1. 

Niniejszy spór zawisł pomiędzy trzema instytucjami kredytowymi [Banco Bilbao Vizcaya Argentaria, S.A. (zwanym dalej „BBVA”), Banco de Sabadell, S.A. (zwanym dalej „Sabadellem”) i Liberbank, S.A. (zwanym dalej „Liberbankiem”), zwanymi dalej łącznie „bankami”] a instytucją płatniczą (Safe Interenvios, S.A., zwaną dalej „Safe” lub „spółką Safe”) ( 2 ). Z uwagi na obawy związane z praniem pieniędzy banki zamknęły prowadzone przez siebie rachunki spółki Safe. Safe twierdzi, że była to nieuczciwa praktyka handlowa.

2. 

Pojawiły się pytania, czy prawo Unii, w szczególności dyrektywa 2005/60/WE (zwana dalej „dyrektywą o praniu pieniędzy”) ( 3 ), wyklucza możliwość, aby państwo członkowskie upoważniło instytucję kredytową do zastosowania względem instytucji płatniczej środków należytej staranności wobec klienta. W dyrektywie tej wyszczególniono trzy rodzaje środków należytej staranności wobec klienta (standardowe, uproszczone i wzmożone), w zależności od ryzyka prania pieniędzy lub finansowania terroryzmu. Standardowe środki należytej staranności wobec klienta w myśl art. 8 obejmują na przykład identyfikację klienta i uzyskanie informacji na temat celu i zamierzonego charakteru stosunków gospodarczych. Artykuł 11 ust. 1 przewiduje, że uproszczone zasady należytej staranności mają zastosowanie w sytuacji, gdy klientami instytucji lub osób objętych tą dyrektywą (zwanych dalej „podmiotami objętymi dyrektywą”) są instytucje kredytowe lub finansowe (w tym instytucje płatnicze), które same w sobie objęte są dyrektywą o praniu pieniędzy. Artykuł 13 wymaga zastosowania środków wzmożonej należytej staranności wobec klienta w sytuacjach, które mogą wiązać się z wyższym ryzykiem prania pieniędzy lub finansowania terroryzmu. Ponadto art. 5 uprawnia państwa członkowskie do nałożenia obowiązków bardziej rygorystycznych niż te przewidziane w pozostałych przepisach dyrektywy o praniu pieniędzy.

3. 

Jeżeli instytucja kredytowa może być uprawniona do zastosowania środków (wzmożonej) należytej staranności wobec klienta w stosunku do instytucji płatniczej, która jako taka objęta jest dyrektywą o praniu pieniędzy, do Trybunału zwrócono się o przedstawienie wytycznych co do warunków, na jakich państwa członkowskie mogą przewidzieć taką wzmożoną należytą staranność. Czy zastosowanie takich środków zależy od wyników analizy ryzyka i czy do środków tych zalicza się wymóg przekazania instytucji kredytowej przez instytucję płatniczą danych dotyczących jej konsumentów oraz odbiorców środków przekazywanych za granicę? Poprzez te pytania do Trybunału wnosi się także o zbadanie dyrektyw 95/46/WE (zwanej dalej „dyrektywą o danych osobowych”) ( 4 ), 2005/29/WE (zwanej dalej „dyrektywą o nieuczciwych praktykach handlowych”) ( 5 ) oraz 2007/64/WE (zwanej dalej „dyrektywą o usługach płatniczych”) ( 6 ).

4.

Zgodnie z art. 16 ust. 1 TFUE „[k]ażda osoba ma prawo do ochrony danych osobowych jej dotyczących”.

5.

Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) stanowi, że „[k]ażdy ma prawo do ochrony danych osobowych, które go dotyczą”. Zgodnie z art. 8 ust. 2 „[d]ane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą”.

6.

Artykuł 52 ust. 1 stanowi, że „[w]szelkie ograniczenia w korzystaniu z praw i wolności uznanych w niniejszej karcie muszą być przewidziane ustawą i szanować istotę tych praw i wolności. Z zastrzeżeniem zasady proporcjonalności, ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób”.

7.

W motywie 5 preambuły dyrektywy o praniu pieniędzy wyjaśnia się, że środki przyjmowane w dziedzinie prania pieniędzy i finansowania terroryzmu powinny być zgodne z innymi działaniami podjętymi w ramach innych gremiów międzynarodowych, w szczególności powinny uwzględniać zalecenia Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy (zwanej dalej „FATF”) ( 7 ), która jest wiodącym organem międzynarodowym aktywnie prowadzącym walkę z praniem pieniędzy i finansowaniem terroryzmu. Dyrektywa o praniu pieniędzy powinna zostać dostosowana do zaleceń FATF, znacząco znowelizowanych i rozszerzonych w 2003 r. (zwanych dalej „zaleceniami FATF z 2003 r.”) ( 8 ).

8.

W myśl motywu 10 podmioty objęte dyrektywą powinny identyfikować i weryfikować tożsamość rzeczywistego beneficjenta. Od nich powinno zależeć, czy czyniąc to, skorzystają z publicznych spisów rzeczywistych beneficjentów, poproszą swoich klientów o odpowiednie dane lub zdobędą informacje w inny sposób, biorąc pod uwagę, że zakres takich środków należytej staranności wobec klienta wiąże się z ryzykiem prania pieniędzy i finansowania terroryzmu, zależnie od typu klienta, stosunków gospodarczych, produktów lub transakcji.

9.

W motywie 22 przyznano, że ryzyko prania pieniędzy i finansowania terroryzmu nie jest w każdym przypadku takie same. Zgodnie z podejściem opartym na ryzyku należy wprowadzić zasadę, zgodnie z którą w stosownych przypadkach dozwolone jest stosowanie uproszczonych zasad identyfikacji klienta.

10.

Jednocześnie, zgodnie z motywem 24, prawodawstwo Unii powinno uznać, że niektóre sytuacje stwarzają zwiększone ryzyko prania pieniędzy lub finansowania terroryzmu. Z tego względu, mimo że powinno się ustalać tożsamość i profil działalności wszystkich klientów, występują przypadki, gdy wymagane są szczególnie rygorystyczne procedury identyfikacji i weryfikacji klienta.

11.

W motywie 33 stwierdza się, że ujawnienie informacji, o których mowa w art. 28 ( 9 ), powinno odbywać się zgodnie z przepisami dotyczącymi przekazywania danych osobowych państwom trzecim, ustanowionymi w dyrektywie o ochronie danych osobowych, oraz że ponadto przepisy art. 28 nie mogą kolidować z przepisami krajowymi w zakresie ochrony danych i tajemnicy zawodowej.

12.

Zgodnie z motywem 37 od państw członkowskich oczekuje się dostosowania szczegółowej implementacji tych przepisów w zależności od specyfiki różnych zawodów oraz różnic w skali i rozmiarze podmiotów objętych dyrektywą.

13.

W świetle motywu 48 dyrektywa o praniu pieniędzy nie narusza praw podstawowych, jest zgodna z zasadami uznanymi w szczególności w karcie i nie powinna być interpretowana lub wykonywana w sposób, który nie jest zgodny z europejską Konwencją o ochronie praw człowieka i podstawowych wolności.

14.

Artykuł 1 ust. 1 stanowi: „Państwa członkowskie zapewniają, że pranie pieniędzy i finansowanie terroryzmu jest zabronione”. W art. 1 ust. 2 wskazane zostały cztery rodzaje czynów, które uznaje się za pranie pieniędzy, jeżeli zostały popełnione umyślnie:

„[…]

15.

Zgodnie z art. 2 ust. 1 dyrektywę o praniu pieniędzy stosuje się wobec: 1) instytucji kredytowych, 2) instytucji finansowych i 3) szeregu osób prawnych lub fizycznych podczas wykonywania ich czynności zawodowych. W innym miejscu dyrektywy o praniu pieniędzy w odniesieniu do tych kategorii stosuje się łączne określenie „instytucje i osoby objęte dyrektywą” (w niniejszej opinii: „podmioty objęte dyrektywą”).

16.

„Instytucję kredytową” zdefiniowano w art. 3 ust. 1 poprzez odniesienie do definicji tego samego terminu w art. 1 ust. 1 akapit pierwszy dyrektywy 2000/12/WE ( 10 ), a zatem oznacza ona „przedsiębiorstwo, którego działalność polega na przyjmowaniu od ludności depozytów lub innych środków podlegających zwrotowi oraz na udzielaniu kredytów na własny rachunek”.

17.

Zgodnie z definicją „instytucja finansowa” oznacza „przedsiębiorstwo inne niż instytucja kredytowa, które prowadzi co najmniej jeden z rodzajów działalności wymienionych w pkt 2–12 i w pkt 14 i 15 załącznika I do dyrektywy 2006/48/WE[ ( 11 ) ]” [art. 3 pkt 2 lit. a)]. Ten wykaz rodzajów działalności obejmuje, w pkt 4, „»[u]sługi płatnicze« zgodnie z definicją w art. 4 ust. 3 [dyrektywy o usługach płatniczych]” ( 12 ) oraz, w pkt 5, „[e]misję innych środków płatności i administrowanie nimi […], o ile działalność ta nie jest objęta pkt 4”. Zgodnie z dyrektywą o usługach płatniczych usługa płatnicza obejmuje wykonywanie transakcji płatniczych, a instytucje płatnicze to przedsiębiorstwa świadczące usługi płatnicze, które spełniają wszystkie pozostałe wymogi nałożone na mocy tej dyrektywy ( 13 ).

18.

Artykuł 5 stanowi, że „[w] celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu państwa członkowskie mogą przyjąć lub utrzymać w mocy bardziej rygorystyczne przepisy w dziedzinie regulowanej [dyrektywą o praniu pieniędzy]”.

19.

Rozdział II („Zasady należytej staranności wobec klienta”) zawiera, oprócz przepisów ogólnych dotyczących standardowych zasad należytej staranności wobec klienta (art. 6–10), osobne sekcje poświęcone uproszczonym zasadom należytej staranności wobec klienta (art. 11 i 12) oraz zasadom wzmożonej należytej staranności wobec klienta (art. 13).

20.

Na mocy art. 7 podmioty objęte dyrektywą stosują środki należytej staranności wobec klienta: a) przy nawiązywaniu stosunków gospodarczych; b) przy przeprowadzaniu sporadycznych transakcji w wysokości 15000 EUR lub więcej; c) gdy istnieje podejrzenie prania pieniędzy lub finansowania terroryzmu bez względu na jakiekolwiek odstępstwo, zwolnienie lub wartości graniczne; oraz d) gdy istnieją wątpliwości co do prawdziwości lub odpowiedniości wcześniej otrzymanych danych dotyczących tożsamości klienta.

21.

Środki należytej staranności wobec klienta obejmują: „identyfikację klienta i weryfikację jego tożsamości na podstawie dokumentów, danych lub informacji pochodzących z rzetelnego i niezależnego źródła” [art. 8 ust. 1 lit. a)]; „identyfikowanie, w odpowiednich przypadkach, rzeczywistego beneficjenta i podejmowanie uzależnionych od ryzyka i uzasadnionych środków weryfikowania jego tożsamości […]” [art. 8 ust. 1 lit. b)]; „uzyskanie informacji na temat celu i zamierzonego charakteru stosunków gospodarczych” [art. 8 ust. 1 lit. c)]; oraz „prowadzenie bieżącego monitoringu stosunków gospodarczych, włącznie z badaniem transakcji podejmowanych w trakcie trwania tych stosunków […]” [art. 8 ust. 1 lit. d)].

22.

Artykuł 8 ust. 2 stanowi, że podmioty objęte dyrektywą mogą określić zakres podejmowanych środków należytej staranności wobec klienta w oparciu o ocenę ryzyka w zależności od typu klienta, stosunków gospodarczych, produktu lub transakcji. Zobowiązane są one być w stanie wykazać właściwym organom, że zakres środków jest odpowiedni, biorąc pod uwagę ryzyko prania pieniędzy i finansowania terroryzmu.

23.

W myśl art. 9 ust. 1 państwa członkowskie wymagają, aby, z zastrzeżeniem określonych wyjątków, weryfikacja tożsamości klienta i rzeczywistego beneficjenta odbywała się przed nawiązaniem stosunków gospodarczych lub przed realizacją transakcji.

24.

W przypadku gdy podmiot objęty dyrektywą nie jest w stanie spełnić wymogów art. 8 ust. 1 lit. a)–c), państwa członkowskie, zgodnie z art. 9 ust. 5 akapit pierwszy, wymagają, aby „nie [przeprowadzał on] transakcji za pomocą rachunku bankowego, [nie nawiązywał] stosunków gospodarczych ani [nie realizował] transakcji lub aby [rozwiązał] stosunki gospodarcze, a następnie [rozważył] złożenie zawiadomienia dotyczącego danego klienta jednostce analityki finansowej (FIU) zgodnie z art. 22[ ( 14 )]”. Zgodnie z art. 9 ust. 6 państwa członkowskie zobowiążą podmioty objęte dyrektywą do stosowania procedur należytej staranności wobec klienta nie tylko wobec wszystkich nowych klientów, ale także we właściwym czasie wobec aktualnych klientów w oparciu o ocenę ryzyka.

25.

Artykuł 11 ust. 1 stanowi: „[n]a zasadzie odstępstwa od art. 7 lit. a), b) i d), art. 8 i art. 9 ust. 1 [podmioty objęte dyrektywą] nie podlegają wymaganiom przewidzianym w tych artykułach, w przypadku gdy klient jest instytucją kredytową lub finansową objętą niniejszą dyrektywą albo jest instytucją kredytową lub finansową mieszczącą się w państwie trzecim, w którym podlega wymogom równoważnym wobec ustanowionych w niniejszej dyrektywie oraz nadzorowi pod względem zgodności z tymi wymogami”. W art. 11 ust. 2 wyszczególniono inne okoliczności, w których państwa członkowskie, w drodze odstępstwa od art. 7 lit. a), b) i d), art. 8 i art. 9 ust. 1, mogą zezwolić podmiotom objętym dyrektywą na niestosowanie standardowych wymogów należytej staranności wobec klienta. W myśl art. 11 ust. 3 podmioty objęte dyrektywą w każdym przypadku gromadzą wystarczające informacje w celu ustalenia, czy klient kwalifikuje się do wyłączenia określonego w ust. 1 i 2 ( 15 ).

26.

Zgodnie z art. 13 ust. 1, oprócz środków określonych w art. 7, 8 i art. 9 ust. 6, państwa członkowskie zobowiązują podmioty objęte dyrektywą do stosowania, w oparciu o ocenę ryzyka, środków wzmożonej należytej staranności wobec klienta w sytuacjach, które z natury mogą wiązać się z wyższym ryzykiem prania pieniędzy lub finansowania terroryzmu. Muszą one postępować w taki sposób przynajmniej w sytuacjach określonych w art. 13 ust. 2–4 oraz w innych przypadkach wiążących się z wysokim ryzykiem, w których spełnione zostały kryteria techniczne określone zgodnie z art. 40 ust. 1 lit. c) ( 16 ). Sytuacje określone w art. 13 ust. 2–4 obejmują: przypadki, gdy klient nie jest fizycznie obecny dla celów identyfikacji; transgraniczne stosunki w ramach bankowości korespondencyjnej z instytucjami będącymi korespondentami z państw trzecich; a także transakcje lub stosunki gospodarcze z osobami zajmującymi eksponowane stanowiska polityczne mieszkającymi w innym państwie członkowskim lub w państwie trzecim. W odniesieniu do tych sytuacji określono szczególne środki wzmożonej należytej staranności wobec klienta (lub przykłady odpowiednich środków).

27.

Zgodnie z art. 20 państwa członkowskie zobowiązują podmioty objęte dyrektywą do zwracania szczególnej uwagi na każdą działalność, która ze względu na swój charakter wydaje się w dużym stopniu wypełniać znamiona transakcji związanej z praniem pieniędzy lub finansowaniem terroryzmu.

28.

Artykuł 22, który podobnie jak art. 23 zawiera obowiązek raportowania, zobowiązuje podmioty objęte dyrektywą (a w stosownych przypadkach także ich kierownictwo i pracowników) do pełnej współpracy, polegającej między innymi na: niezwłocznym informowaniu, z własnej inicjatywy, jednostki analityki finansowej, w przypadku gdy podmioty objęte dyrektywą wiedzą, podejrzewają lub mają uzasadnione podstawy, by podejrzewać, że popełniono lub usiłowano popełnić przestępstwo prania pieniędzy lub finansowania terroryzmu [art. 22 ust. 1 lit. a)].

29.

Artykuł 28 zabrania podmiotom objętym dyrektywą, ich kierownictwu i pracownikom ujawniania klientom, których to dotyczy, a także innym osobom trzecim faktu przekazania informacji zgodnie z art. 22 i 23 lub tego, że jest lub może być prowadzone dochodzenie dotyczące prania pieniędzy lub finansowania terroryzmu.

30.

W myśl art. 34 ust. 1 państwa członkowskie zobowiązują podmioty objęte dyrektywą do ustanowienia wystarczających i odpowiednich polityk i procedur w zakresie należytej staranności, raportowania, przechowywania rejestrów, kontroli wewnętrznej, oceny ryzyka, zarządzania ryzykiem, zapewnienia przestrzegania przepisów i komunikacji w celu przeciwdziałania i zapobiegania operacjom związanym z praniem pieniędzy lub finansowaniem terroryzmu.

31.

Artykuły 36 i 37 dotyczą „nadzoru”. W szczególności art. 37 ust. 1 stanowi, że państwa członkowskie zobowiązują właściwe organy co najmniej do efektywnego monitorowania i podejmowania niezbędnych środków służących zapewnieniu przestrzegania wymogów dyrektywy przez podmioty nią objęte.

32.

Zgodnie z art. 40 ust. 1 lit. c) Komisja może przyjąć środki wykonawcze ustanawiające kryteria techniczne oceny, czy w sytuacjach, o których mowa w art. 13, istnieje wysokie ryzyko prania pieniędzy lub finansowania terroryzmu.

33.

Zgodnie z motywem 8 dyrektywy o danych osobowych „stopień ochrony praw i wolności jednostek w zakresie przetwarzania [danych osobowych] musi być jednakowy we wszystkich państwach członkowskich”. W motywie 9 uznaje się, że biorąc pod uwagę, iż państwa członkowskie nie będą już mogły utrudniać wzajemnego swobodnego przepływu danych osobowych na podstawie ochrony praw i wolności jednostek, będą miały pozostawiony margines swobody działania, z którego będą mogły również (w kontekście wykonania dyrektywy o danych osobowych) korzystać partnerzy handlowi i społeczni.

34.

Artykuł 1 stanowi: „[p]aństwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych”. Zgodnie z art. 1 ust. 2 „[p]aństwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.

35.

W art. 2 lit. a) definiuje się „dane osobowe” jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«)”, a „[osobę możliwą] do zidentyfikowania” jako „[osobę], której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość”.

36.

W myśl definicji zawartej w art. 2 lit. b) „przetwarzanie danych osobowych” oznacza „każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie”.

37.

Zgodnie z art. 3 ust. 1 dyrektywę o danych osobowych stosuje się do „przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych”.

38.

Artykuł 7 ustanawia kryteria, za pomocą których ustala się, czy przetwarzanie danych jest legalne. Zgodnie z, odpowiednio, art. 7 lit. c) i f) jest tak w sytuacji, gdy przetwarzanie danych jest konieczne „dla wykonania zobowiązani[a] prawnego, któremu administrator danych podlega”, oraz „dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1”.

39.

W myśl motywu 8 dyrektywy o nieuczciwych praktykach handlowych dyrektywa ta chroni bezpośrednio interesy gospodarcze konsumentów przed nieuczciwymi praktykami handlowymi stosowanymi wobec nich przez przedsiębiorstwa, a także pośrednio chroni działające zgodnie z prawem przedsiębiorstwa przed konkurentami, którzy nie przestrzegają reguł wyznaczonych w dyrektywie. Dyrektywa ta gwarantuje w ten sposób uczciwą konkurencję w dziedzinie przez nią koordynowanej.

40.

„Konsument” w rozumieniu dyrektywy o nieuczciwych praktykach handlowych oznacza „każdą osobę fizyczną, która w ramach praktyk handlowych objętych niniejszą dyrektywą działa w celu niezwiązanym z jej działalnością handlową, gospodarczą, rzemieślniczą lub wolnym zawodem” [art. 2 lit. a)]. „Przedsiębiorca” oznacza „każdą osobę fizyczną lub prawną, która w ramach praktyk handlowych objętych niniejszą dyrektywą działa w celu związanym z jej działalnością handlową, gospodarczą, rzemieślniczą lub wolnym zawodem, oraz każdą osobę działającą w imieniu lub na rzecz przedsiębiorcy” [art. 2 lit. b)]. „[P]raktyki handlowe stosowane przez przedsiębiorstwa wobec konsumentów” lub „praktyki handlowe” oznaczają „każde działanie przedsiębiorcy, jego zaniechanie, sposób postępowania, oświadczenie lub komunikat handlowy, w tym reklamę i marketing, bezpośrednio związane z promocją, sprzedażą lub dostawą produktu [którym jest każdy towar lub każda usługa ( 17 )] do konsumentów” [art. 2 lit. d)].

41.

Artykuł 3 ust. 1 stanowi, że dyrektywę o nieuczciwych praktykach handlowych „stosuje się do nieuczciwych praktyk handlowych w rozumieniu art. 5 [w którym ustanawia się zakaz nieuczciwych praktyk handlowych i określa, czym są takie praktyki], stosowanych przez przedsiębiorstwa wobec konsumentów przed zawarciem transakcji handlowej dotyczącej produktu, w trakcie jej zawierania oraz po jej zawarciu”.

42.

Artykuł 3 ust. 4 przewiduje, że „[w] przypadku kolizji pomiędzy przepisami [dyrektywy o nieuczciwych praktykach handlowych] a innymi przepisami prawnymi Wspólnoty regulującymi szczególne aspekty nieuczciwych praktyk handlowych te ostatnie mają pierwszeństwo i stosuje się je do tych szczególnych aspektów”.

43.

Dyrektywa o usługach płatniczych ustanawia między innymi przepisy, w myśl których wyróżnia się sześć kategorii dostawców usług płatniczych, w tym instytucje kredytowe w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 2006/48 [art. 1 ust. 1 lit. a)] oraz instytucje płatnicze w rozumieniu dyrektywy o usługach płatniczych [art. 1 ust. 1 lit. d)].

44.

Artykuł 4 ust. 3 definiuje „usługę płatniczą” jako „wszelką działalność gospodarczą wymienioną w załączniku”, która obejmuje wykonywanie transakcji płatniczych. „Instytucja płatnicza”, zgodnie z art. 4 pkt 4, oznacza „osobę prawną, której zgodnie z art. 10 [nakładającym na przedsiębiorstwa, które zamierzają świadczyć usługi płatnicze, wymóg uzyskania zezwolenia na działalność w charakterze instytucji płatniczej przed rozpoczęciem świadczenia usług płatniczych] udzielono zezwolenia na świadczenie i wykonywanie usług płatniczych na terytorium całej Wspólnoty”. „Agent” oznacza „osobę fizyczną lub prawną działającą w imieniu instytucji płatniczej w zakresie świadczenia usług płatniczych” (art. 4 pkt 22).

45.

Zgodnie z art. 5 wniosek o udzielenie zezwolenia na działalność w charakterze instytucji płatniczej winien zawierać serię dokumentów, w tym „opis mechanizmów kontroli wewnętrznej ustanowionych przez wnioskodawcę w celu dopełnienia obowiązków związanych z zapobieganiem praniu pieniędzy i finansowaniu terroryzmu zgodnie z [dyrektywą o praniu pieniędzy]”. Artykuł 10 ust. 2 stanowi, że zezwolenia udziela się, „jeżeli informacje i dokumentacja załączone do wniosku są zgodne z wszystkimi wymogami na mocy art. 5 i jeżeli właściwe organy przychylnie ocenią wniosek po jego rozpatrzeniu”. W myśl art. 12 ust. 1 zezwolenia mogą zostać cofnięte jedynie w określonych okolicznościach, w tym w sytuacji, gdy instytucja płatnicza przestała spełniać warunki, na podstawie których udzielono zezwolenia [art. 12 ust. 1 lit. c)].

46.

Zgodnie z art. 17 ust. 1 instytucja płatnicza zamierzająca świadczyć usługi płatnicze za pośrednictwem agenta musi przekazać do wiadomości macierzystego państwa członkowskiego określone informacje umożliwiające wpisanie agenta do publicznie dostępnego rejestru, o którym mowa w art. 13. Do informacji tych należą nazwa i adres agenta oraz opis mechanizmów kontroli wewnętrznej, z których będą korzystali agenci w celu dopełnienia obowiązków związanych z zapobieganiem praniu pieniędzy i finansowaniu terroryzmu zgodnie z dyrektywą o praniu pieniędzy.

47.

W myśl art. 20 ust. 1 akapit pierwszy państwa członkowskie wyznaczają jako organy właściwe „[…] organy publiczne albo instytucje uznane przez prawo krajowe lub przez organy publiczne wyraźnie upoważnione do tego celu przez prawo krajowe, w tym krajowe banki centralne”. Zgodnie z akapitem drugim organy te gwarantują niezależność od podmiotów gospodarczych i uniknięcie konfliktu interesów. Bez uszczerbku dla akapitu pierwszego organami tego rodzaju nie mogą być instytucje płatnicze, instytucje kredytowe, instytucje pieniądza elektronicznego ani też instytucje świadczące żyro pocztowe.

48.

Artykuł 21 („Nadzór”) stanowi:

„1.   Państwa członkowskie zapewniają, aby przeprowadzane przez właściwe organy kontrole mające na celu sprawdzanie ciągłości zgodności z przepisami niniejszego tytułu [»Dostawcy usług płatniczych«] były proporcjonalne, wystarczające i adekwatne do rodzajów ryzyka, na które narażone są instytucje płatnicze.

W celu sprawdzenia przestrzegania przepisów niniejszego tytułu właściwe organy są uprawnione w szczególności do podjęcia następujących kroków:

2.   […] państwa członkowskie zapewniają, by ich odpowiednie właściwe organy mogły nakładać lub zarządzać sankcje lub inne środki przeciwko instytucjom płatniczym lub osobom, które sprawują faktyczną kontrolę nad działalnością instytucji płatniczych, gdy owe instytucje lub osoby naruszyły przepisy ustawowe, wykonawcze lub administracyjne dotyczące nadzoru nad ich działalnością w zakresie usług płatniczych lub prowadzenia tej działalności, przy czym celem takich sankcji i środków będzie w szczególności spowodowanie ustania stwierdzonych naruszeń bądź przyczyn owych naruszeń.

[…]”.

49.

Artykuł 79, dotyczący „Ochrony danych”, stanowi: „[p]aństwa członkowskie wyrażają zgodę na przetwarzanie danych osobowych przez systemy płatności i dostawców usług płatniczych, jeżeli jest to niezbędne, aby zagwarantować zapobieganie oszustwom płatniczym, dochodzenie i wykrywanie tego rodzaju oszustw. Takie dane osobowe przetwarza się zgodnie z przepisami [dyrektywy o danych osobowych]”.

50.

Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (ustawa 10/2010 z dnia 28 kwietnia w sprawie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, zwana dalej „ustawą 10/2010”), która transponuje do hiszpańskiego porządku prawnego dyrektywę o praniu pieniędzy, wyróżnia trzy rodzaje środków należytej staranności wobec klienta: (i) standardowe środki należytej staranności wobec klienta (art. 3–6); (ii) uproszczone środki należytej staranności wobec klienta (art. 9) ( 18 ); oraz (iii) środki wzmożonej należytej staranności wobec klienta (art. 11).

51.

Standardowe środki należytej staranności wobec klienta obejmują oficjalną identyfikację osób, których dotyczą (art. 3), identyfikację rzeczywistych beneficjentów (art. 4), uzyskanie informacji na temat celu i charakteru przewidywanych stosunków gospodarczych (art. 5) i stałe monitorowanie stosunku gospodarczego (art. 6).

52.

Zgodnie z art. 7 ust. 3 osoby objęte ustawą 10/2010 nie mogą nawiązać stosunków gospodarczych ani przeprowadzić transakcji, jeżeli nie są w stanie zastosować przewidzianych tą ustawą środków należytej staranności wobec klienta. Jeżeli brak takiej możliwości wystąpi w trakcie trwania stosunków gospodarczych, osoby te powinny takie stosunki rozwiązać.

53.

Artykuł 9 ust. 1 lit. b) stanowi, że osobom objętym ustawą 10/2010 zezwala się na niestosowanie określonych standardowych środków należytej staranności wobec klientów będących instytucjami finansowymi z siedzibą na terenie Unii Europejskiej lub w równoważnych państwach trzecich, które podlegają nadzorowi co do zgodności ze środkami należytej staranności wobec klienta. Według sądu odsyłającego użycie wyrażenia „zezwala się” sugeruje, że przepis ten nie ustanawia obowiązku. Jednakże sąd odsyłający wyraża wątpliwości co do dokładnego znaczenia tego wyrażenia.

54.

W myśl art. 11 środki wzmożonej należytej staranności wobec klienta należy stosować w sytuacji, gdy na podstawie oceny ryzyka można stwierdzić, że istnieje wysokie ryzyko prania pieniędzy lub finansowania terroryzmu. Określone sytuacje – a w szczególności usługi z zakresu przesyłania pieniędzy – z natury wiążą się z wyższym ryzykiem tego rodzaju.

55.

Safe jest spółką zajmującą się transferem za granicę (to jest do innych państw członkowskich lub do państw trzecich) środków należących do klientów za pośrednictwem rachunków, jakie spółka ta posiada w instytucjach kredytowych.

56.

We wniosku o wydanie orzeczenia w trybie prejudycjalnym wskazuje się, że banki zamknęły prowadzone u nich rachunki spółki Safe w następstwie odmowy przekazania przez nią informacji (dotyczących jej klientów oraz przeznaczenia przekazywanych środków) wymaganych na mocy ustawy 10/2010 w związku z nieprawidłowościami dotyczącymi agentów upoważnionych przez Safe do dokonywania transferów za pośrednictwem rachunków spółki, którzy to agenci zostali poddani weryfikacji ze strony Banco de España (banku Hiszpanii).

57.

W dniu 11 maja 2011 r. BBVA przedstawiła te nieprawidłowości Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias del Banco de España (służbie wykonawczej komisji ds. przeciwdziałania praniu pieniędzy i przestępstwom finansowym banku Hiszpanii, zwanej dalej „SEPBLAC”). W dniu 22 lipca 2011 r. BBVA powiadomiła Safe o nieodwołalnym zamknięciu rachunku spółki.

58.

Spółka Safe zaskarżyła decyzję BBVA o zamknięciu jej rachunku (oraz podobne decyzje wydane przez dwa inne banki) do Juzgado de lo Mercantil no 5 de Barcelona (sądu gospodarczego nr 5, Barcelona, zwanego dalej „sądem gospodarczym”) na tej podstawie, że zamknięcie rachunku stanowiło czyn nieuczciwej konkurencji uniemożliwiający spółce prowadzenie normalnej działalności polegającej na transferze środków za granicę. Zdaniem spółki Safe: (i) przesyłanie przekazów za granicę wiązało się z koniecznością posiadania przez tę spółkę rachunków bankowych; (ii) konkurowała ona z bankami na rynku; (iii) banki nigdy wcześniej nie wymagały od spółki Safe udostępnienia im wymaganych danych dotyczących klientów spółki, jak również pochodzenia i przeznaczenia środków (praktyka ta rozpoczęła się, gdy banki zaczęły powoływać się na ustawę 10/2010); oraz (iv) przekazanie takich danych bankom byłoby sprzeczne z ustawodawstwem dotyczącym ochrony danych osobowych. W odpowiedzi banki wskazały, że zastosowane przez nie środki były zgodne z ustawą 10/2020, uzasadnione przede wszystkim z uwagi na ryzyko związane z transferem środków za granicę i że nie były sprzeczne z prawem konkurencji.

59.

W dniu 25 września 2009 r. sąd gospodarczy odrzucił wniosek spółki Safe. Uznał on, że banki były upoważnione do nałożenia na spółkę Safe obowiązku przyjęcia środków wzmożonej należytej staranności wobec klienta i do przekazania danych dotyczących jej klientów, pod warunkiem że w zachowaniu tej spółki wykryto znamiona czynu naruszającego ustawę 10/2010. Kwestię tego, czy zamknięcie rachunków spółki Safe przez banki było uzasadnione, należy zbadać w poszczególnych przypadkach. Chociaż żaden z banków nie naruszył żadnego konkretnego zakazu działań antykonkurencyjnych, Sabadell i Liberbank (ale nie BBVA) postąpiły w sposób nieuczciwy, ponieważ nie przedstawiły powodów uzasadniających przyjęte przez nie środki. Za uzasadnione uznano jedynie działanie BBVA, gdyż było ono wynikiem kontroli, która wykazała, że 22% transferów dokonanych za pośrednictwem rachunku spółki Safe w okresie od 1 września do 30 listopada 2010 r.nie zostało dokonanych przez agentów upoważnionych przez Safe i poddanych weryfikacji ze strony banku Hiszpanii. Ponadto w okresie tym transfery realizowane były przez 1291 osób, co znacznie przewyższało liczbę agentów spółki Safe. Także w opinii biegłego podkreślono ryzyko związane z transferami, których nie dokonali wskazani agenci.

60.

Safe, Sabadell i Liberbank złożyły odwołanie od tego wyroku do Audiencia Provincial, Barcelona (sądu okręgowego, Barcelona, zwanego dalej „sądem odsyłającym”), przed którym toczy się postępowanie odwoławcze w tych trzech sprawach, rozpatrywanych łącznie.

61.

Sąd odsyłający twierdzi, że wszystkie zainteresowane strony podlegają ustawie 10/2010, ponieważ wpisują się w kategorie wymienione w art. 2 tej ustawy, obejmujące instytucje kredytowe oraz instytucje płatnicze. Ponadto wszystkie strony konkurują ze sobą na rynku i prowadzą tego samego rodzaju działalność, polegającą na przesyłaniu przekazów za granicę. Jednakże instytucje płatnicze (takie jak Safe) muszą dokonywać tego za pośrednictwem rachunków prowadzonych przez instytucje kredytowe (takie jak banki).

62.

Safe podnosi, po pierwsze, że BBVA nie była zobowiązana do przyjęcia środków należytej staranności wobec klienta w odniesieniu do instytucji finansowych, ponieważ te podlegają bezpośrednio nadzorowi ze strony organów publicznych, w szczególności banku Hiszpanii. Po drugie, w Hiszpanii jedynie SEPBLAC może uzyskać dostęp do danych dotyczących klientów instytucji płatniczych. Po trzecie, nawet jeżeli BBVA była zobowiązana do przyjęcia środków należytej staranności wobec klienta, miała ona obowiązek przeprowadzić szczegółowe i wyczerpujące badanie polityki spółki Safe na rzecz zgodności z odpowiednimi przepisami przed przyjęciem takich środków. W niniejszej sprawie BBVA zwróciła się jedynie z wnioskiem o sporządzenie opinii biegłego z wykorzystaniem danych BBVA. Po czwarte, ustawa 10/2010 nie ma zastosowania do osób takich jak agenci, wspierających instytucje finansowe w zakresie transferu środków.

63.

W odwołaniu Sabadellu wskazano na okoliczność, że w wyroku sądu gospodarczego przyznano, iż co do zasady Sabadell mógł przyjąć środki wzmożonej należytej staranności wobec klienta, ale uznano, że nie mógł tego uczynić w tym przypadku. Liberbank podnosi, że zamknięcie rachunku było uzasadnione, gdyż spółka Safe nie przekazała wymaganych informacji.

64.

W tym kontekście sąd odsyłający zwrócił się o wydanie orzeczenia w trybie prejudycjalnym w przedmiocie następujących pytań:

65.

BBVA, Safe, rządy hiszpański i portugalski oraz Komisja Europejska przedłożyły uwagi na piśmie. Wskazane strony, z wyjątkiem BBVA i rządu portugalskiego, przedstawiły stanowiska ustnie na rozprawie w dniu 6 maja 2015 r.

66.

Istotą sporu zawisłego przed sądem krajowym jest ustalenie, czy banki były upoważnione lub zobowiązane do podjęcia działań, które faktycznie podjęły w świetle dyrektywy o praniu pieniędzy (właściwie wykonanej), czy też w sposób nieuzasadniony wykorzystały tę dyrektywę jako pretekst do nieuczciwego zachowania konkurencyjnego.

67.

Pytania prejudycjalne nasuwają się jedynie pod warunkiem, że banki oraz Safe to podmioty objęte dyrektywą o praniu pieniędzy ( 19 ). Żadna ze stron nie zakwestionowała decyzji sądu odsyłającego odnośnie do zaklasyfikowania ich w pytaniach tego sądu jako, odpowiednio, instytucji kredytowych i instytucji płatniczej w rozumieniu przepisów krajowych transponujących art. 3 dyrektywy o praniu pieniędzy.

68.

Poprzez pytanie pierwsze sąd odsyłający zmierza do uzyskania wytycznych co do wykładni art. 11 ust. 1 dyrektywy o praniu pieniędzy, w szczególności co do tego, czy przepis ten, w związku z art. 5 i 7, wyłącza możliwość państwa członkowskiego do upoważniania lub zobowiązywania instytucji kredytowej do przyjęcia standardowych środków należytej staranności wobec klienta, który jest instytucją płatniczą i objęty jest także dyrektywą o praniu pieniędzy [pytanie pierwsze lit. a) i b)]. Poprzez pytanie pierwsze lit. c) sąd ów kieruje podobne zapytanie odnośnie do środków wzmożonej należytej staranności wobec klienta przewidzianych w art. 13.

69.

Moim zdaniem odpowiedź na pytanie pierwsze zależy przede wszystkim od zakresu art. 7, art. 11 ust. 1 oraz art. 13 dyrektywy o praniu pieniędzy. Jeżeli państwom członkowskim podczas wykonywania przez nie któregokolwiek z tych przepisów nie zabrania się upoważniania lub zobowiązywania instytucji kredytowej do zamknięcia rachunków instytucji płatniczej w okolicznościach takich jak te w niniejszej sprawie, to nie ma konieczności rozpatrywania art. 5, ponieważ obowiązki na mocy prawa krajowego odpowiadają wówczas po prostu tym wynikającym z dyrektywy o praniu pieniędzy.

70.

Z kolei jeżeli art. 7, art. 11 ust. 1 oraz art. 13 dyrektywy o praniu pieniędzy należy interpretować jako wykluczające możliwość upoważniania lub zobowiązywania przez państwa członkowskie instytucji kredytowych, takich jak banki, do stosowania środków (wzmożonej) należytej staranności wobec klienta w okolicznościach wymagających zastosowania uproszczonych środków należytej staranności wobec klienta, to pytania drugie i trzecie stają się nieistotne, gdyż nie byłoby możliwe wskazanie żadnej zgodnej z prawem podstawy dla przyjętych przez banki środków.

71.

Jeżeli dyrektywa o praniu pieniędzy nie wyklucza możliwości, by państwa członkowskie upoważniały lub zobowiązywały do stosowania w takich okolicznościach środków (wzmożonej) należytej staranności wobec klienta, to poprzez pytania drugie i trzecie sąd odsyłający dąży do uzyskania wskazówek Trybunału odnośnie do zakresu tego rodzaju środków oraz warunków ich nałożenia. W szczególności: czy przepisy prawa krajowego mogą przewidywać, że instytucje kredytowe sprawują nadzór nad czynnościami, a także procedurami należytej staranności wobec klienta i środkami przyjmowanymi przez instytucje płatnicze, a jeżeli tak, to w jakim stopniu [pytanie drugie lit. a)]? Czy konieczne jest wskazanie szczególnego uzasadnienia celem wykonania prawa do zastosowania środków (wzmożonej) należytej staranności wobec klienta, czy też wystarczy, że klient prowadzi działalność obarczoną ryzykiem [pytanie drugie lit. b)]? Jeżeli wymagane jest konkretne uzasadnienie, to na jakich kryteriach winna opierać się taka analiza [pytanie drugie lit. c)]? Wreszcie, czy takie środki należytej staranności wobec klienta mogą obejmować wymóg względem instytucji płatniczych w zakresie przekazania danych dotyczących tożsamości wszystkich klientów tej instytucji, od których pochodzą przekazywane środki, oraz tożsamości odbiorców tych środków, a także czy jest to zgodne z dyrektywą o danych osobowych [pytanie trzecie lit. a) i b)]?

72.

Przy dokonywaniu wykładni dyrektywy o praniu pieniędzy wszystkie strony powoływały zalecenia i inne materiały sporządzone przez grupę FATF, która jest międzyrządowym organem tworzącym standardy, a także opracowującym i promującym polityki służące zwalczaniu prania pieniędzy i finansowania terroryzmu ( 20 ). Trybunał uznał już, że dyrektywa o praniu pieniędzy została przyjęta (podobnie jak jej poprzednik – dyrektywa 91/308/EWG) w celu zastosowania i nadania mocy wiążącej w Unii zaleceniom FATF ( 21 ). Wykładnia dyrektywy o praniu pieniędzy powinna być zatem zgodna z zaleceniami FATF z 2003 r. ( 22 ), które co do istoty ustanawiają minimalne standardy w tej dziedzinie. W niniejszej opinii, tam gdzie jest to istotne, będą one odpowiednio uwzględniane.

73.

W treści niektórych pytań sąd odsyłający wskazał konkretne przepisy prawa Unii. W innych natomiast nie uczynił tego. Jednakże zgodnie z utrwaloną praktyką w celu udzielenia użytecznej odpowiedzi na pytania prejudycjalne Trybunał może między innymi wziąć pod rozwagę normy prawa Unii, na które sąd krajowy nie powołał się w swym pytaniu ( 23 ). W proponowanej odpowiedzi na pytania prejudycjalne również przyjęłam takie podejście.

74.

Chociaż pytanie trzecie lit. b) nie odnosi się do dyrektywy o nieuczciwych praktykach handlowych, sąd odsyłający w innym miejscu postanowienia odsyłającego wyraża mimo wszystko wątpliwość co do stosunku praw wynikających z tej dyrektywy i tych przewidzianych w dyrektywie o praniu pieniędzy. Dyrektywa o nieuczciwych praktykach handlowych nie ma jednak zastosowania w niniejszej sprawie, ponieważ spółka Safe nie„działa w celu niezwiązanym z jej działalnością handlową, gospodarczą, rzemieślniczą lub wolnym zawodem” ( 24 ). Trybunał orzekł, że pojęcia „konsumenta” i „przedsiębiorcy” zastosowane w tej dyrektywie są przeciwstawne oraz że pojęcie „konsumenta” oznacza „każdą jednostkę, która nie działa w ramach działalności gospodarczej czy wykonywania zawodu” ( 25 ). Safe nie jest zatem konsumentem w rozumieniu tej dyrektywy.

75.

Chociaż sąd odsyłający nie stwierdził tego wyraźnie, pewne elementy dokumentacji sprawy oraz uwagi pisemne i stanowiska ustne wskazują, że BBVA nabrała podejrzeń co do prania pieniędzy i finansowania terroryzmu w następstwie wykrycia nieprawidłowości w informacjach dotyczących agentów dokonujących transferu środków za pośrednictwem rachunku spółki Safe prowadzonego przez BBVA.

76.

BBVA zamknęła rachunek spółki Safe na mocy ustawy 10/2010, która z jednej strony upoważnia do zastosowania uproszczonych środków należytej staranności wobec klienta w odniesieniu do instytucji finansowych podlegających nadzorowi pod względem zgodności ze środkami należytej staranności wobec klienta, a z drugiej strony zobowiązuje podmioty nią objęte do stosowania, w oparciu o ocenę ryzyka, środków wzmożonej należytej staranności wobec klienta w sytuacjach, które z natury mogą wiązać się z wyższym ryzykiem prania pieniędzy lub finansowania terroryzmu, takich jak transfer środków.

77.

Poprzez pytanie pierwsze sąd odsyłający zmierza w istocie do ustalenia, czy dyrektywa o praniu pieniędzy wyklucza przepis prawa krajowego, który w ten sposób reguluje (wzmożone i uproszczone) środki należytej staranności wobec klienta.

78.

Dyrektywa o praniu pieniędzy ustanawia trzy rodzaje środków należytej staranności wobec klienta (standardowe, uproszczone i wzmożone). Państwa członkowskie muszą zapewnić odpowiednie stosowanie tych środków, aby zapobiegać wykorzystywaniu systemu finansowego do celów prania pieniędzy i finansowania terroryzmu. Środki te można stosować przed nawiązaniem stosunku gospodarczego lub po jego nawiązaniu, a także przed dokonaniem transakcji lub po jej dokonaniu. Zamierzony poziom środków odstraszających każdego rodzaju zależy od stopnia postrzeganego ryzyka wykorzystania systemu finansowego do takich celów. Konieczne jest, aby ten stopień ryzyka był zróżnicowany, a zatem w każdym przypadku państwa członkowskie muszą zapewnić zastosowanie środków w sposób odpowiedni do sytuacji ( 26 ). W związku z tym uważam, że decyzja dotycząca tego, jaki stopień należytej staranności trzeba zastosować wobec klienta, musi zawsze opierać się na możliwych do zweryfikowania przesłankach.

79.

Moim zdaniem punktem wyjścia do zrozumienia rozdziału II („Zasady należytej staranności wobec klienta”) dyrektywy o praniu pieniędzy oraz powiązania pomiędzy art. 5, 7, art. 11 ust. 1 i art. 13 jest obowiązek stosowania standardowych środków należytej staranności wobec klienta.

80.

Artykuł 7 określa sytuacje, które powodują automatyczne powstanie obowiązku zastosowania standardowych środków należytej staranności, gdyż uważa się, że wiążą się one z ryzykiem prania pieniędzy lub finansowania terroryzmu, czemu można zapobiegać na mocy art. 8 i 9 ( 27 ). Sytuacje te dotyczą: a) nawiązywania stosunków gospodarczych; b) przeprowadzania sporadycznych transakcji w wysokości 15000 EUR lub więcej; c) istnienia podejrzenia prania pieniędzy lub finansowania terroryzmu; oraz d) wątpliwości co do prawdziwości lub odpowiedniości wcześniej otrzymanych danych dotyczących tożsamości klienta. Standardowe środki należytej staranności wobec klienta można więc stosować przed nawiązaniem stosunku gospodarczego lub dokonaniem transakcji [art. 7 lit. a) i b)] lub niezależnie od powyższego [art. 7 lit. c) i d)]. W szczególności nic w art. 7 lit. c) nie wskazuje na to, że podejrzenie prania pieniędzy lub finansowania terroryzmu, do którego przepis ten się odnosi, musi wystąpić przed nawiązaniem stosunku gospodarczego lub transakcji, a nie w trakcie ich trwania.

81.

Dyrektywa o praniu pieniędzy nie definiuje, czym jest „podejrzenie prania pieniędzy lub finansowania terroryzmu”. Chociaż art. 22 ust. 1 lit. a) (dotyczący zakresu obowiązku zawiadamiania jednostki analityki finansowej) sugeruje, że „podejrzenie” nie jest tożsame z posiadaniem „uzasadnionych podstaw, by podejrzewać”, iż popełniono (lub usiłowano popełnić) przestępstwo prania pieniędzy lub finansowania terroryzmu, uważam, że rozróżnienie to nie może być interpretowane w ten sposób, że „podejrzenie”, o którym mowa w art. 7 lit. c), ma charakter czysto subiektywny. Moim zdaniem podejrzenie musi opierać się na jakimś obiektywnym materiale, który można zbadać w celu weryfikacji zgodności z art. 7 lit. c) oraz innymi przepisami dyrektywy o praniu pieniędzy ( 28 ). Z tego względu moim zdaniem „podejrzenie prania pieniędzy lub finansowania terroryzmu” w rozumieniu art. 7 lit. c) powstaje przede wszystkim w sytuacji, gdy, zważywszy na indywidualne okoliczności dotyczące klienta i jego transakcji [w tym odnoszące się do korzystania z jego rachunku (rachunków) i zarządzania nim(i)], istnieją możliwe do zweryfikowania przesłanki wskazujące na istniejące lub przyszłe ryzyko prania pieniędzy lub finansowania terroryzmu w związku z tym klientem.

82.

Zgodnie z dyrektywą o praniu pieniędzy prawo krajowe musi stanowić, że gdy istnieje tego rodzaju podejrzenie (oraz w pozostałych sytuacjach wymienionych w art. 7), podmioty objęte dyrektywą zobowiązane są zastosować standardowe środki należytej staranności wobec klienta, w tym: identyfikację klienta i weryfikację jego tożsamości [art. 8 ust. 1 lit. a)]; identyfikację, w odpowiednich przypadkach, rzeczywistego beneficjenta [art. 8 ust. 1 lit. b)]; uzyskanie informacji na temat celu i zamierzonego charakteru stosunków gospodarczych [art. 8 ust. 1 lit. c)]; oraz prowadzenie bieżącego monitoringu istniejących stosunków gospodarczych i już przeprowadzonych transakcji [art. 8 ust. 1 lit. d)]. Artykuł 8 ust. 1 lit. d) może być stosowany jedynie ex post. Trzy pozostałe rodzaje środków można stosować na dowolnym etapie. Jest to spójne z art. 9 ust. 6, w myśl którego państwa członkowskie muszą zobowiązywać podmioty objęte dyrektywą do stosowania procedur należytej staranności wobec klienta nie tylko wobec wszystkich nowych klientów, lecz także, we właściwym czasie, wobec aktualnych klientów w oparciu o ocenę ryzyka. Państwa członkowskie wymagają jednak, aby przed nawiązaniem stosunków gospodarczych lub przed realizacją danej transakcji odbywała się weryfikacja tożsamości klienta i rzeczywistego beneficjenta [art. 9 ust. 1)].

83.

Wobec powyższego w art. 7, 8 i 9 wskazano okoliczności, w których prawodawca Unii uznał, że prawo krajowe musi przewidywać „standardowe” środki zapobiegawcze, w sytuacji gdy istnieje ryzyko prania pieniędzy i finansowania terroryzmu, a także określił odpowiednie środki mające zapobiec materializacji tego ryzyka.

84.

W innych okolicznościach (w zależności na przykład od rodzaju klienta, stosunku gospodarczego, produktu lub transakcji ( 29 )) ryzyko może być mniejsze lub większe. Artykuły 11 i 13 dotyczą tego rodzaju sytuacji i zobowiązują państwa członkowskie do zapewnienia, że stosowane będą różne stopnie środków należytej staranności wobec klienta.

85.

Z zastrzeżeniem określonych warunków wyszczególnionych w art. 11, środków należytej staranności wobec klienta przewidzianych w art. 8 i art. 9 ust. 1 nie stosuje się w sytuacjach, gdy w myśl art. 7 lit. a), b) i d), w przeciwnym wypadku byłyby one wymagane. Warunki te dotyczą sytuacji, w których prawodawca Unii uznał, że występuje mniejsze ryzyko prania pieniędzy i finansowania terroryzmu z uwagi na, przykładowo, tożsamość klienta lub wartość i treść transakcji lub produktu.

86.

Z okolicznością, o której mowa powyżej, mamy do czynienia, gdy klient podmiotu objętego dyrektywą sam jest instytucją kredytową lub finansową wpisującą się w zakres dyrektywy o praniu pieniędzy. Zgodnie z art. 11 ust. 1 państwa członkowskie nie mogą zobowiązywać podmiotów objętych dyrektywą (takich jak banki) do stosowania środków należytej staranności wobec klienta na mocy art. 8 i art. 9 ust. 1 w odniesieniu do swoich klientów (takich jak Safe) w okolicznościach wyszczególnionych w art. 7 lit. a), b) i d).

87.

Fakt, że art. 11 ust. 1 wymaga, aby podmioty objęte dyrektywą nie podlegały standardowym środkom należytej staranności wobec klienta, a pozostałe ustępy art. 11 (przykładowo art. 11 ust. 2) zezwalają państwom członkowskim na upoważnianie do stosowania uproszczonych środków należytej staranności, nie zmienia tych wniosków. Zastosowanie tej formy dopuszczającej w pozostałej części art. 11 wskazuje, że państwa członkowskie mają możliwość wprowadzenia: uproszczonych środków należytej staranności zgodnie z art. 11; standardowych środków należytej staranności w myśl art. 8; lub obowiązków w zakresie środków wzmożonej należytej staranności lub bardziej restrykcyjnych środków zgodnie z, odpowiednio, art. 13 i 5. Moim zdaniem zastosowanie formy nakazowej w art. 11 ust. 1 oznacza, że opcje są tam bardziej ograniczone: stosuje się albo uproszczone środki należytej staranności, albo, gdy jest to uzasadnione i konieczne, obowiązki w zakresie wzmożonej lub bardziej restrykcyjnej należytej staranności, stosownie do, odpowiednio, art. 13 i 5. Nie jest natomiast możliwe zastosowanie standardowych środków należytej staranności jako takich. Z tego względu nie jestem zwolenniczką wykładni, zgodnie z którą art. 11 ust. 1 zakazuje wprowadzania bardziej restrykcyjnych przepisów na mocy art. 5.

88.

Przesłanką uzasadniającą odstępstwo przewidziane w art. 11 ust. 1 jest okoliczność, że sam klient objęty jest zakresem dyrektywy o praniu pieniędzy. Klient, o którym mowa, musi postępować zgodnie ze wszystkimi istotnymi wymogami ustanowionymi w tej dyrektywie, transponowanymi do krajowego porządku prawnego, włącznie z wymogami dotyczącymi środków należytej staranności wobec klienta, które winien on zastosować wobec swoich własnych klientów, przy czym klient ów podlega wynikającym z tej dyrektywy wymogom dotyczącym raportowania, nadzoru i innym. W takich okolicznościach konieczność podjęcia działań prewencyjnych zostaje zredukowana.

89.

Przesłanka ta jest także zgodna z zaleceniami FATF z 2012 r. W pkt 16 noty interpretacyjnej do zalecenia 10 uznaje się, że mogą wystąpić okoliczności, w których ryzyko prania pieniędzy lub finansowania terroryzmu jest mniejsze i, w oparciu o odpowiednią analizę ryzyka, zezwolenie instytucjom finansowym na zastosowanie uproszczonych środków należytej staranności wobec klienta może okazać się uzasadnione ( 30 ). W pkt 17 wyraźnie przywołuje się przykład instytucji finansowych, które same podlegają wymogom mającym na celu zwalczanie prania pieniędzy i finansowania terroryzmu, zgodnym z zaleceniami FATF z 2012 r., które skutecznie wdrożyły te wymogi i podlegają nadzorowi w zakresie zgodności z tymi zobowiązaniami ( 31 ).

90.

W związku z tym jestem zdania, że art. 11 ust. 1 odzwierciedla zasadę, iż środki należytej staranności wobec klienta powinny być współmierne do stopnia zidentyfikowanego ryzyka ( 32 ). Artykuł 11 ust. 1 zakłada zmniejszone ryzyko z uwagi na to, że ponieważ klient jest podmiotem objętym dyrektywą, ustanowiono już środki należytej staranności wobec klienta, środki w zakresie raportowania i nadzoru w celu zarządzania potencjalnym ryzykiem związanym z rzeczonym podmiotem, w szczególności z klientami tego podmiotu. Celem art. 11 ust. 1 jest zatem pogodzenie interesów w zakresie skutecznej regulacji, efektywności kosztowej zarządzania ryzykiem, a także odpowiedniego i proporcjonalnego zapobiegania ryzyku prania pieniędzy i finansowania terroryzmu.

91.

Artykuł 11 ust. 1 stosuje się do wszystkich podmiotów objętych dyrektywą, nawet jeżeli niektóre z tych podmiotów mogą podlegać dodatkowym warunkom, tak jak w przypadku instytucji płatniczych w odniesieniu do dyrektywy o usługach płatniczych. Ich upoważnienie do prowadzenia działalności w charakterze instytucji płatniczych uzależnione jest od zachowania zgodności z dyrektywą o praniu pieniędzy, a ponadto, w sytuacji gdy podmioty te zamierzają korzystać z usług zarejestrowanych agentów, muszą one ustanowić mechanizm kontroli wewnętrznej służący weryfikacji takiej zgodności ( 33 ).

92.

Jednakże pomimo zastosowania przepisów dyrektywy o praniu pieniędzy, dyrektywy o usługach płatniczych oraz innych przepisów prawa Unii ( 34 ), ochrona na mocy obowiązującego prawa Unii (oraz krajowych przepisów wdrażających to prawo) przed ryzykiem prania pieniędzy i finansowania terroryzmu nie może zagwarantować zerowego poziomu ryzyka ( 35 ).

93.

Artykuł 11 ust. 1 nie jest zatem odstępstwem od art. 7 lit. c). Niezależnie od jakiegokolwiek odstępstwa, zwolnienia lub wartości granicznej, a zatem niezależnie od tego, czy klient jest podmiotem objętym dyrektywą, art. 7 lit. c) stanowi, że środki należytej staranności wobec klienta wymagane są zawsze, gdy istnieje podejrzenie prania pieniędzy lub finansowania terroryzmu ( 36 ). Innymi słowy, w sytuacji gdy zachodzi podejrzenie tego rodzaju, państwu członkowskiemu zabrania się zatem dopuszczania stosowania uproszczonych środków należytej staranności wobec klienta lub wymagania ich zastosowania. W związku z tym, jeżeli właściwy sąd krajowy w niniejszej sprawie uzna, że BBVA oraz dwa pozostałe banki słusznie stwierdziły, iż tego rodzaju podejrzenie istniało w związku ze spółką Safe, prawo Unii wymaga, aby organ ten dokonał wykładni prawa krajowego (w najszerszym możliwym zakresie), zgodnie z którą banki zobowiązane były, na mocy art. 7 lit. c), zastosować (przynajmniej) standardowe środki należytej staranności wobec klienta ( 37 ).

94.

Z faktu, że klient sam jest podmiotem objętym dyrektywą o praniu pieniędzy, nie wynika także, że państwu członkowskiemu zabrania się wymagać zastosowania środków wzmożonej należytej staranności wobec klienta w rozumieniu art. 13 tej dyrektywy względem tego klienta, jeżeli pomimo gwarancji przewidzianych w dyrektywie o praniu pieniędzy, dyrektywie o usługach płatniczych i w innych przepisach prawa Unii istnieje wyższe ryzyko prania pieniędzy i finansowania terroryzmu w myśl tego przepisu. Artykuł 11 przewiduje jedynie odstępstwo od standardowych środków należytej staranności wobec klienta w sytuacjach mniejszego ryzyka. Z uwagi na to, że nie odnosi się on do art. 13, pozostaje bez wpływu na należytą staranność wobec klienta w sytuacji podwyższonego ryzyka.

95.

Artykuł 13 zobowiązuje państwa członkowskie do nałożenia wymogu, zgodnie z którym podmioty objęte dyrektywą winne są stosować, w oparciu o ocenę ryzyka, środki wzmożonej należytej staranności wobec klienta, w szczególności w sytuacjach, które z natury mogą wiązać się z wyższym ryzykiem prania pieniędzy lub finansowania terroryzmu, a przynajmniej w sytuacjach podwyższonego ryzyka określonych w art. 13 ust. 2–4. W ustępach tych nie uwzględniono przesyłania przekazów za granicę. Sąd odsyłający również nie zasugerował, jakoby którykolwiek z nich miał zastosowanie ( 38 ). Artykuł 13 nie wyłącza jednak możliwości, aby państwa członkowskie w swoich przepisach krajowych wskazały, w oparciu o ocenę ryzyka, inne sytuacje, które z natury wiążą się z wyższym ryzykiem, a zatem uzasadniają zastosowanie lub wręcz wymagają zastosowania wzmożonej należytej staranności (oprócz standardowej należytej staranności wobec klienta).

96.

Bez uszczerbku dla odstępstwa zawartego w art. 11 ust. 1, art. 7 i 13 dyrektywy o praniu pieniędzy zobowiązują więc państwa członkowskie do zapewnienia, aby podmioty objęte dyrektywą stosowały, w sytuacjach z udziałem klientów, którzy sami są podmiotami objętymi tą dyrektywą, (i) standardowe środki należytej staranności wobec klienta zgodnie z art. 8 i art. 9 ust. 1, gdy istnieje podejrzenie prania pieniędzy lub finansowania terroryzmu w rozumieniu art. 7 lit. c), oraz (ii) środki wzmożonej należytej staranności wobec klienta na mocy art. 13 w sytuacjach przewidzianych w tym przepisie.

97.

Nawet w przypadku, gdy państwa członkowskie dokonały właściwej transpozycji art. 7, 11 i 13 do prawa krajowego ( 39 ), art. 5 pozwala tym państwom na przyjmowanie lub utrzymywanie w mocy „bardziej rygorystycznych przepisów” mających na celu zaostrzenie walki z praniem pieniędzy i finansowaniem terroryzmu ( 40 ) i potwierdza, że dyrektywa o praniu pieniędzy dokonuje jedynie minimalnej harmonizacji ( 41 ). Te „bardziej rygorystyczne przepisy” mogą moim zdaniem odnosić się do sytuacji, dla których dyrektywa przewiduje określony rodzaj należytej staranności wobec klienta, a także do innych przypadków, które według państw członkowskich wiążą się z ryzykiem.

98.

Artykuł 5 stanowi część rozdziału I („Przedmiot, zakres stosowania i definicje”) i ma zastosowanie w odniesieniu do wszystkich „przepis[ów] w dziedzinie regulowanej [dyrektywą o praniu pieniędzy] w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu”. Jego zasięg nie jest zatem ograniczony jedynie do przepisów rozdziału II („Zasady należytej staranności wobec klienta”). Państwo członkowskie może więc zobowiązać instytucję kredytową do stosowania środków należytej staranności wobec klienta w odniesieniu do instytucji płatniczej nawet w przypadku, gdy spełnione zostały warunki określone w art. 11 ust. 1, a zatem nawet w sytuacji, gdy nie istnieje żadne podejrzenie w rozumieniu art. 7 lit. c), oraz w sytuacjach innych niż te wymienione w art. 7 i 13, jeżeli jest to uzasadnione i zgodne z innymi przepisami prawa Unii ( 42 ).

99.

Podsumowując, przepisy takie jak art. 8 lub 13 dyrektywy o praniu pieniędzy pozostawiają państwom członkowskim przy transponowaniu tej dyrektywy znaczny stopień swobody co do sposobu, w jaki dokładnie nadają one skuteczność zobowiązaniom do ustanawiania różnego rodzaju środków należytej staranności, w zależności od rozpatrywanych okoliczności i zgodnie z nadrzędnymi zobowiązaniami do oceny ryzyka oraz do ustanawiania przepisów nakładających wymóg zastosowania środków współmiernych do zidentyfikowanego ryzyka i zgodnych z innymi mającymi zastosowanie obowiązkami w świetle prawa Unii. Artykuł 5 przewiduje więc dalszy margines swobody, gdyż pozwala państwom członkowskim na przyjmowanie lub utrzymywanie w mocy „bardziej rygorystycznych przepisów”, gdy owe państwa uznają to za stosowne, pod warunkiem że czyniąc to, przestrzegają swoich zobowiązań wynikających z prawa Unii.

100.

W pytaniu drugim lit. a) sąd odsyłający zmierza do uzyskania wytycznych co do uprawnień nadzorczych przysługujących instytucjom kredytowym na mocy dyrektywy o praniu pieniędzy i dyrektywy o usługach płatniczych w odniesieniu do działalności, a także procedur i środków należytej staranności stosowanych przez instytucje płatnicze, które są ich klientami. Przedmiotem pytania drugiego lit. c) ppkt (ii), które jest ściśle powiązane z pytaniem drugim lit. a), jest możliwość dokonywania przez instytucję kredytową oceny stosowanych przez instytucję płatniczą środków należytej staranności wobec klienta.

101.

W moim przekonaniu pytania te opierają się na założeniu, że rachunki spółki Safe zamknięto z tego względu, iż spółka ta nie przekazała informacji, których domagały się banki w kontekście zastosowanych przez banki środków należytej staranności wobec klienta. Zamknięcie rachunków należy zatem rozpatrywać w kategorii środka pozwalającego na wyegzekwowanie obowiązków spółki Safe wynikających z dyrektywy o praniu pieniędzy i ewentualnie także z dyrektywy o usługach płatniczych, do czego uprawnione są wyłącznie właściwe organy, a nie banki ( 43 ).

102.

Nie rozumiem, w jaki sposób działalność banków można by uznać za mającą charakter nadzorczy. Przedmiotem dyrektywy o praniu pieniędzy są wymagania w zakresie należytej staranności wobec klienta, które stosuje się w odniesieniu do podmiotów objętych dyrektywą, a nie do klientów z uwagi na ich status jako klientów. Dyrektywa nie nakłada na klientów obowiązku przekazywania podmiotom objętym dyrektywą informacji, które podmioty te muszą uzyskać i zweryfikować, aby spełnić ciążące na nich obowiązki w zakresie należytej staranności wobec klienta. A zatem na przykład art. 8 opisuje elementy stosunku gospodarczego, odnośnie do których należy uzyskać i zweryfikować informacje. Nie określa on w szczególności, iż prawo krajowe musi stanowić, że informacje te należy uzyskać od klienta oraz że, na mocy właściwie wykonanej dyrektywy o praniu pieniędzy, klient jest zobowiązany do reagowania na takie żądania (nawet jeżeli ma on istotny interes w tym, aby to uczynić w celu uniknięcia konsekwencji przewidzianych na mocy art. 9 ust. 5) ( 44 ).

103.

W rezultacie działanie w rodzaju tych, o których mowa w art. 9 ust. 5 akapit pierwszy (w tym – w przypadku gdy stosunek gospodarczy został już nawiązany – rozwiązanie tego stosunku), jest skutkiem braku możliwości wykonania przez podmiot objęty dyrektywą ciążących na nim obowiązków w zakresie należytej staranności wobec klienta w świetle art. 8 ust. 1 lit. a)–c) wdrożonego przez państwa członkowskie. Skutek ten uzasadniony jest związanym się z tą sytuacją ryzykiem wykorzystywania (lub potencjalnego wykorzystywania) klientów, transakcji i stosunków do celów prania pieniędzy lub finansowania terroryzmu.

104.

Zastosowanie art. 9 ust. 5 nie zależy od powodu, dla którego podmiot objęty dyrektywą nie jest w stanie zachować zgodności z wymaganymi środkami należytej staranności wobec klienta na mocy art. 8 ust. 1 lit. a)–c). A zatem fakt, że klienci podmiotu objętego dyrektywą nie współpracują poprzez przekazywanie informacji umożliwiających podmiotowi zachowanie zgodności z prawem krajowym wdrażającym art. 8, nie jest elementem ani koniecznym, ani w żadnym przypadku wystarczającym, aby wywołać skutki, o których mowa w art. 9 ust. 5.

105.

Nie ulega wątpliwości, że art. 37 dyrektywy o praniu pieniędzy zobowiązuje właściwe organy do efektywnego monitorowania i podejmowania niezbędnych środków służących zapewnieniu przestrzegania tej dyrektywy przez podmioty nią objęte, w tym instytucje kredytowe i instytucje płatnicze stosujące środki należytej staranności wobec którychkolwiek ze swoich klientów. Zdaniem rzecznika generalnego Y. Bota skuteczność środków należytej staranności i środków w zakresie przekazywania informacji zostaje zapewniona dzięki uznaniu, że właściwym organom krajowym przysługują uprawnienia kontrolne oraz do stosowania sankcji ( 45 ). Zgadzam się z rzecznikiem, że środki w zakresie należytej staranności wobec klienta, w zakresie zgłaszania, nadzorowania i monitorowania stanowią łącznie środki zapobiegawcze i odstraszające, mające na celu skuteczne zwalczanie prania pieniędzy i finansowania terroryzmu, a także zapewnienie kondycji i integralności systemu finansowego.

106.

Nie oznacza to jednak, że gdy podmioty objęte dyrektywą działają w oparciu o przepisy prawa krajowego wdrażające art. 8 i 9 dyrektywy o praniu pieniędzy, przyjmują one rolę nadzorczą zarezerwowaną dla właściwych organów.

107.

Nie oznacza to także, że podmioty objęte dyrektywą mogą zakłócać wykonywanie zadań nadzorczych, które właściwe organy winne są wykonywać na mocy art. 21 dyrektywy o usługach płatniczych względem instytucji płatniczych w celu weryfikacji zgodności z przepisami tytułu II („Dostawcy usług płatniczych”) tej dyrektywy ( 46 ). Chociaż organy te, w odpowiednich okolicznościach, mogą usunąć wpis do rejestru dotyczący agentów, oddziału lub instytucji płatniczej na mocy tej dyrektywy ( 47 ), to uprawnienia tego rodzaju funkcjonują równolegle ze środkami zapobiegawczymi, jakie powinny być stosowane przez podmioty objęte dyrektywą, oraz z uprawnieniami nadzorczymi właściwych organów na mocy dyrektywy o praniu pieniędzy.

108.

Jeżeli państwa członkowskie mogą upoważnić lub zobowiązać instytucje kredytowe do stosowania środków należytej staranności wobec klienta względem instytucji płatniczej, sąd odsyłający pragnie zasadniczo dowiedzieć się, poprzez pytanie drugie lit. b) i pytanie drugie lit. c) ppkt (i)–(iii), czy środki te mogą opierać się jedynie na ogólnym charakterze działalności wykonywanej przez tę instytucję płatniczą, czy też analizie należy poddać poszczególne działania tej instytucji.

109.

Należy przypomnieć, że pytania te powstają w kontekście sporu z udziałem podmiotów objętych dyrektywą, które twierdzą, że nałożone przez nie środki należytej staranności wobec klienta opierały się na przepisach prawa krajowego mających zastosowanie do sytuacji, które zdaniem ustawodawcy wiążą się z wysokim ryzykiem (takich jak usługi w zakresie przesyłania pieniędzy) i których nie uwzględniono w wykazie w art. 13. Ponadto omówiłam już wymagany sposób postępowania w sytuacji, gdy istnieje podejrzenie prania pieniędzy w rozumieniu art. 7 lit. c) ( 48 ).

110.

Zatem w moim przekonaniu pytanie drugie lit. b) i pytanie drugie lit. c) ppkt (i)–(iii) odnoszą się do okoliczności, w których państwo członkowskie działa w ramach swobody przyznanej mu na gruncie dyrektywy o praniu pieniędzy.

111.

Działając w ramach tej swobody, państwo członkowskie musi mimo wszystko wykonywać te kompetencje zgodnie z prawem Unii, w szczególności z poszanowaniem podstawowych swobód zagwarantowanych w traktatach ( 49 ). Trybunał przyznał, że cel zwalczania korzystania z systemu finansowego w celu prania pieniędzy lub finansowania terroryzmu, na którym opiera się dyrektywa o praniu pieniędzy, należy równoważyć za pomocą ochrony innych interesów, w tym za pomocą zasady swobody świadczenia usług. Z tego względu w wyroku Jyske Bank Gibraltar Trybunał co do istoty stwierdził, że ograniczenia swobody świadczenia usług wynikające z wymogu przekazania informacji są dopuszczalne, „o ile takie uregulowanie ma celu zwiększenie, z poszanowaniem prawa Unii, skuteczności zwalczania prania pieniędzy i finansowania terroryzmu” ( 50 ). W sytuacji gdy (tak jak w niniejszej sprawie) prawo Unii nie zostało w pełni zharmonizowane, uregulowanie krajowe ograniczające podstawowe swobody może być uzasadnione, ponieważ odpowiada nadrzędnym względom interesu ogólnego, a interes ten nie jest już chroniony przepisami, którym usługodawca podlega w państwie członkowskim, w którym ma siedzibę, jeżeli uregulowanie to jest odpowiednie do realizacji celu, którego osiągnięciu służy, i nie wykracza poza to, co jest konieczne do jego realizacji ( 51 ).

112.

Trybunał przyznał już, że przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu oraz ich zwalczanie stanowią prawnie uzasadnione cele polegające na ochronie porządku publicznego i mogące uzasadniać przeszkodę w swobodnym świadczeniu usług ( 52 ).

113.

Czy ustawodawstwo krajowe takie jak to w rozpatrywanej sprawie jest właściwe do zapewnienia realizacji tego celu, ponieważ pomaga zmniejszać ryzyko i, w ujęciu bardziej ogólnym, jego osiągnięcie jest rzeczywistym przedmiotem troski tego ustawodawstwa w sposób spójny i systematyczny ( 53 )? Wydaje mi się, że uregulowanie krajowe, które identyfikuje, w oparciu o odpowiednią ocenę ryzyka (w tym także w odniesieniu do klientów będących instytucjami płatniczymi), wysokie ryzyko związane z rodzajem (przykładowo) klienta, krajem, produktem lub transakcją i na tej podstawie upoważnia lub wręcz zobowiązuje podmioty objęte dyrektywą do stosowania – w oparciu o ich własną, zindywidualizowaną ocenę ryzyka – odpowiednich środków należytej staranności wobec klienta, spełnia ten wymóg.

114.

Ocena tego, czy uregulowanie krajowe jest proporcjonalne, obejmuje ustalenie poziomu ochrony pożądanej przez państwo członkowskie w odniesieniu do zidentyfikowanego poziomu ryzyka prania pieniędzy i finansowania terroryzmu. W moim rozumieniu dyrektywa o praniu pieniędzy potwierdza, że państwa członkowskie mogą ustanowić na przykład poziom ochrony wyższy od tego wybranego przez prawodawcę Unii, wskazać inne sytuacje obarczone (wysokim) ryzykiem i upoważnić lub zobowiązać do stosowania środków należytej staranności wobec klienta innych niż te przewidziane przez tę dyrektywę.

115.

W sytuacjach gdy tego dokonują, państwa członkowskie mogą na przykład wskazać szczególne środki, jakie należy stosować w pewnych określonych sytuacjach, lub przyznać podmiotom objętym dyrektywą uprawnienia do stosowania, w oparciu o odpowiednią ocenę ryzyka, środków uznanych za współmierne do rozpatrywanego ryzyka w określonej sytuacji. W obu przypadkach państwa członkowskie muszą zagwarantować, że zastosowane środki wzmożonej należytej staranności wobec klienta opierają się na ocenie w zakresie istnienia i poziomu ryzyka prania pieniędzy lub finansowania terroryzmu w odniesieniu do klienta, stosunku gospodarczego, rachunku, produktu lub transakcji, w zależności od przypadku. Bez takiej oceny ani państwo członkowskie, ani (w odpowiednich przypadkach) podmiot objęty dyrektywą nie mogą podjąć decyzji co do środków, jakie należy w danym przypadku zastosować. Ponadto w braku ryzyka prania pieniędzy lub finansowania terroryzmu podjęcie działań zapobiegawczych na tych (zgodnych z prawem) podstawach nie jest możliwe.

116.

Rzeczona ocena ryzyka musi uwzględniać przynajmniej wszystkie istotne okoliczności faktyczne umożliwiające ukazanie (poziomu) ryzyka jednego z rodzajów zachowania uznawanego za pranie pieniędzy lub finansowanie terroryzmu. Takie ryzyko (i jego poziom) może zależeć między innymi od klientów, krajów, obszarów geograficznych, produktów, usług, transakcji lub kanałów dostaw. Konieczne może zatem okazać się ustalenie, w oparciu o wszelkie dostępne informacje, (przykładowo) kto jest zaangażowany w transfer majątku, ustalenie pochodzenia majątku, rodzaju przenoszonych praw, tego, czy wiadomo było, że miała miejsce działalność przestępcza, ustalenie stopnia zaangażowania poszczególnych osób i podmiotów w nabycie, posiadanie, wykorzystywanie lub transfer majątku, ustalenie celu jakiejkolwiek transakcji lub jakiegokolwiek stosunku gospodarczego, ustalenie zasięgu geograficznego jakiejkolwiek działalności związanej z majątkiem, wartości majątku lub transakcji związanej z majątkiem, bądź też prawidłowości lub czasu trwania stosunku gospodarczego.

117.

Ocena tego rodzaju umożliwia podjęcie decyzji, w ujęciu ogólnym i w konkretnych przypadkach, co do sposobu zarządzania ryzykiem poprzez przyjęcie odpowiednich środków. Przy wyborze takich środków konieczne jest (zarówno dla państw członkowskich, jak i, w stosownych przypadkach, dla podmiotów objętych dyrektywą) dokonanie oceny zasięgu dotychczas realizowanego zarządzania postrzeganym ryzykiem oraz pożądanego poziomu ochrony już zabezpieczonego przez inne środki, w tym takie, których podstawą jest dyrektywa o praniu pieniędzy, dyrektywa o usługach płatniczych lub inne przepisy prawa Unii (lub uregulowania krajowe). Wydaje się mało prawdopodobne, aby pojedynczy środek należytej staranności wobec klienta lub inny środek mógł wyeliminować wszelkie ryzyko prania pieniędzy lub finansowania terroryzmu. Prawodawstwo Unii wskazuje raczej, że państwa członkowskie winny przyjmować wiele różnych sposobów reagowania na takie ryzyko.

118.

Ponadto ocena, czy uregulowanie krajowe jest proporcjonalne, zależeć będzie także od stopnia, w jakim środki należytej staranności wobec klienta, przewidziane na gruncie tego uregulowania, mogą naruszać inne prawa i interesy chronione na mocy prawa Unii, takie jak ochrona danych osobowych (art. 8 karty) oraz zasada wolnej konkurencji pomiędzy podmiotami prowadzącymi działalność na tym samym rynku. Ich cele należy równoważyć względem tego rodzaju innych uprawnionych interesów.

119.

Wreszcie ocena proporcjonalności uregulowania krajowego będzie uzależniona od tego, czy istnieją alternatywne, mniej restrykcyjne środki, mające na celu osiągnięcie takiego samego poziomu ochrony. Dlatego na przykład zamiast przepisu o charakterze ogólnym zakładającego, że wysyłanie środków za granicę zawsze obarczone będzie wysokim ryzykiem ( 54 ), przepis, na mocy którego dokonuje się rozróżnienia pomiędzy krajami przejmującymi (w oparciu o stopień ryzyka, jakie wiąże się z przesyłaniem tam pieniędzy) lub zobowiązuje się podmioty objęte dyrektywą do dokonania takiego rozróżnienia, może być mniej restrykcyjny, a mimo wszystko może pozwalać na osiągnięcie pożądanego przez państwo członkowskiego poziomu ochrony.

120.

Poprzez pytanie trzecie lit. b) sąd odsyłający co do istoty zmierza do ustalenia, czy dyrektywa o danych osobowych wyłącza możliwość zobowiązywania instytucji płatniczych przez państwa członkowskie do przekazania danych dotyczących tożsamości ich klientów instytucjom kredytowym, które stanowią dla nich bezpośrednią konkurencję, w kontekście środków wzmożonej należytej staranności wobec klienta, zastosowanych przez te ostatnie. Treść pytania trzeciego lit. a) jest podobna, chociaż nie odnosi się ono ani do żadnego konkretnego przepisu prawa Unii, ani do stosunku konkurencji pomiędzy instytucją płatniczą a instytucjami kredytowymi (ale z kolei czyni odniesienie do danych dotyczących odbiorców środków przekazywanych za pośrednictwem rachunków spółki Safe).

121.

Nasuwają się pewne wątpliwości co do dopuszczalności pytania trzeciego, gdyż BBVA utrzymuje, że nigdy nie domagała się przekazania danych osobowych dotyczących klientów spółki Safe lub odbiorców przekazywanych środków; zwróciła się jedynie o przekazanie informacji dotyczących agentów, którzy działali w imieniu spółki Safe i korzystali z jej rachunków.

122.

Jeżeli przedstawiony przez BBVA opis okoliczności faktycznych jest prawidłowy i odpowiada mu także przebieg sporu pomiędzy dwoma pozostałymi bankami a spółką Safe, pytanie trzecie faktycznie okazałoby się nieistotne dla rozstrzygnięcia sporu w postępowaniu głównym. Jednakże zgodnie z utrwalonym orzecznictwem ustalenie i ocena okoliczności faktycznych będących źródłem sporu nie należą do Trybunału. Zadanie to stanowi prerogatywę sądów krajowych ( 55 ), a ich jurysdykcja w tym względzie jest kwestią prawa krajowego. Odpowiedzi na pytanie trzecie udzielę więc w takim zakresie, w jakim jest to możliwe.

123.

Dla podmiotów objętych dyrektywą, takich jak instytucje kredytowe i instytucje płatnicze, konieczne mogą okazać się zebranie i weryfikacja danych dotyczących przynajmniej ich własnych klientów, zgodnie z dyrektywą o praniu pieniędzy lub – na podstawie bardziej rygorystycznych przepisów, przewidzianych w art. 5 tej dyrektywy – na mocy innych przepisów prawa krajowego, które są zgodne z prawem Unii. W sytuacji gdy wiąże się to także z przetwarzaniem danych osobowych w ramach dyrektywy o danych osobowych (dyrektywa o praniu pieniędzy nie zawiera szczególnych przepisów w tym zakresie), wymagania wynikające z obu dyrektyw co do zasady mają zastosowanie. Motyw 33 dyrektywy o praniu pieniędzy potwierdza powyższe w odniesieniu do ujawniania informacji na mocy art. 28. To samo tyczy się motywu 48, który ma za przedmiot przestrzeganie praw podstawowych i tym samym także ochronę danych osobowych na mocy art. 8 karty.

124.

Nie widzę podstaw, aby przez „klienta” zarówno na gruncie art. 8 ust. 1 lit. a) ( 56 ), jak i art. 13 rozumieć także klienta (klientów) będącego klientem (będących klientami) podmiotu objętego dyrektywą. Przepisy te zasadniczo dotyczą stosunku pomiędzy podmiotem objętym dyrektywą a jego klientem (klientami) oraz transakcjami przeprowadzonymi w kontekście tego stosunku. Oczywiście prawdą jest, że w art. 13 ust. 4 lit. c) wyszczególniono środki w celu ustalenia źródła majątku i źródła pochodzenia środków zaangażowanych w ramach stosunków gospodarczych lub transakcji z osobami zajmującymi eksponowane stanowiska polityczne mieszkającymi w innym państwie członkowskim lub w państwie trzecim. Nic we wniosku o wydanie orzeczenia w trybie prejudycjalnym nie wskazuje jednak, że sytuacja taka ma miejsce w niniejszej sprawie.

125.

W związku z powyższym uważam, że dyrektywa o praniu pieniędzy nie wyklucza koniecznie zastosowania przepisów krajowych, które zobowiązują lub upoważniają podmiot objęty dyrektywą, w uzasadnionych sytuacjach, do uzyskania informacji o klientach jego klienta. Informacje o tych klientach mogą okazać się istotne dla oceny, czy klient podmiotu objętego dyrektywą, przeprowadzane przez niego transakcje i zawierane stosunki gospodarcze wiążą się z ryzykiem prania pieniędzy lub finansowania terroryzmu.

126.

Nie przychylam się zatem do stanowiska, że na mocy dyrektywy o praniu pieniędzy podmiot objęty dyrektywą nigdy nie może być upoważniony ani zobowiązany w świetle prawa krajowego do zwrócenia się o przekazanie informacji o klientach swoich własnych klientów w celu zapobiegania praniu pieniędzy lub finansowaniu terroryzmu. Dyrektywa o danych osobowych, w szczególności art. 7, nie wydaje się wykluczać przetwarzania danych osobowych w takich okolicznościach.

127.

Jednakże tego rodzaju uregulowania krajowe muszą być także zgodne z innymi obowiązkami danego państwa członkowskiego na mocy prawa Unii, w tym z wymaganiami wynikającymi z dyrektywy o danych osobowych oraz z art. 8 i art. 52 ust. 1 karty.

128.

W świetle wszystkich powyższych rozważań proponuję, aby na pytania przedstawione przez Audiencia Provincial de Barcelona (Hiszpania) Trybunał odpowiedział w sposób następujący: