. ( 45 ) Olen hänen kanssaan samaa mieltä siitä, että asiakkaan tuntemis-, ilmoitus-, valvonta- ja seurantavelvollisuutta koskevat toimenpiteet muodostavat yhdessä ennalta ehkäiseviä ja varoittavia toimenpiteitä, joilla torjutaan tehokkaasti rahanpesua ja terrorismin rahoitusta sekä varmistetaan rahoitusjärjestelmän vakaus ja koskemattomuus.

106.

Tämä ei kuitenkaan tarkoita, että kun direktiivin soveltamisalaan kuuluvat yksiköt toimivat rahanpesudirektiivin 8 ja 9 artiklan täytäntöön panemiseksi annetun kansallisen lainsäädännön nojalla, ne voisivat ottaa itselleen toimivaltaisille viranomaisille varatun valvontatehtävän.

107.

Se ei myöskään tarkoita, että direktiivin soveltamisalaan kuuluvat yksiköt voisivat estää toimivaltaisia viranomaisia hoitamasta asianmukaisesti niille maksupalveludirektiivin 21 artiklan nojalla kuuluvaa valvontatehtävää, jolla ne varmistavat, että maksulaitokset noudattavat kyseisen direktiivin II osaston (”Maksupalveluntarjoajat”) säännöksiä. ( 46 ) Vaikka nämä viranomaiset voivat maksupalveludirektiivin nojalla asiaankuuluvissa olosuhteissa perua asiamiesten, sivukonttorin tai varsinaisen maksulaitoksen rekisteröinnin, ( 47 ) tämän valtuuden ohella ovat olemassa rahanpesudirektiivissä säädetyt ehkäisevät toimenpiteet, joita direktiivin soveltamisalaan kuuluvat yksiköt voivat toteuttaa, ja toimivaltaisille viranomaisille kuuluvat valvontavaltuudet.

108.

Jos jäsenvaltiot voivat valtuuttaa luottolaitokset soveltamaan asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä tai vaatia niitä soveltamaan näitä toimenpiteitä maksulaitoksiin, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisen kysymyksensä b kohdalla ja c kohdan i–iii alakohdalla, voivatko nämä toimenpiteet perustua pelkästään maksulaitoksen harjoittaman toiminnan tyyppiin vai onko tarkasteltava maksulaitoksen yksittäisiä toimia.

109.

Muistutan, että nämä kysymykset on esitetty riita-asiassa, jossa asianosaisina on direktiivin soveltamisalaan kuuluvia yksikköjä, jotka väittävät toteuttaneensa asiakkaan tuntemisvelvollisuutta koskevat toimenpiteensä sellaisen kansallisen lainsäädännön nojalla, jota sovelletaan tilanteissa, joihin lainsäätäjän mielestä liittyy suuri riski (kuten rahanvälityspalvelujen tarjoaminen) ja joita ei ole lueteltu 13 artiklassa. Olen lisäksi jo käsitellyt sitä, mitä edellytetään 7 artiklan c alakohdassa tarkoitetun rahanpesuepäilyn tapauksessa. ( 48 )

110.

Toisen kysymyksen b kohdassa ja c kohdan i–iii alakohdassa on näin ollen ymmärtääkseni kyse tilanteista, joissa jäsenvaltio käyttää sille rahanpesudirektiivissä annettua vapautta.

111.

Tätä vapautta käyttäessään jäsenvaltion on kuitenkin käytettävä toimivaltaansa siten, että se ottaa huomioon unionin oikeuden ja etenkin perussopimuksissa taatut perusvapaudet. ( 49 ) Unionin tuomioistuin on todennut, että rahanpesudirektiivin taustalla oleva tavoite estää rahoitusjärjestelmän käyttöä rahanpesuun ja terrorismin rahoitukseen on suhteutettava muiden intressien, kuten palvelujen tarjoamisen vapauden, suojaamiseen. Unionin tuomioistuin totesikin tuomiossa Jyske Bank Gibraltar, että ilmoittamisvelvoitteesta johtuvat palvelujen tarjoamisen vapauden rajoitukset ovat sallittuja, ”kunhan tällaisella lainsäädännöllä tähdätään unionin oikeutta noudattaen rahanpesun ja terrorismin rahoituksen torjunnan tehostamiseen”. ( 50 ) Kun unionin oikeutta ei ole kokonaan yhdenmukaistettu (kuten käsiteltävässä tapauksessa), kansallinen lainsäädäntö, jolla rajoitetaan perusvapauksia, voi olla oikeutettu siksi, että se perustuu yleistä etua koskevaan pakottavaan syyhyn, jos tätä etua ei jo suojella palvelujen tarjoajaan sen sijoittautumisvaltiossa sovellettavilla säännöksillä, jos kyseinen kansallinen lainsäädäntö on omiaan takaamaan sillä tavoitellun päämäärän toteutumisen ja jos sillä ei ylitetä sitä, mikä on tarpeen tämän päämäärän saavuttamiseksi. ( 51 )

112.

Unionin tuomioistuin on jo todennut, että rahanpesun ja terrorismin rahoituksen estäminen ja torjunta ovat perusteltuja päämääriä, jotka liittyvät yleisen järjestyksen suojaamiseen ja voivat oikeuttaa palvelujen tarjoamisen vapauden rajoittamisen. ( 52 )

113.

Voidaanko käsiteltävässä asiassa kyseessä olevan kaltaisella kansallisella lainsäädännöllä taata tämän tavoitteen toteutuminen, koska sen avulla riskiä voidaan lieventää ja koska sillä yleisemmin ottaen kyetään tosiasiallisesti vastaamaan tavoitteen toteuttamisen tarpeisiin johdonmukaisella ja järjestelmällisellä tavalla? ( 53 ) Mielestäni tätä edellytystä noudattaa sellainen kansallinen lainsäädäntö, jossa määritellään asiaankuuluvan riskinarvioinnin (joka koskee myös asiakkaana olevia maksulaitoksia) perusteella, että (esimerkiksi) tiettyyn asiakkaaseen, maahan, tuotteeseen tai liiketoimeen liittyy suuri riski, ja jossa tämän perusteella direktiivin soveltamisalaan kuuluvat yksiköt valtuutetaan toteuttamaan oman yksilöllisen riskinarviointinsa perusteella asianmukaisia asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä tai jopa vaaditaan tätä niiltä.

114.

Arvioitaessa kansallisen lainsäädännön oikeasuhteisuutta on määriteltävä jäsenvaltion tavoittelema suojan taso suhteessa todettuun rahanpesun ja terrorismin rahoituksen riskin vakavuuteen. Mielestäni rahanpesudirektiivissä vahvistetaan, että jäsenvaltiot voivat esimerkiksi asettaa unionin lainsäätäjän asettamaa suojan tasoa korkeamman suojan tason, määrittää muita (suuren) riskin tilanteita sekä sallia muiden kuin direktiivissä säädettyjen asiakkaan tuntemisvelvollisuutta koskevien toimenpiteiden toteuttamisen tai vaatia sitä.

115.

Näin tehdessään jäsenvaltiot voivat esimerkiksi määritellä erityisiä toimenpiteitä, joita toteutetaan tietyissä tarkkaan määritellyissä tilanteissa, tai antaa direktiivin soveltamisalaan kuuluvien yksikköjen soveltaa asianmukaisen riskinarvioinnin perusteella harkintavaltansa mukaisesti toimenpiteitä, joiden katsotaan olevan oikeassa suhteessa tietyssä tilanteessa kyseessä olevaan riskiin. Kummassakin tapauksessa jäsenvaltioiden on taattava, että tehostetut asiakkaan tuntemisvelvollisuutta koskevat toimenpiteet perustuvat tiettyyn asiakkaaseen, liikesuhteeseen, tiliin, tuotteeseen tai liiketoimeen liittyvän rahanpesuriskin tai terrorismin rahoitusriskin olemassaolon ja suuruuden arviointiin. Ilman tällaista arviointia jäsenvaltio tai tilanteen mukaan direktiivin soveltamisalaan kuuluva yksikkö ei voi päättää, mitä toimenpiteitä kussakin tapauksessa olisi toteutettava. Kun rahanpesuun tai terrorismin rahoitukseen liittyvää riskiä ei ole, näillä (legitiimeillä) perusteilla ei voida toteuttaa ehkäiseviä toimia.

116.

Riskinarvioinnissa on otettava huomioon ainakin kaikki asiaankuuluvat tosiseikat, joilla riski (tai sen suuruus) voidaan osoittaa jonkin sellaisen toimintatyypin osalta, jota on pidettävä rahanpesuna tai terrorismin rahoituksena. Riski (ja sen suuruus) voi määräytyä muun muassa asiakkaan, maan tai maantieteellisen alueen, tuotteen, palvelun, liiketoimen tai jakelukanavan mukaan. Näin ollen voi olla välttämätöntä varmistaa mahdollisesti jo saatavilla olevan tiedon perusteella (esimerkiksi) omaisuuden siirtoon osallistuneet tahot, omaisuuden alkuperä, siirretyt oikeudet, se, oliko tietoa rikollisesta toiminnasta, tiettyjen henkilöiden ja yksiköiden osallisuus omaisuuden hankintaan, omistukseen, käyttöön tai siirtoon, mahdollisen liiketoimen tai liikesuhteen tarkoitus, omaisuutta koskevan liiketoimen maantieteellinen ulottuvuus, omaisuuden tai omaisuutta koskevan liiketoimen arvo sekä liikesuhteen säännöllisyys ja kesto.

117.

Tällaisen arvioinnin perusteella voidaan yleisesti ja yksittäistapauksissa päättää, miten riskiä hallitaan toteuttamalla asianmukaisia toimenpiteitä. Toimenpiteiden valinnassa (sekä jäsenvaltioiden että tilanteen mukaan direktiivin soveltamisalaan kuuluvien yksikköjen) on arvioitava, missä määrin havaittua riskiä hallitaan jo ja mikä on muilla toimenpiteillä, jotka perustuvat esimerkiksi rahanpesudirektiiviin, maksupalveludirektiiviin ja muuhun unionin (tai kansalliseen) lainsäädäntöön, jo taatun suojan haluttu taso. Yksittäisellä asiakkaan tuntemisvelvollisuutta koskevalla tai muulla toimenpiteellä ei todennäköisesti voida poistaa rahanpesun tai terrorismin rahoituksen riskiä. Unionin lainsäädännössä pikemminkin viitataan siihen, että jäsenvaltioiden on otettava käyttöön useita erilaisia keinoja, joilla tällaisia riskejä hallitaan.

118.

Kansallisen lainsäädännön oikeasuhteisuus määräytyy lisäksi sen perusteella, missä määrin siinä säädetyillä asiakkaan tuntemisvelvollisuutta koskevilla toimenpiteillä puututaan muihin unionin oikeudessa suojattuihin oikeuksiin ja intresseihin, kuten henkilötietojen suojaan (perusoikeuskirjan 8 artikla) ja samoilla markkinoilla toimivien yksikköjen vapaan kilpailun periaatteeseen. Toimenpiteiden tavoitteita on verrattava näihin muihin oikeutettuihin intresseihin.

119.

Kansallisen lainsäädännön oikeasuhteisuus riippuu myös siitä, onko olemassa vaihtoehtoisia ja vähemmän rajoittavia keinoja, joilla saavutetaan sama suojan taso. Esimerkiksi sellaisen yleisluonteisen lain sijasta, jossa oletetaan, että varojen lähettämiseen ulkomaille liittyy aina suuri riski, ( 54 ) laki, jossa tehdään ero niiden maiden välillä, joista varoja siirretään (sen perusteella, kuinka suuri riski niistä tehtäviin rahalähetyksiin liittyy), tai velvoitetaan direktiivin soveltamisalaan kuuluvat yksiköt tekemään tämä erottelu, voi olla vähemmän rajoittava, mutta sillä voidaan silti saavuttaa jäsenvaltiossa halutun suojan taso.

120.

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannen kysymyksensä b kohdalla, estääkö henkilötietodirektiivi jäsenvaltioita vaatimasta, että maksulaitokset toimittavat tietoja asiakkaidensa henkilöllisyydestä luottolaitoksille, jotka ovat niiden suoria kilpailijoita, luottolaitosten toteuttaessa tehostettuja asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä. Kolmannen kysymyksen a kohta on samansuuntainen, vaikka siinä ei viitata sen paremmin mihinkään unionin oikeuden säännökseen tai määräykseen kuin maksulaitoksen ja luottolaitosten väliseen kilpailuasemaankaan (sen sijaan siinä viitataan Safen tilien kautta siirrettyjen varojen vastaanottajia koskeviin tietoihin).

121.

Kolmannen kysymyksen tutkittavaksi ottamisesta on herännyt epäilyksiä, sillä BBVA väittää, ettei se ole koskaan pyytänyt Safen asiakkaiden tai rahansiirtojen vastaanottajien henkilötietoja; se on ainoastaan pyytänyt tietoja asiamiehistä, jotka toimivat Safen puolesta ja käyttivät sen tilejä.

122.

Jos BBVA:n esitys tosiseikoista on oikea ja vastaa myös kahden muun pankin ja Safen välisen riita-asian tapahtumia, kolmas kysymys ei tosiaankaan vaikuta olevan merkityksellinen pääasian riidan ratkaisemisen kannalta. Vakiintuneen oikeuskäytännön mukaan unionin tuomioistuimen tehtävänä ei kuitenkaan ole määrittää tai arvioida riita-asian perustana olevia seikkoja. Tämä tehtävä on varattu kansallisille tuomioistuimille, ( 55 ) ja niiden siihen liittyvä toimivalta perustuu kansalliseen lainsäädäntöön. Näin ollen vastaan kolmanteen kysymykseen siinä määrin kuin se on mahdollista.

123.

Direktiivin soveltamisalaan kuuluvien yksikköjen, kuten luotto- ja maksulaitosten, voi olla tarpeen hankkia ja todentaa ainakin niiden omiin asiakkaisiin liittyviä tietoja joko rahanpesudirektiivin mukaisesti tai, jos niihin sovelletaan ankarampia säännöksiä direktiivin 5 artiklassa sallitulla tavalla, muiden unionin oikeuden mukaisten kansallisten oikeussääntöjen nojalla. Kun tässä yhteydessä käsitellään henkilötietodirektiivin soveltamisalaan kuuluvia henkilötietoja (rahanpesudirektiivissä ei säädetä kovinkaan tarkkaan tästä seikasta), lähtökohtaisesti sovelletaan molemmissa direktiiveissä asetettuja vaatimuksia. Tämä vahvistetaan rahanpesudirektiivin johdanto-osan 33 perustelukappaleessa 28 artiklassa tarkoitetun tietojen ilmaisemisen osalta. Samoin tehdään johdanto-osan 48 perustelukappaleessa, jossa viitataan perusoikeuksiin ja jossa mukaan otetaan myös perusoikeuskirjan 8 artiklassa tarkoitettu henkilötietojen suoja.

124.

Mielestäni ei ole mitään perustetta tulkita 8 artiklan 1 kohdan a alakohtaan ( 56 ) tai 13 artiklaan sisältyvää ilmaisua ”asiakas” siten, että se tarkoittaisi myös direktiivin soveltamisalaan kuuluvan yksikön asiakkaan asiakkaita. Nämä säännökset koskevat pääasiallisesti direktiivin soveltamisalaan kuuluvan yksikön ja sen asiakkaiden välistä liikesuhdetta ja sen yhteydessä suoritettuja liiketoimia. On totta, että 13 artiklan 4 kohdan c alakohdassa luetellaan toimenpiteitä, joilla selvitetään sellaisen varallisuuden tai sellaisten varojen alkuperä, jotka liittyvät toisessa jäsenvaltiossa tai kolmannessa maassa asuvien poliittisesti vaikutusvaltaisten henkilöiden liikesuhteisiin tai liiketoimiin. Ennakkoratkaisupyynnön perusteella tästä ei kuitenkaan ole kyse käsiteltävässä asiassa.

125.

Tästä huolimatta rahanpesudirektiivissä ei nähdäkseni välttämättä estetä sellaista kansallista lainsäädäntöä, jossa direktiivin soveltamisalaan kuuluvan yksikön edellytetään perustellussa tapauksessa hankkivan tietoja asiakkaansa asiakkaista tai valtuutetaan se tähän. Näitä asiakkaita koskevat tiedot voivat olla merkityksellisiä arvioitaessa, kohdistuuko direktiivin soveltamisalaan kuuluvan yksikön asiakkaaseen, sen liiketoimiin ja liikesuhteisiin rahanpesun tai terrorismin rahoituksen riski.

126.

Tästä syystä mielestäni on olemassa tilanteita, joissa kansallisessa lainsäädännössä voidaan valtuuttaa rahanpesudirektiivin soveltamisalaan kuuluva yksikkö hankkimaan tietoja asiakkaansa asiakkaista rahanpesun tai terrorismin rahoituksen estämiseksi tai vaatia sitä tekemään näin. Myöskään henkilötietodirektiivissä ja erityisesti sen 7 artiklassa ei nähdäkseni estetä henkilötietojen käsittelyä tällaisessa tilanteessa.

127.

Tällaisen kansallisen lainsäädännön on kuitenkin oltava yhteensopiva kyseisen jäsenvaltion unionin oikeuden mukaisten muiden velvollisuuksien kanssa, jotka perustuvat muun muassa henkilötietodirektiivin ja perusoikeuskirjan 8 artiklan ja 52 artiklan 1 kohdan vaatimuksiin.

128.

Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Audiencia Provincial de Barcelonalle (Espanja) seuraavasti: