FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
Sharpston
föredraget den 3 september 2015(1)
Mål C‑235/14
Safe Interenvios, SA
mot
Liberbank, SA
Banco de Sabadell, SA
Banco Bilbao Vizcaya Argentaria, SA
(begäran om förhandsavgörande från Audiencia Provincial de Barcelona (Spanien))
”Åtgärder för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism – Direktiv 2005/60/EG – Krav på kundkontroll – Direktiv 95/46/EG – Skydd för personuppgifter – Direktiv 2007/64/EG – Betaltjänster på den inre marknaden”
1. Parterna i förevarande mål är å ena sidan tre kreditinstitut, Banco Bilbao Vizcaya Argentaria, S.A. (nedan kallat BBVA), Banco de Sabadell, S.A. (nedan kallat Sabadell) och Liberbank, S.A. (nedan kallat Liberbank) (gemensamt nedan kallade bankerna), å andra sidan ett betalningsinstitut, Safe Interenvios, S.A. (nedan kallat Safe).(2) Bankerna stängde de konton som Safe hade hos dem, eftersom de befarade att det förekommit penningtvätt. Safe påstår att detta utgjorde en otillbörlig affärsmetod.
2. Frågor har uppkommit huruvida unionsrätten, i synnerhet direktiv 2005/60/EG (penningtvättdirektivet)(3), förbjuder en medlemsstat att bevilja tillstånd för kreditinstitut att tillämpa krav på kundkontroll i fråga om ett betalningsinstitut. Detta direktiv innehåller tre olika typer av krav på kundkontroll (normalkrav, lägre (förenklade) krav och skärpta krav) beroende på risken för penningtvätt eller finansiering av terrorism. Normalkravet på kundkontroll enligt artikel 8 innefattar till exempel att identifiera kunden samt att skaffa information om affärsförbindelsens syfte och avsedda form. Enligt artikel 11.1 tillämpas lägre krav på kundkontroll om kunden är ett kreditinstitut eller ett finansiellt institut (inbegripet betalningsinstitut) vilka själva omfattas av penningtvättdirektivet (nedan kallad en berörd aktör). I artikel 13 föreskrivs skärpta krav på kundkontroll i fall med högre risk för penningtvätt eller för finansiering av terrorism. Dessutom ger artikel 5 medlemsstaterna rätt att införa strängare krav än de som fastställs enligt andra bestämmelser i penningtvättdirektivet.
3. Om ett kreditinstitut får beviljas tillstånd att tillämpa (skärpta) krav på kundkontroll i fråga om betalningsinstitut, vilka själva omfattas av penningtvättdirektivet, ombeds domstolen att klargöra förutsättningarna för när medlemsstaterna kan besluta om sådant tillstånd. Är tillämpningen beroende på en riskanalys och kan sådana krav innebära att betalningsinstitut ska överföra uppgifter om sina egna kunder samt mottagarna av de till utlandet överförda beloppen till kreditinstitutet? Dessa frågor innebär även att domstolen ska beakta direktiven 95/46/EG (dataskyddsdirektivet)(4), 2005/29/EG (direktivet om otillbörliga affärsmetoder)(5) och 2007/64/EG (betaltjänstdirektivet)(6).
Unionsrätten
Fördraget om Europeiska unionens funktionssätt
4. Enligt artikel 16.1 FEUF har ”[v]ar och en … rätt till skydd av de personuppgifter som rör honom eller henne”.
Europeiska unionens stadga om de grundläggande rättigheterna
5. Enligt artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna ”har var och en rätt till skydd av de personuppgifter som rör honom eller henne”. I artikel 8.2 föreskrivs att personuppgifter ska ”behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund”.
6. I artikel 52.1 föreskrivs att ”varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter”.
Penningtvättdirektivet
7. I skäl 5 till penningtvättdirektivet anges att åtgärder som vidtas inom området för penningtvätt och finansiering av terrorism bör stå i samklang med åtgärder som vidtas i andra internationella fora och ta särskild hänsyn till rekommendationerna från arbetsgruppen för finansiella åtgärder (Financial Action Task Force, FATF),(7) som är det viktigaste internationella organ som verkar i kampen mot penningtvätt och finansiering av terrorism. Penningtvättdirektivet bör anpassas till FATF:s rekommendationer som blev föremål för en omfattande revidering och utvidgning år 2003 (nedan kallade FATF:s rekommendationer 2003).(8)
8. I skäl 10 anges att berörda aktörer ska kontrollera och fastställa de verkliga förmånstagarnas identitet. För att uppfylla detta krav bör dessa institutioner och personer själva avgöra om de vill använda offentliga register över verkliga förmånstagare, be sina kunder om relevanta uppgifter eller erhålla uppgifterna på annat sätt, med beaktande av att omfattningen av sådana krav på kundkontroll är relaterad till risken för penningtvätt och finansiering av terrorism, vilken beror på typen av kund, affärsförbindelse, produkt eller transaktion.
9. I skäl 22 anges att risken för penningtvätt och finansiering av terrorism är olika från fall till fall. I enlighet med en lösning som baserar sig på bedömning av riskerna bör principen vara att lägre krav på kundkontroll tillåts i lämpliga fall.
10. I gemenskapslagstiftningen bör även enligt skäl 24 beaktas att vissa situationer innebär en större risk. Även om alla kunders identitet och affärsprofil bör fastställas, finns det fall där det krävs särskilt noggranna identifierings- och kontrollförfaranden.
11. I skäl 33 anges att röjande av uppgifter som föreskrivs i artikel 28(9) ska ske enligt bestämmelserna för överföring av personuppgifter till ett tredje land såsom dessa föreskrivs i dataskyddsdirektivet och att artikel 28 dessutom inte får inkräkta på nationell lagstiftning om skydd av personuppgifter och tystnadsplikt.
12. Enligt skäl 37 förväntas medlemsstaterna anpassa den närmare utformningen av genomförandet av dessa bestämmelser till de olika yrkenas egenart och olikheterna i omfattning och storlek med avseende på de berörda personerna.
13. I skäl 48 anges att penningtvättdirektivet står i överensstämmelse med de grundläggande rättigheter och principer som erkänns särskilt i Europeiska unionens stadga om de grundläggande rättigheterna och inte bör tolkas eller genomföras på ett sätt som strider mot Europeiska konventionen om skydd för de mänskliga rättigheterna.
14. I artikel 1.1 föreskrivs att ”[m]edlemsstaterna skall säkerställa att penningtvätt och finansiering av terrorism förbjuds”. Artikel 1.2 anger fyra olika handlingar som ska anses utgöra penningtvätt när de begås uppsåtligen:
”a) Omvandling eller överföring av egendom, i vetskap om att egendomen härrör från brottsliga handlingar eller från medverkan till brottsliga handlingar och i syfte att hemlighålla eller dölja egendomens olagliga ursprung eller för att hjälpa någon som är delaktig i sådan verksamhet att undandra sig de rättsliga följderna av sitt handlande.
b) Hemlighållande eller döljande av en viss egendoms rätta beskaffenhet eller ursprung, av dess belägenhet, av förfogandet över den, av dess förflyttning, av de rättigheter som är knutna till den, eller av äganderätten till den, i vetskap om att egendomen härrör från brottsliga handlingar eller från medverkan till brottsliga handlingar.
c) Förvärv, innehav eller brukande av egendom i vetskap om, vid tiden för mottagandet, att egendomen härrörde från brottsliga handlingar eller från medverkan till brottsliga handlingar.
d) Deltagande, sammanslutning för att utföra försök att utföra och medhjälp, underlättande och rådgivning vid utförandet av någon av de handlingar som nämnts i de tidigare leden.”
15. Enligt artikel 2.1 är penningtvättdirektivet tillämpligt på 1) kreditinstitut, 2) finansiella institut samt 3) en rad juridiska och fysiska personer vid utövandet av deras yrkesmässiga verksamhet. På ett annat ställe benämner penningtvättdirektivet dessa kategorier gemensamt som ”de institut och personer som omfattas” (nedan kallade berörda personer i detta förslag till avgörande).
16. Ett kreditinstitut definieras i artikel 3.1 genom hänvisning till definitionen i artikel 1.1.1 i direktiv 2000/12/EG(10) som ”ett företag vars verksamhet består i att från allmänheten ta emot insättningar eller andra återbetalbara medel och att bevilja krediter för egen räkning”.
17. Definitionen av ”finansiellt institut” är ”ett företag som inte är ett kreditinstitut och som bedriver en eller flera av de verksamheter som anges i punkterna 2–12 och punkterna 14 och 15 i bilaga I till direktiv 2006/48/EG(11)” (artikel 3.2 a). Förteckningen över dessa verksamheter omfattar, enligt punkt 4, ”betaltjänster enligt definitionen i artikel 4.3 i [betaltjänstdirektivet](12) och, enligt punkt 5, ”utställande och administration av andra betalningsmedel såvida inte denna verksamhet omfattas av punkt 4”. Enligt betaltjänstdirektivet innefattar en betaltjänst genomförandet av en betalningstransaktion och betalningsinstitut är enligt detta direktiv företag som tillhandahåller betaltjänster och som i övrigt uppfyller kraven i direktivet.(13)
18. I artikel 5 föreskrivs att ”[m]edlemsstaterna … till förebyggande av penningtvätt och finansiering av terrorism [får] införa eller behålla strängare regler inom det område som omfattas av detta direktiv”.
19. Kapitel II (med rubriken ”Krav på kundkontroll”) innehåller utöver allmänna bestämmelser om normal kundkontroll (artiklarna 6–10) särskilda avsnitt om förenklad (lägre krav på) kundkontroll (artiklarna 11 och 12) samt skärpta krav på kundkontroll (artikel 13).
20. Enligt artikel 7 ska berörda aktörer tillämpa åtgärder rörande kundkontroll a) vid etableringen av en affärsförbindelse, b) vid icke regelbundet återkommande transaktioner som uppgår till 15 000 euro eller mer, c) om det finns misstankar om penningtvätt eller finansiering av terrorism oavsett eventuella undantag, befrielser eller tröskelbelopp och d) om det råder osäkerhet om tidigare erhållna kunduppgifters tillförlitlighet eller tillräcklighet.
21. Åtgärder för kundkontroll innefattar: ”att identifiera kunden och styrka kundens identitet på grundval av handlingar, uppgifter eller upplysningar från tillförlitliga och oberoende källor” (artikel 8.1 a), ”att i förekommande fall identifiera den verklige förmånstagaren och vidta riskbaserade och lämpliga åtgärder för att kontrollera dennes identitet …” (artikel 8.1 b), ”att skaffa information om affärsförbindelsens syfte och avsedda form”(artikel 8.1 c) och ”att utöva fortlöpande övervakning av den aktuella affärsförbindelsen och därvid kontrollera att de transaktioner som utförs …”(artikel 8.1 d).
22. I artikel 8.2 föreskrivs att berörda aktörer får avgöra omfattningen av åtgärderna för kundkontroll utifrån en riskbaserad analys av typen av kund, affärsförbindelse, produkt eller transaktion. Aktörerna ska kunna bevisa för behöriga myndigheter att åtgärdernas omfattning är lämplig med hänsyn till risken för penningtvätt eller finansiering av terrorism.
23. Enligt artikel 9.1 ska medlemsstaterna med vissa undantag kräva att en kontroll av kundens eller den verklige förmånstagarens identitet äger rum innan en affärsförbindelse ingås eller en transaktion utförs.
24. När en berörd aktör inte kan uppfylla kraven enligt artikel 8.1 a–c ska medlemsstaterna enligt artikel 9.5 första stycket se till att den ”inte tillåts utföra en transaktion via ett bankkonto, ingå en affärsförbindelse eller utföra en transaktion eller, om en affärsförbindelse redan har ingåtts, blir tvungen att avbryta denna, och skall överväga att lämna en rapport om kunden till finansunderrättelseenheten i enlighet med artikel 22(14)”. Enligt artikel 9.6 ska medlemsstaterna kräva att berörda aktörer tillämpar kravet på kundkontroll inte endast på nya kunder utan även på befintliga kunder om det efter en riskbedömning anses lämpligt.
25. I artikel 11.1 föreskrivs följande: ”Med avvikelse från artikel 7 a, 7 b och 7 d, artikel 8 och artikel 9.1 skall [berörda aktörer] inte vara underkastade de krav som föreskrivs i dessa artiklar, om kunden är ett kreditinstitut eller ett finansiellt institut som omfattas av detta direktiv, eller ett kreditinstitut eller ett finansiellt institut i ett tredjeland som fastställer krav som motsvarar dem som fastställs i detta direktiv och vars överensstämmelse med dessa krav är föremål för tillsyn.” Artikel 11.2 anger andra fall där, med avvikelse från artikel 7 a, b och d, artikel 8 och artikel 9.1, medlemsstaterna får tillåta att berörda aktörer inte tillämpar normalkravet på kundkontroll. Enligt artikel 11.3 ska berörda aktörer under alla omständigheter samla tillräckligt med information för att fastställa om kunden är berättigad till ett undantag enligt punkterna 1 och 2.(15)
26. Enligt artikel 13.1 ska medlemsstaterna se till att berörda aktörer utifrån en riskbedömning uppfyller skärpta krav på kundkontroll utöver de åtgärder som avses i artiklarna 7, 8 och 9.6 i situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism. De ska göra detta åtminstone i de situationer som avses i punkterna 2, 3 och 4 i artikel 13 och i fråga om andra situationer som medför en hög risk för penningtvätt och finansiering av terrorism och som uppfyller de tekniska kriterier som fastställts i enlighet med artikel 40.1 c.(16) Situationerna som avses i artikel 13.2–13.4 är följande: fall där kunden inte varit fysiskt närvarande för identifiering; i fråga om gränsöverskridande korrespondentbankförbindelser med motpart i ett tredjeland; när det gäller transaktioner eller affärsförbindelser med personer i politiskt utsatt ställning som är bosatta i ett annat medlemsland eller i ett tredjeland. För sådana fall förtecknas särskilda skärpta krav på kundkontroll (eller exempel på lämpliga åtgärder).
27. Enligt artikel 20 ska medlemsstaterna kräva att berörda aktörer ägnar särskild uppmärksamhet åt en viss verksamhet som de på grund av verksamhetens natur anser kunna innebära särskild risk för penningtvätt eller finansiering av terrorism.
28. Artikel 22, som tillsammans med artikel 23 innehåller skyldigheter att rapportera, medför krav på att berörda aktörer (samt i tillämpliga fall deras styrelseledamöter och anställda) samarbetar fullt ut genom att bland annat utan dröjsmål och på eget initiativ underrätta finansunderrättelseenheten när de har vetskap om, misstänker eller har skälig grund att misstänka att penningtvätt eller finansiering av terrorism äger eller har ägt rum eller att försök därtill har gjorts (artikel 22.1 a).
29. Enligt artikel 28 förbjuds berörda aktörer samt deras styrelseledamöter och anställda att för berörd kund eller annan tredje person röja att uppgifter har lämnats i enlighet med artiklarna 22 och 23, eller att en undersökning om penningtvätt eller finansiering av terrorism pågår eller kan komma att göras.
30. Enligt artikel 34.1 ska medlemsstaterna kräva att berörda aktörer inför tillfredsställande och lämpliga riktlinjer och rutiner för kundkontroll, rapportering, bevarande av uppgifter, internkontroll, riskbedömning, riskhantering, efterlevnadskontroll och kommunikation, för att förebygga och förhindra transaktioner som har samband med penningtvätt eller finansiering av terrorism.
31. Artiklarna 36 och 37 återfinns under rubriken ”Tillsyn”. I artikel 37.1 föreskrivs särskilt att medlemsstaterna åtminstone ska kräva att de behöriga myndigheterna effektivt övervakar och vidtar nödvändiga åtgärder för att säkerställa att samtliga berörda aktörer uppfyller direktivets krav.
32. Enligt artikel 40.1 c får kommissionen fastställa tekniska kriterier för att bedöma huruvida en situation innebär en hög risk för penningtvätt eller finansiering av terrorism enligt artikel 13.
Dataskyddsdirektivet
33. I skäl 8 till dataskyddsdirektivet anges att ”skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana [person]uppgifter [måste] vara likvärdig i alla medlemsstater”. Skäl 9 beaktar att när medlemsstaterna inte längre kan hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter kommer de att få ett handlingsutrymme som (i samband med genomförandet av dataskyddsdirektivet) också kommer att kunna utnyttjas av näringslivet och arbetsmarknadens parter.
34. Artikel 1 i detta direktiv har följande lydelse: ”Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.” Artikel 1.2 har följande lydelse: ”Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.”
35. I artikel 2 a definieras ”personuppgifter” som varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade personen) och ”en identifierbar person” som ”en person som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet”.
36. ”Behandling av personuppgifter” definieras i artikel 2 b som ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”.
37. Enligt artikel 3.1 gäller dataskyddsdirektivet ”för sådan behandling av personuppgifter som helt eller delvis utförs automatiskt liksom för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register”.
38. I artikel 7 fastställs kriterierna för när personuppgifter får behandlas. Enligt artikel 7 c respektive 7 f är detta tillåtet när behandlingen är nödvändig ”för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige” och ”för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1”.
Direktivet om otillbörliga affärsmetoder
39. I skäl 8 till direktivet om otillbörliga affärsmetoder anges att genom detta direktiv skyddas direkt konsumenternas ekonomiska intressen mot otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter och indirekt även legitim affärsverksamhet från konkurrenter som inte följer direktivets bestämmelser. Direktivet om otillbörliga affärsmetoder säkerställer således sund konkurrens inom det område som direktivet omfattar.
40. En ”konsument” i den mening som avses i direktivet om otillbörliga affärsmetoder är ”en fysisk person som, med avseende på affärsmetoder som omfattas av detta direktiv, handlar för ändamål som ligger utanför dennes näringsverksamhet, affärsverksamhet, hantverk eller yrke” (artikel 2 a). En ”näringsidkare” är ”en fysisk eller juridisk person som, med avseende på de affärsmetoder som omfattas av detta direktiv, handlar för ändamål som ligger inom ramen för dennes näringsverksamhet, affärsverksamhet, hantverk eller yrke samt den som handlar i näringsidkarens namn eller för dennes räkning” (artikel 2 b). ”Affärsmetoder som tillämpas av näringsidkare gentemot konsumenter” eller ”affärsmetoder” betyder ”en näringsidkares handling, underlåtenhet, beteende, företrädande eller kommersiella meddelande (inklusive reklam och saluföring) i direkt relation till marknadsföring, försäljning eller leverans av en produkt [det vill säga en vara eller tjänst(17)] till en konsument” (artikel 2 d).
41. I artikel 3.1 föreskrivs att direktivet om otillbörliga affärsmetoder ”skall tillämpas av näringsidkare gentemot konsumenter på det sätt som anges i artikel 5 [som innehåller förbudet mot otillbörliga affärsmetoder och definierar vad som är sådana metoder] före, under och efter en affärstransaktion som gäller en produkt”.
42. I artikel 3.4 anges att ”om bestämmelserna [i direktivet om otillbörliga affärsmetoder] står i strid med andra gemenskapsbestämmelser som reglerar specifika aspekter av otillbörliga affärsmetoder, skall de senare ha företräde och tillämpas på dessa specifika aspekter”.
Betaltjänstdirektivet
43. Betaltjänstdirektivet innehåller bland annat regler som skiljer mellan sex kategorier av betaltjänstleverantörer, däribland kreditinstitut i den mening som avses i artikel 4.1 a i direktiv 2006/48 (artikel 1.1 a) och betalningsinstitut i den mening som avses i betaltjänstdirektivet (artikel 1.1 d).
44. I artikel 4.3 definieras en ”betaltjänst” som ”en affärsverksamhet som förtecknas i bilagan”, som omfattar genomförandet av betalningstransaktioner. Ett ”betalningsinstitut” är enligt artikel 4.4 ”en juridisk person som har beviljats auktorisation i enlighet med artikel 10 [som kräver att företag som avser tillhandahålla betaltjänster ska ha auktorisation som betalningsinstitut innan de börjar tillhandahålla dessa tjänster] att tillhandahålla och utföra betaltjänster inom gemenskapen”. En ”betaltjänst” är ”en affärsverksamhet som förtecknas i bilagan” (artikel 4.3). Ett ”ombud” är ”en fysisk eller juridisk person som agerar för ett betalningsinstituts räkning vid tillhandahållandet av betaltjänster” (artikel 4.22).
45. Enligt artikel 5 ska en ansökan om auktorisation innehålla en rad handlingar däribland ”en beskrivning av de mekanismer för intern kontroll som sökanden har fastställt för att fullgöra skyldigheterna i fråga om penningtvätt och finansiering av terrorism enligt [penningtvättdirektivet]”. I artikel 10.2 föreskrivs att auktorisation ska beviljas, ”om den information och de bestyrkanden som åtföljer ansökan uppfyller kraven enligt artikel 5 och de behöriga myndigheterna efter att ha granskat ansökan kommer fram till en positiv sammanlagd bedömning”. Enligt artikel 12.1 får en auktorisation återkallas endast under vissa förutsättningar däribland när betalningsinstitutet inte längre uppfyller villkoren för beviljande av auktorisationen (artikel 12.1 c).
46. Enligt artikel 17.1 ska ett betalningsinstitut som avser att tillhandahålla betaltjänster via ett ombud lämna viss information till sin hemmedlemsstat som gör det möjligt att ta upp ombudet i det offentliga register som anges i artikel 13. Denna information omfattar ombudets namn och adress och en beskrivning av de mekanismer för intern kontroll som ombuden kommer att använda för att fullgöra skyldigheterna när det gäller penningtvätt och finansiering av terrorism enligt penningtvättdirektivet.
47. Enligt artikel 20.1, första stycket ska medlemsstaterna utse …”offentliga myndigheter, organ som erkänns genom nationell lagstiftning eller offentliga myndigheter som genom nationell lagstiftning uttryckligen har fått befogenhet till detta, inbegripet nationella centralbanker” som behöriga myndigheter. Det andra stycket anger att sådana myndigheter ska se till att de är oberoende av ekonomiska organ och undvika intressekonflikter. Utan att det påverkar tillämpningen av första stycket ska sådana myndigheter inte själva vara betalningsinstitut, kreditinstitut, institut för elektroniska pengar eller postgiroinstitut.
48. I artikel 21 (som har rubriken ”Tillsyn”) föreskrivs följande:
”1. Medlemsstaterna ska se till att de kontroller som de behöriga myndigheterna genomför för att kontrollera löpande överensstämmelse med denna avdelning [nedan kallade betaltjänstleverantörer] är proportionella och tillräckliga och motsvarar de risker som betalningsinstituten exponeras för.
För att kontrollera att denna avdelning efterlevs ska de behöriga myndigheterna särskilt ha rätt att vidta följande åtgärder:
a) Kräva att betalningsinstitutet tillhandahåller all information som krävs för att övervaka efterlevnaden.
b) Genomföra inspektion på plats i betalningsinstitutet, hos ombud eller filialer som tillhandahåller betaltjänster på betalningsinstitutets ansvar eller hos enheter på vilka betaltjänstverksamhet har lagts ut på entreprenad.
c) Utfärda rekommendationer och riktlinjer och, i tillämpliga fall, bindande administrativa bestämmelser.
d) Tillfälligt upphäva eller återkalla auktorisation i de fall som avses i artikel 12.
2. … [M]edlemsstaterna ska svara för att deras behöriga myndigheter mot betalningsinstituten och mot dem som har ett bestämmande inflytande över betalningsinstitutens verksamhet, när dessa överträder bestämmelser i lagar och andra författningar om tillsyn av och om verksamhet i form av betaltjänstverksamhet, kan besluta om sanktioner eller vidta åtgärder i syfte att särskilt avbryta observerade överträdelser eller orsakerna till sådana överträdelser.
…”
49. I artikel 79, som har rubriken ”Dataskydd”, föreskrivs följande: ”Medlemsstaterna ska tillåta att betalningssystem och betaltjänstleverantörer behandlar personuppgifter när detta är nödvändigt för att säkerställa förebyggande, undersökning och avslöjande av betalningsbedrägerier. Behandlingen av personuppgifter ska genomföras i enlighet med [dataskyddsdirektivet].”
Nationell rätt
50. Lag 10/2010 av den 28 april om åtgärder mot penningtvätt och finansiering av terrorism (Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo) (nedan kallad lag 10/2010), varigenom penningtvättdirektivet införlivades i spansk rätt, skiljer mellan tre typer av kundkontrollkrav: i) normala krav på kundkontroll (artiklarna 3–6), ii) lägre krav på kundkontroll (artikel 9)(18) och iii) skärpta krav på kundkontroll (artikel 11).
51. Normalkrav på kundkontroll innefattar att formellt identifiera personerna i fråga (artikel 3), att identifiera de verkliga förmånstagarna (artikel 4), att erhålla information om föremålet för och beskaffenheten av det avsedda affärsförhållandet (artikel 5) samt löpande övervakning av affärsförhållandet (artikel 6).
52. Enligt artikel 7.3 får personer som omfattas av lag 10/2010 inte inleda ett affärsförhållande eller genomföra en transaktion om de inte kan uppfylla de krav på kundkontroll som föreskrivs i lagen. Om denna omöjlighet inträffar under det att affärsförhållandet pågår ska de avsluta det förhållandet.
53. Enligt artikel 9.1 b) får de personer som omfattas av lag 10/2010 underlåta att tillämpa vissa normalkrav på kundkontroll avseende kunder som är finansiella institut med säte i Europeiska unionen eller i likvärdiga tredjeländer vars efterlevnad av krav på kundkontroll står under tillsyn. Enligt den hänskjutande domstolen indikerar användningen av ordet ”får” att denna bestämmelse inte innebär en skyldighet. Den hänskjutande domstolen hyser emellertid tvivel om dess exakta innebörd.
54. Enligt artikel 11 ska skärpta krav på kundkontroll uppfyllas när det enligt en riskbedömning föreligger en hög risk för penningtvätt eller finansiering av terrorism. Vissa situationer innebär på grund av sin natur sådan risk, särskilt tjänster avseende överföring av pengar.
Bakgrund, förfarande och tolkningsfrågorna
55. Safe är ett bolag som överför kundernas medel utomlands (det vill säga till andra medlemsstater och till tredjeländer) genom de konton som bolaget innehar hos kreditinstitut.
56. Av begäran om förhandsavgörande framgår att bankerna avslutade Safes konton hos dem efter det att Safe underlåtit att ge dem den information (avseende dess kunder och mottagarna av överförda medel) som de hade begärt med stöd av lag 10/2010 med anledning av oegentligheter begångna av ombud som auktoriserats av Safe för att genomföra överföringar via dess konton och som hade godkänts av Banco de España (Spaniens centralbank).
57. Den 11 maj 2011 rapporterade BBVA dessa oegentligheter till Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias del Banco de España (exekutiv avdelning vid kommissionen för åtgärder mot penningtvätt och finansiering av terrorism vid Spaniens centralbank, nedan kallad SEPBLAC). Den 22 juli 2011 underrättade BBVA Safe om den oåterkalleliga stängningen av dess konton.
58. Safe överklagade BBVA:s beslut att avsluta dess konton (och liknande beslut av de två andra bankerna) till Juzgado de lo Mercantil No 5 de Barcelona (handelsdomstol nr 5, Barcelona, nedan kallad handelsdomstolen), på den grunden att stängningen utgjorde otillbörlig konkurrens som hindrade Safe från att bedriva normal verksamhet bestående i att överföra medel utomlands. Enligt Safe: i) var det nödvändigt att inneha konton för att göra överföringar utomlands, ii) bolaget konkurrerade med bankerna på marknaden, iii) bankerna hade aldrig tidigare krävt att Safe skulle lämna uppgifter om dess kunder eller om vem som var avsändare och mottagare av medlen (detta förfarande började när bankerna stödde sig på lag 10/2010) och iv) att förse bankerna med sådana uppgifter skulle stå i strid med lagstiftningen om skydd för personuppgifter. Bankerna genmälde att deras åtgärder var förenliga med lag 10/2010, att de var berättigade särskilt på grund av riskerna som var förenade med överföring av medel utomlands och att de inte stod i strid med konkurrensrätten.
59. Handelsdomstolen avslog Safes överklagande den 25 september 2009. Den fann att bankerna hade rätt att begära att Safe tillämpade skärpta krav på kundkontroll och lämnade uppgifter om dess kunder förutsatt att bankerna på grund av bolagets agerande fann tecken på förfaranden som stod i strid med lag 10/2010. Huruvida bankerna haft rätt att stänga Safes konton måste undersökas i varje enskilt fall. Medan inte någon av bankerna hade åsidosatt något särskilt förbud mot konkurrensbegränsande agerande hade Sabadell och Liberbank (men inte BBVA) agerat otillbörligt genom att inte ange skälen för deras åtgärder. BBVA:s agerande ansågs vara berättigat, eftersom det grundades på kontroller som visade att 22 procent av överföringarna via Safes konto under perioden mellan den 1 september och den 30 november 2010 inte gjorts av ombud som auktoriserats av Safe och godkänts av Spaniens centralbank. Under den perioden hade dessutom överföringar gjorts av 1 291 personer vilket vida översteg antalet ombud för Safe. Riskerna med överföringar som inte genomfördes av identifierade ombud hade ytterligare framhållits i en expertrapport.
60. Safe, Sabadell och Liberbank överklagade domen till Audiencia Provincial, Barcelona (provinsiell domstol, Barcelona, den hänskjutande domstolen), som prövar de tre överklagandena tillsammans.
61. Den hänskjutande domstolen uttalar att samtliga parter lyder under lag 10/2010 då de omfattas av de kategorier som anges i artikel 2 i denna lag, vilka innefattar kreditinstitut och betalningsinstitut. Samtliga parter konkurrerar dessutom på marknaden och bedriver samma verksamhet bestående i utlandsbetalningar. Betalningsinstitut (som Safe) måste emellertid göra detta via konton hos kreditinstitut (som bankerna).
62. Safe har för det första påstått att BBVA inte behövde vidta kundkontrollåtgärder avseende betalningsinstitut, eftersom dessa står under tillsyn av myndigheterna, i synnerhet Spaniens centralbank. För det andra får i Spanien endast SEPBLAC ha tillgång till uppgifter avseende betalningsinstitutens kunder. För det tredje måste BBVA göra en detaljerad och fullständig granskning av Safes regler för efterlevnad av ifrågavarande lagstiftning innan sådana åtgärder vidtogs även om det ålåg BBVA att utöva kundkontroll. I förevarande fall hade BBVA endast beställt en expertrapport som upprättats baserad på BBVA:s uppgifter. För det fjärde är lag 10/2010 inte tillämplig på personer exempelvis ombud som utför tjänster åt finansiella institut vid överföring av medel.
63. Sabadells överklagande avser det förhållandet att handelsdomstolens dom godtog att Sabadell i princip kunde tillämpa skärpta krav på kundkontroll men att det inte kunde göra det i detta fall. Liberbank har påstått att det var berättigat att stänga kontot, eftersom Safe underlåtit att lämna ut den begärda informationen.
64. Mot bakgrund av det ovanstående har den hänskjutande domstolen begärt ett förhandsavgörande avseende följande frågor:
”1) Tolkningen av artikel 11.1 i [penningtvättdirektivet]:
a. Innebär denna bestämmelse, jämförd med artikel 7 i direktivet, att det var unionslagstiftarens avsikt att införa ett verkligt undantag från regeln att kreditinstitut får tillämpa åtgärder rörande kundkontroll när deras kunder är betalningsinstitut som själva omfattas av ett eget tillsynssystem eller finns endast en rätt göra ett sådant undantag?
b. Ska nämnda bestämmelse, jämförd med artikel 5 i direktivet, tolkas så, att den nationella lagstiftaren kan införliva undantaget i nämnda bestämmelse på ett sätt som skiljer sig från bestämmelsens innehåll?
c. Är undantaget i artikel 11.1 även tillämpligt på skärpta krav på kundkontroll på samma sätt som normalkrav på kundkontroll?
2) I andra hand, för det fall svaret på de föregående frågorna innebär att kreditinstituten får tillämpa krav på kundkontroll och skärpta krav på kundkontroll avseende betalningsinstitut:
a. Hur omfattande är möjligheten för kreditinstitut att övervaka betalningsinstitutens verksamhet? Kan de med stöd av bestämmelserna i [penningtvättdirektivet] anses ha rätt att övervaka betalningsinstitutens förfaranden och åtgärder för kundkontroll eller är det endast sådana offentliga organ som avses i [betaltjänstdirektivet], i detta fall Spaniens centralbank, som har rätt att göra det …?
b. Innebär tillämpningen av kreditinstitutens rätt att vidta åtgärder at det krävs särskilda skäl som kan härledas från betalningsinstitutets handlingar eller får åtgärderna vidtas generellt, enbart av det skälet att betalningsinstitutet bedriver en riskfylld verksamhet såsom överföringar till utlandet?
c. Om domstolen finner att det krävs särskilda skäl för att kreditinstitut ska få vidta åtgärder för kundkontroll avseende betalningsinstitut:
i. Vilka relevanta beteenden ska banken beakta för att få vidta åtgärder rörande kundkontroll?
ii. Kan ett kreditinstitut anses ha rätt att för det ändamålet bedöma de åtgärder för kundkontroll som ett betalningsinstitut tillämpar i sina förfaranden?
iii. Är det en förutsättning för att få utöva denna rätt att banken har kunnat upptäcka något beteende i betalningsinstitutets verksamhet som gör att institutet kan misstänkas medverka i penningtvätt eller finansiering av terrorism?
3) För det fall domstolen finner att kreditinstituten har rätt att rikta skärpta krav på kundkontroll mot betalningsinstitut:
a. Är det godtagbart att dessa krav innefattar att betalningsinstitut ska tillhandahålla uppgifter om identiteten av alla de kunder från vilka pengar skickas samt om mottagarnas identitet?
b. Är det förenligt med [dataskyddsdirektivet] att betalningsinstituten ska vidarebefordra uppgifter om sina kunder till kreditinstitut som de är tvungna att samarbeta med och som de samtidigt konkurrerar med på marknaden?”
65. Skriftliga yttranden har getts in av BBVA, Safe, den spanska och den portugisiska regeringen samt kommissionen. Vid förhandlingen den 6 maj 2015 yttrade sig samma parter muntligen med undantag av BBVA och den portugisiska regeringen.
Bedömning
Inledande kommentarer
66. Föremålet för tvisten vid den nationella domstolen är huruvida bankerna hade rätt eller var skyldiga enligt penningtvättdirektivet (såsom detta vederbörligen har införlivats) att agera som de gjorde eller om de utan rätt använde direktivet som en förevändning för otillbörlig konkurrens.
67. Tolkningsfrågorna aktualiseras endast om bankerna och Safe kan anses vara berörda aktörer enligt penningtvättdirektivet.(19) Inte någon av parterna har bestritt den hänskjutande domstolens formulering av frågorna i beslutet där dessa betecknas som kreditinstitut respektive betalningsinstitut enligt den nationella rätten varigenom artikel 3 i penningtvättdirektivet införlivas.
68. Genom fråga 1 vill den hänskjutande domstolen få vägledning beträffande artikel 11.1 i penningtvättdirektivet, särskilt huruvida denna bestämmelse jämförd med artiklarna 5 och 7 innebär att en medlemsstat förbjuds att tillåta eller att kräva att kreditinstitut tillämpar normala krav på kundkontroll avseende en kund som är ett betalningsinstitut och som också omfattas av penningtvättdirektivet (frågorna 1 a och b). Genom fråga 1 c uppställs en liknande frågeställning avseende skärpta krav på kundkontroll enligt artikel 13.
69. Som jag ser det beror svaret på fråga 1 först och främst på tillämpningsområdet för artiklarna 7, 11.1 och 13 i penningtvättdirektivet. Om medlemsstaterna vid införlivande av någon av dessa bestämmelser inte är förhindrade att tillåta eller kräva att ett kreditinstitut stänger ett betalningsinstituts konton i ett fall som det förevarande behöver artikel 5 inte beaktas, eftersom skyldigheterna enligt den nationella rätten då endast motsvarar skyldigheterna enligt penningtvättdirektivet.
70. Omvänt, om artiklarna 5, 7, 11.1 och 13 i penningtvättdirektivet ska tolkas så, att de utgör hinder för medlemsstaterna att tillåta eller att kräva att kreditinstitut, på vilka bankerna tillämpar (skärpta) krav på kundkontroll i situationer där förenklad kundkontroll erfordras, är frågorna 2 och 3 inte längre relevanta, eftersom det inte fanns något lagligt stöd för bankernas åtgärder.
71. För det fall penningtvättdirektivet inte utgör hinder för medlemsstaterna att tillåta eller att kräva (skärpta) krav på kundkontroll under sådana förhållanden vill den hänskjutande domstolen genom frågorna 2 och 3 få klarhet beträffande omfattningen av sådana åtgärder och under vilka förutsättningar de kan vidtas. Särskilt i följande avseenden: Får den nationella rätten föreskriva att kreditinstitut övervakar betalningsinstitutens verksamhet, rutiner och åtgärder för kundkontroll och, om så är fallet, i vilken omfattning (fråga 2 a)? Måste det föreligga en särskild anledning för att utöva rätten att tillämpa (skärpta) krav på kundkontroll eller räcker det att kunden bedriver en riskfylld verksamhet (fråga 2 b))? Om särskild anledning krävs, vilka kriterier gäller för en sådan bedömning (fråga 2 c) Avslutningsvis, får sådana krav på kundkontroll innefatta krav på att betalningsinstituten tillhandahåller identitetsuppgifter beträffande alla deras kunder från vilka översända medel härrör samt beträffande mottagarna och är detta förenligt med dataskyddsdirektivet (fråga 3 a och b)?
72. Vid tolkningen av penningtvättdirektivet har samtliga parter hänvisat till rekommendationer och annat material utgivet av FATF, vilket är ett mellanstatligt organ som fastställer normer samt utvecklar och tillhandahåller rutiner för bekämpning av penningtvätt och finansiering av terrorism.(20) Domstolen har redan funnit att penningtvättdirektivet (liksom dess föregångare direktiv 91/308/EEG) har antagits i syfte att tillämpa och göra FATF:s rekommendationer bindande inom Europeiska unionen.(21) Penningtvättdirektivet ska därför tolkas i linje med FATF:s rekommendationer 2003(22), vilka utgör grunddragen för miniminormerna på detta område. Jag kommer följaktligen att beakta dessa rekommendationer när de har relevans.
73. I några avseenden har den hänskjutande domstolen hänvisat till vissa unionsrättsliga bestämmelser. I andra avseenden har den inte gjort det. Det är emellertid klarlagt att för att kunna ge ett tillfredsställande svar på tolkningsfrågorna kan denna domstol finna det nödvändigt att beakta unionsrättsliga bestämmelser som inte har åberopats.(23) Jag har tillämpat detta synsätt när jag föreslår svar på tolkningsfrågorna.
74. Samtidigt som fråga 3 b) inte hänvisar till direktivet om otillbörliga affärsmetoder uttrycker den hänskjutande domstolen ändå tvivel på andra ställen i beslutet om hänskjutande rörande förhållandet mellan rättigheter enligt detta direktiv och penningtvättdirektivet. Direktivet om otillbörliga affärsmetoder är emellertid inte tillämpligt här då Safe inte ”handlar för ändamål som ligger utanför [dess] näringsverksamhet, affärsverksamhet, hantverk eller yrke”.(24) Domstolen har funnit att termerna ”konsument” och ”näringsidkare” i detta direktiv är diametralt motsatta och att termen ”konsument” avser ”en fysisk person som handlar för ändamål som ligger utanför dennes närings- eller yrkesverksamhet”.(25) Safe är således inte konsument i den mening som avses i det direktivet.
Tillämpningsområdet för artikel 11.1 i penningtvättdirektivet (fråga 1 a)–c)
75. Medan den hänskjutande domstolen inte har uttalat det uttryckligen framgår det av vissa av handlingar i målet samt de skriftliga och muntliga yttrandena att BBVA misstänkte penningtvätt eller finansiering av terrorism efter det att det upptäckt oegentligheter i informationen beträffande ombuden som överförde medel via Safes konto hos BBVA.
76. BBVA stängde Safes konto med stöd av lag 10/2010 som å ena sidan tillåter tillämpning av lägre krav på kundkontroll avseende finansiella institut vars efterlevnad av kraven på kundkontroll är föremål för tillsyn och å andra sidan kräver att berörda aktörer beroende på deras riskbedömning ska tillämpa skärpta krav på kundkontroll i situationer som på grund av sin natur uppvisar en hög risk för penningtvätt och finansiering av terrorism som till exempel överföring av penningmedel.
77. Genom fråga 1 vill den hänskjutande domstolen i huvudsak få svar på huruvida penningtvättdirektivet utgör hinder för nationell lagstiftning som reglerar (lägre och skärpta) krav på kundkontroll på detta sätt.
78. Penningtvättdirektivet innehåller tre olika typer av krav på kundkontroll (normala, lägre och skärpta). Medlemsstaterna måste sörja för en lämplig tillämpning av dessa krav i syfte att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism. Sådana krav kan behöva tillämpas innan eller efter det att en affärsförbindelse har inletts eller en transaktion genomförts. Den avsedda avskräckningsgraden av varje typ av krav sammanhänger med den bedömda risken för att det finansiella systemet kommer att användas för sådana ändamål. Riskens omfattning varierar naturligt och medlemsstaterna måste således se till att de krav som ska uppfyllas anpassas till varje enskilt fall.(26) Jag anser därför att beslutet om vilken nivå av kundkontroll som ska gälla alltid ska vila på kontrollerbara grunder.
79. Enligt min uppfattning måste utgångspunkten för att förstå kapitel II (som har rubriken ”Krav på kundkontroll”) i penningtvättdirektivet samt förhållandet mellan artiklarna 5, 7, 11.1 och 13 vara skyldigheten att tillämpa normala krav på kundkontroll.
80. I artikel 7 anges de situationer som automatiskt utlöser en skyldighet att uppfylla normalkrav på kundkontroll, eftersom dessa bedöms innebära en risk för penningtvätt eller finansiering av terrorism som kan förhindras genom åtgärderna enligt artiklarna 8 och 9.(27) Dessa situationer avser: a) Etableringen av en affärsförbindelse, b) genomförandet av en icke regelbundet återkommande transaktion som uppgår till 15 000 EUR eller mer, c) misstanke om penningtvätt eller finansiering av terrorism och d) osäkerhet om hur tillförlitliga eller tillräckliga tidigare erhållna kundidentifieringsuppgifter är. Normala åtgärder för kundkontroll kan således vara tillämpliga innan en affärsförbindelse har inletts eller en transaktion ens har ägt rum (artikel 7 a och b) eller oavsett om detta är fallet (artikel 7 c och d). Ingenting i artikel 7 c antyder att misstanken om penningtvätt eller finansiering av terrorism ska ha uppkommit före etableringen av en affärsförbindelse snarare än under tiden dessförinnan eller före en transaktion.
81. Penningtvättdirektivet definierar inte ”misstankar om penningtvätt eller finansiering av terrorism”. Fastän artikel 22.1 a) (som handlar om omfattningen av skyldigheten att underrätta finansunderrättelseenheten) antyder att ha ”misstanke” inte är detsamma som att ha ”skälig grund att misstänka” att penningtvätt eller finansiering av terrorism äger rum (eller har ägt rum) eller försök därtill har gjorts, anser jag att denna skillnad inte kan tolkas som att ”misstanke” enligt artikel 7 c) är ett rent subjektivt förhållande. Enligt min uppfattning måste misstanke grunda sig på något objektivt förhållande som kan granskas för att bekräfta efterlevnad av artikel 7 c och andra bestämmelser i penningtvättdirektivet.(28) Således är det min uppfattning att ”en misstanke om penningtvätt eller finansiering av terrorism” i den mening som avses i artikel 7 c uppkommer i synnerhet när det med beaktande av en kunds individuella förutsättningar och hans transaktioner (inbegripet användningen och handhavandet av hans konto(n)) finns kontrollerbara omständigheter som visar att en risk för penningtvätt eller finansiering av terrorism föreligger eller kommer att föreligga avseende den kunden.
82. Enligt penningtvättdirektivet måste det i nationell lagstiftning föreskrivas att när det föreligger sådan misstanke (och i de andra situationerna angivna i artikel 7) ska berörda aktörer tillämpa normalkrav för kundkontroll vilket innefattar att identifiera kunden och styrka kundens identitet (artikel 8.1 a), identifiera, i förekommande fall, den verklige förmånstagaren (artikel 8.1 b), skaffa information om affärsförbindelsens syfte och avsedda form (artikel 8.1 c) samt utöva fortlöpande övervakning av den aktuella affärsförbindelsen och transaktioner som redan utförts (artikel 8.1 d). Artikel 8.1 d kan endast tillämpas i efterhand. De andra tre typerna av åtgärder kan vidtas när som helst. Detta står i överensstämmelse med artikel 9.6 enligt vilken medlemsstaterna ska kräva att berörda aktörer tillämpar kraven på kundkontroll avseende alla nya kunder och befintliga kunder vid lämpliga tillfällen efter en riskbedömning. Medlemsstaterna ska emellertid kräva att kontroll av kundens och den verkliga förmånstagarens identitet görs innan en affärsförbindelse ingås eller en transaktion utförs (artikel 9.1).
83. I artiklarna 7, 8 och 9 anges således de fall i vilka unionslagstiftaren ansett att det enligt nationell lagstiftning ska föreskrivas ”normala” förebyggande åtgärder när det föreligger risk för penningtvätt eller finansiering av terrorism och har anvisat de åtgärder som är lämpliga för att förhindra att den risken förverkligas.
84. I andra fall (beroende till exempel på typen av kund, affärsförbindelse, produkt eller transaktion(29)), kan risken vara lägre eller högre. I artiklarna 11 respektive 13 behandlas dessa situationer och där föreskrivs att medlemsstaterna ska säkerställa att olika grader av krav på kundkontroll tillämpas.
85. Åtgärderna för kundkontroll i artiklarna 8 och 9.1 ska på vissa villkor enligt artikel 11 inte vidtas i fall när de enligt artikel 7 a, b och d annars skulle vidtas. Villkoren avser situationer i vilka unionslagstiftaren bedömt att det föreligger en lägre risk för penningtvätt och finansiering av terrorism på grund av till exempel kundens identitet eller värdet och beskaffenheten av transaktionen eller produkten.
86. Detta är fallet när kunden till en berörd aktör själv är ett kreditinstitut eller finansiellt institut som omfattas av penningtvättdirektivet. Enligt artikel 11.1 får inte medlemsstaterna kräva att berörda aktörer (till exempel bankerna) vidtar åtgärder för kundkontroll enligt artiklarna 8 och 9.1 avseende deras kunder (till exempel Safe) i de fall som anges i artiklarna 7 a), b) och d).
87. Det förhållandet att det enligt artikel 11.1 krävs att berörda aktörer inte ska omfattas av kundkontrollåtgärder medan medlemsstaterna enligt andra punkter i artikel 11 (till exempel artikel 11.2) får tillåta förenklad kundkontroll påverkar inte den slutsatsen. Användningen av en tillåtande verbform på andra ställen i artikel 11 visar att medlemsstaterna har rätt att välja att införa de förenklade åtgärderna avseende kundkontroll som anges i artikel 11, de normala åtgärderna avseende kundkontroll enligt artikel 8 eller skärpta eller strängare skyldigheter avseende kundkontroll i enlighet med artiklarna 13 respektive 5. Som jag ser det betyder användningen av en förbjudande verbform i artikel 11.1 att valmöjligheterna där är färre; antingen tillämpas förenklad kundkontroll eller, där det är relevant och nödvändigt, skärpta eller strängare skyldigheter avseende kundkontroll i överensstämmelse med artiklarna 13 respektive 5. Det som inte får tillämpas är normal kundkontroll som sådan. Jag tolkar således inte artikel 11.1 så, att den skulle utgöra hinder för strängare bestämmelser med stöd av artikel 5.
88. Skälet för undantaget i artikel 11.1 är att kunden själv omfattas av penningtvättdirektivet. Den kunden måste uppfylla samtliga relevanta krav i det direktivet såsom detta har införlivats i den nationella rätten inklusive kraven på kundkontroll som kunden måste uppfylla i förhållande till sina egna kunder och omfattas av det direktivets krav avseende rapportering, tillsyn och andra krav. Under sådana omständigheter minskar behovet att vidta förebyggande åtgärder.
89. Detta skäl är också förenligt med FATF:s rekommendationer 2012. Punkt 16 i tolkningsnoten till rekommendation 10 bekräftar att det kan föreligga fall där risken för penningtvätt eller finansiering av terrorism är lägre och att det kunde vara rimligt att tillåta att finansiella institut tillämpar förenklade kundkontrollåtgärder förutsatt att en adekvat riskanalys genomförts.(30) Som exempel anges uttryckligen i punkt 17 finansiella institut som själva omfattas av kraven att bekämpa penningtvätt och finansiering av terrorism i överensstämmelse med FATF:s rekommendationer 2012 och som genomfört dessa krav effektivt och står under övervakning för efterlevnad av dessa kontroller.(31)
90. Jag anser således att artikel 11.1 återspeglar principen att kundkontrollåtgärder ska stå i proportion till de identifierade riskerna.(32) Artikel 11.1 utgår från att risken är reducerad, eftersom – beroende på att kunden är en berörd aktör – åtgärder för kundkontroll, rapportering och övervakning redan har inrättats för att hantera den risk som den berörda aktören och i synnerhet den aktörens egna kunder kan innebära. Syftet med artikel 11.1 är således få till stånd en lämplig avvägning mellan intresset av effektiv reglering, kostnadseffektiv riskhantering samt lämpligt och proportionerligt skydd mot risken för penningtvätt och finansiering av terrorism.
91. Artikel 11.1 gäller för alla berörda aktörer även om vissa aktörer kan omfattas av ytterligare villkor, vilket är fallet med betalningsinstitut på grund av betaltjänstdirektivet. Deras auktorisation att verka som betalningsinstitut beror på efterlevnad av penningtvättdirektivet och när de avser att använda registrerade ombud, måste de ha en intern kontrollmekanism för att styrka sådan efterlevnad.(33)
92. Skyddet enligt gällande unionslagstiftning kan trots tillämpning av penningtvättdirektivet, betaltjänstdirektivet och annan unionslagstiftning(34) intet enligt gällande unionslagstiftning (och nationella lagar varigenom unionslagstiftning införlivas) mot risken för penningtvätt och finansiering av terrorism garantera att risken för penningtvätt och finansiering av terrorism är noll.(35)
93. Det är därför som artikel 11.1 inte medför ett undantag från artikel 7 c. Oavsett eventuella undantag, befrielse eller tröskelvärde och således oavsett om kunden är eller inte är en berörd aktör, föreskrivs i artikel 7 c att åtgärder för kundkontroll alltid erfordras när misstanke föreligger om penningtvätt eller finansiering av terrorism.(36) När en sådan misstanke uppstår får en medlemsstat med andra ord inte tillåta eller kräva att lägre krav på kundkontroll tillämpas. Om den behöriga nationella domstolen i förevarande fall således finner att BBVA och de två andra bankerna skäligen fann att sådan misstanke förelåg beträffande Safe, krävs enligt unionsrätten att den nationella domstolen tolkar nationell rätt (i den mån det är möjligt) så, att den föreskriver att bankerna var skyldiga enligt artikel 7 c att tillämpa (åtminstone) normala krav på kundkontroll.(37)
94. Inte heller innebär den omständigheten att kunden själv omfattas av penningtvättdirektivet att en medlemsstat inte ska kräva att skärpta kundkontrollåtgärder i den mening som avses i artikel 13 i det direktivet vidtas avseende kunden om, det trots de garantier som redan tillhandahålls i penningtvättdirektivet, betaltjänstdirektivet och annan unionslagstiftning, föreligger högre risk för penningtvätt och finansiering av terrorism som behandlas i den bestämmelsen. Artikel 11 gör endast undantag från normala åtgärder avseende kundkontroll i situationer med lägre risk. Eftersom artikel 11 inte hänvisar till artikel 13 saknar den förstnämnda artikeln betydelse för den kundkontroll som krävs när det föreligger en högre risk.
95. Enligt artikel 13 krävs att medlemsstaterna ska föreskriva att berörda aktörer tillämpar, efter en riskbedömning, skärpta krav på kundkontroll i synnerhet i situationer som på grund av sin beskaffenhet kan innebära en högre risk för penningtvätt eller finansiering av terrorism och åtminstone i de situationer med högre risk angivna i punkterna 2–4 i artikel 13. Överföring av penningmedel utomlands anges inte i dessa punkter. Den hänskjutande domstolen har inte heller påstått att någon av dessa punkter är tillämplig.(38) Artikel 13 utgör emellertid inte något hinder för medlemsstaterna att i deras nationella lagar, efter en riskbedömning, ange andra situationer som på grund av sin beskaffenhet innebär en högre risk och därför berättigar och till och med kräver tillämpning av skärpt kundkontroll (utöver normal kundkontroll).
96. Trots undantaget i artikel 11.1 måste medlemsstaterna därför enligt artiklarna 7 och 13 i penningtvättdirektivet se till att berörda aktörer, vad gäller kunder som själva är berörda aktörer enligt direktivet, tillämpar i) normala krav på kundkontroll enligt artiklarna 8 och 9.1 när det föreligger misstanke om penningtvätt eller finansiering av terrorism i den mening som avses i artikel 7 c samt ii) skärpta krav på kundkontroll enligt artikel 13 i de situationer som avses i den bestämmelsen.
97. Även när medlemsstaterna vederbörligen har införlivat artiklarna 7, 11 och 13 i sin nationella rätt(39) tillåts de enligt artikel 5 att anta eller behålla ”strängare regler” i syfte att stärka kampen mot penningtvätt eller finansiering av terrorism.(40) Denna bestämmelse bekräftar att det endast är en minimal harmonisering som föreskrivs enligt penningtvättdirektivet.(41) Dessa ”strängare regler” kan, som jag ser det, avse situationer för vilka direktivet föreskriver någon form av kundkontroll och även andra situationer som medlemsstaterna bedömer kan innebära risker.
98. Artikel 5 ingår i kapitel I (som har rubriken ”Syfte, tillämpningsområde och definitioner”) och är tillämplig på samtliga ”regler inom det område som omfattas av [penningtvättdirektivet] till förebyggande av penningtvätt och finansiering av terrorism”. Dess tillämpningsområde är således inte begränsat till bestämmelserna i kapitel II (som har rubriken ”Krav på kundkontroll”). En medlemsstat kan därför föreskriva åtgärder för kundkontroll som ett kreditinstitut kan tillämpa på ett betalningsinstitut även när villkoren i artikel 11.1 har uppfyllts (och således även när det inte föreligger någon misstanke i den mening som avses i artikel 7 c) och i andra situationer än de som anges i artiklarna 7 och 13 när detta är motiverat och i övrigt förenligt med unionsrätten.(42)
99. Sammanfattningsvis innebär sådana bestämmelser som artiklarna 8 eller 13 i penningtvättdirektivet medlemsstaterna medges ett betydande mått av frihet vid införlivandet av direktivet såvitt gäller exakt hur de ska genomföra skyldigheterna att föreskriva olika typer av kundkontroll, beroende på omständigheterna i fråga samt i överensstämmelse med deras övergripande skyldigheter att uppskatta risker och stifta lagar varigenom åtgärder föreskrivs, vilka står i proportion till den identifierade risken och är förenliga med andra skyldigheter enligt unionsrätten. Artikel 5 medför sedan ett ytterligare mått av frihet då den ger medlemsstaterna rätt att anta eller behålla ”strängare regler” när de bedömer att sådana är nödvändiga förutsatt att medlemsstaterna därvid respekterar sina skyldigheter enligt unionsrätten.
Får kreditinstitut övervaka betalningsinstitutens åtgärder avseende kundkontroll (frågorna 2 a och 2 c ii)?
100. Genom fråga 2 a vill den hänskjutande domstolen få klarhet avseende kreditinstitutens rätt att enligt penningtvättdirektivet och betaltjänstdirektivet övervaka den verksamhet, förfaranden och åtgärder för kundkontroll som betalningsinstituten, vilka är deras kunder, utövar. Fråga 2 c ii, som har ett nära samband, avser huruvida ett kreditinstitut får värdera åtgärderna för kundkontroll som tillämpas av ett betalningsinstitut.
101. Jag uppfattar att upprinnelsen till dessa frågor är antagandet att Safes konton stängdes på grund av att Safe inte lämnade den information som begärdes av bankerna i samband med de åtgärder för kundkontroll som bankerna tillämpade. Stängningen ska därför ses som ett sätt för att få Safe att uppfylla sina skyldigheter enligt penningtvättdirektivet och möjligen betaltjänstdirektivet för vilket endast de behöriga myndigheterna har behörighet, inte bankerna.(43)
102. Jag kan inte förstå hur bankernas agerande kan uppfattas som övervakande till sin natur. Penningtvättdirektivet gäller krav på kundkontroll för berörda aktörer, inte för kunderna på grund av deras ställning som kunder. Enligt direktivet krävs inte att kunderna ska förse berörda aktörer med den information som de sistnämnda måste införskaffa och kontrollera för att uppfylla sina egna skyldigheter avseende kundkontroll. I artikel 8 beskrivs olika delar av en affärsförbindelse inom vilka information ska insamlas och kontrolleras. I denna bestämmelse anges inte att det enligt nationell rätt måste föreskrivas att information ska införskaffas från kunden och att kunden enligt penningtvättdirektivet, korrekt införlivat, är skyldig att besvara en sådan begäran om information (även om kunden har ett starkt intresse av att göra detta för att undvika de följder som anges i artikel 9.5).(44)
103. Agerande av de slag som anges i artikel 9.5 första stycket (inbegripet avbrytande av en redan ingången affärsförbindelse) är resultatet av en berörd aktörs oförmåga att uppfylla sina skyldigheter avseende kundkontroll enligt artikel 8.1 a–c såsom denna har införlivats i medlemsstaten. Den följden är berättigad av risken för att kunder, transaktioner och affärsförbindelser används (eller kan användas) för penningtvätt eller finansiering av terrorism.
104. Artikel 9.5 är inte för sin tillämpning beroende av varför en berörd aktör inte kan uppfylla kraven på kundkontroll enligt artikel 8.1 a–c. Den omständigheten att en berörd aktörs kunder inte samarbetar genom att tillhandahålla information som gör det möjligt för aktören att efterleva nationell rätt varigenom artikel 8 införlivas är således varken nödvändig och eller tillräcklig för att utlösa de följder som anges i artikel 9.5.
105. Det är visserligen riktigt att det enligt artikel 37 i penningtvättdirektivet föreskrivs att behöriga myndigheter effektivt ska övervaka och vidta nödvändiga åtgärder för att säkerställa att berörda aktörer, inbegripet kreditinstitut och betalningsinstitut, uppfyller direktivets krav genom att vidta åtgärder för kundkontroll avseende alla deras kunder. Såsom generaladvokaten Bot uttryckt det säkerställs effektiviteten av åtgärder för kundkontroll och uppgiftsskyldighet genom att ge behöriga nationella myndigheter utökade tillsyns- och kontrollmöjligheter.(45) Jag håller med honom om att åtgärder avseende kundkontroll, rapportering, övervakning och kontroll tillsammans utgör förebyggande och avskräckande åtgärder för att effektivt bekämpa penningtvätt och finansiering av terrorism och för att slå vakt om det finansiella systemets soliditet och integritet.
106. Detta innebär emellertid inte att berörda aktörer när de agerar enligt nationell rätt varigenom artiklarna 8 och 9 i penningtvättdirektivet har införlivats antar den övervakande roll som är förbehållen behöriga myndigheter.
107. Inte heller betyder det att berörda aktörer får underminera de övervakningsuppgifter som behöriga myndigheter enligt artikel 21 i betaltjänstdirektivet ska utföra avseende betalningsinstitut för att kontrollera efterlevnad av bestämmelserna i avdelning II (som har rubriken ”Betaltjänstleverantörer”) i direktivet.(46) Medan dessa myndigheter, när skäl därtill föreligger, kan återkalla registeringen av ombud, filialen eller betalningsinstitutet självt enligt det direktivet(47) samverkar sådan myndighetsutövning med de förebyggande åtgärder som ska vidtas av berörda aktörer och den övervakning som behöriga myndigheter utövar enligt penningtvättdirektivet.
Krävs särskild motivering för att utöva rätten att tillämpa (skärpta) åtgärder för kundkontroll eller räcker det att kunden bedriver en riskfylld verksamhet (fråga 2 b? Om särskild motivering krävs, vilka kriterier ska tillämpas (fråga 2 c i–iii)?
108. Om medlemsstater får tillåta eller kräva att kreditinstitut tillämpar kundkontrollåtgärder avseende betalningsinstitut vill den hänskjutande domstolen med frågorna 2 b och 2 c i–iii i huvudsak få svar på huruvida sådana åtgärder kan grundas enbart på den typ av verksamhet som betalningsinstitutet bedriver eller huruvida institutets eget agerande måste bedömas.
109. Jag vill härvid erinra om att frågorna har uppkommit i en tvist mellan berörda aktörer som påstår att de grundat sina kundkontrollåtgärder på nationell rätt vilken är tillämplig på situationer som lagstiftaren bedömt innebära hög risk (som tillhandahållande av betaltjänster) och som inte anges i artikel 13. Jag har dessutom redan behandlat vad som krävs i fall där det föreligger misstanke om penningtvätt i den mening som avses i artikel 7 c.(48)
110. Jag uppfattar därför att frågorna 2 b och 2 c i–iii avser en situation där en medlemsstat agerar inom det utrymme för skönsmässig bedömning som den tillerkänns enligt penningtvättdirektivet.
111. När medlemsstater agerar inom detta utrymme måste de ändå utöva denna behörighet i enlighet med unionsrätten, i synnerhet de grundläggande friheterna som föreskrivs i fördragen.(49) Domstolen har godtagit att målet att bekämpa användningen av det finansiella systemet för penningtvätt eller finansiering av terrorism, vilket är grunden för penningtvättdirektivet, ska vägas mot skyddet för andra intressen, inbegripet friheten att tillhandahålla tjänster. I ovannämnda domen i målet Jyske Bank Gibraltar, fann således domstolen i huvudsak att inskränkningar i friheten att tillhandahålla tjänster på grund av ett krav på information ”under förutsättning att lagstiftningen syftar till att i överensstämmelse med unionsrätten effektivisera kampen mot penningtvätt och finansiering av terrorism” var godtagbara.(50) I fall (såsom det förevarande) när unionsrätten inte har harmoniserats fullständigt kan nationell rätt varigenom grundläggande friheter inskränks vara motiverad på grund av att den uppfyller ett tvingande allmänintresse om detta intresse inte redan skyddas av de regler som gäller för tjänsteleverantören i den medlemsstat där han är etablerad till den del det är lämpligt att säkerställa uppnåendet av det eftersträvade målet och inte sträcker sig längre än vad som är nödvändigt för att uppnå det.(51)
112. Domstolen har redan godtagit att förebyggande av och kampen mot penningtvätt och finansiering av terrorism utgör legitima mål som avser att skydda den allmänna ordningen och kan motivera en inskränkning i friheten att tillhandahålla tjänster.(52)
113. Är nationell rätt såsom den ifrågavarande ägnad att uppnå nämnda mål eftersom den bidrar till att minska risken och i allmänhet verkligen avspeglar önskan att uppnå detta mål på ett sammanhängande och systematiskt sätt?(53) En nationell lag där en hög riskfaktor beträffande (till exempel) en viss typ av kunder, länder, produkter eller transaktioner, efter en lämplig riskbedömning (även i förhållande till kunder som är betalningsinstitut), identifieras och där det på den grunden tillåts eller till och med krävs att berörda aktörer efter sin egen individuella riskbedömning ska tillämpa lämpliga åtgärder för kundkontroll förefaller uppfylla det kravet.
114. För att frågan huruvida den nationella rätten är proportionell ska kunna avgöras krävs en bedömning av vilken skyddsnivå som medlemsstaten önskar i förhållande till den identifierade risken för penningtvätt eller finansiering av terrorism. Jag uppfattar att penningtvättdirektivet bekräftar att medlemsstater får, som ett exempel, bestämma en skyddsnivå som är högre än den som unionslagstiftaren valt, identifiera andra situationer med (hög) risk och tillåta eller kräva andra åtgärder för kundkontroll än de som föreskrivs enligt direktivet.
115. När medlemsstaterna gör detta kan de, till exempel, ange de särskilda åtgärder som ska vidtas i vissa angivna situationer eller överlämna åt berörda aktörer att själva efter en lämplig riskbedömning tillämpa de åtgärder som bedöms vara i proportion till risken i fråga i en angiven situation. I båda fallen måste medlemsstater säkerställa att de skärpta krav på kundkontroll som tillämpas har sin grund i en bedömning av förekomsten av och nivån på risken för penningtvätt eller finansiering av terrorism avseende en kund, affärsförbindelse, konto, produkt eller transaktion, vilketdera som är fallet. Utan en sådan bedömning är det inte möjligt för varken medlemsstaten eller i förekommande fall en berörd aktör att avgöra i varje enskilt fall vilka åtgärder som ska tillämpas. När det inte finns någon risk för penningtvätt eller finansiering av terrorism kan inte heller förebyggande åtgärder vidtas på dessa (legitima) grunder.
116. Vid denna riskbedömning måste åtminstone alla relevanta omständigheter som kan indikera (nivån på) risken för en av de typer av beteenden som kan anses vara penningtvätt eller finansiering av terrorism beaktas. Sådana risker (och deras nivå) kan bero på bland annat kunder, länder eller geografiska områden, produkter, tjänster, transaktioner eller leveranskanaler. Det kan således vara nödvändigt att med stöd av tillgänglig information fastställa (till exempel) vem som är inblandad i en överlåtelse av egendom, egendomens ursprung, de överlåtna rättigheterna, om det fanns kännedom om någon brottslig handling, omfattningen av vissa personers och enheters deltagande i förvärvet, innehav, användning eller övergång av egendom, syftet med en transaktion eller förbindelse, den geografiska räckvidden av varje åtgärd rörande egendomen eller affärsförbindelsens regelbundenhet eller varaktighet.
117. En sådan bedömning gör det möjligt att generellt och i varje enskilt fall avgöra hur risken ska hanteras genom att vidta lämpliga åtgärder. Vid valet av sådana åtgärder är det nödvändigt (för både medlemsstater och, i förekommande fall, berörda aktörer) att bedöma i vilken omfattning den konstaterade risken redan har hanterats och den eftersträvade skyddsnivån som redan säkerställts genom andra åtgärder, inbegripet sådana som grundas på penningtvättdirektivet, betaltjänstdirektivet och annan unionsrättslig (eller nationell) lagstiftning. Det är förmodligen osannolikt att en enda åtgärd för kundkontroll eller annan åtgärd skulle kunna eliminera alla risker för penningtvätt eller finansiering av terrorism. Gällande unionsrättslig lagstiftning antyder snarare att medlemsstaterna måste använda många olika sätt för att bemöta sådana risker.
118. Huruvida nationell lagstiftning är proportionell beror dessutom också på i vilken omfattning som föreskrivna åtgärder för kundkontroll kan inkräkta på andra skyddade rättigheter och intressen i unionsrätten, till exempel skyddet för personuppgifter (artikel 8 i stadgan) samt principen om fri konkurrens mellan företag med verksamhet på samma marknad. Målen för dessa måste vägas mot andra sådana legitima intressen.
119. Frågan huruvida en nationell lag är proportionell beror slutligen på om det finns andra mindre inskränkande vägar för att nå samma skyddsnivå. I stället för att till exempel instifta en generell lag där utgångspunkten är att överföring av pengar utomlands alltid innebär en hög risk(54) kan en lag, där åtskillnad görs mellan mottagarländerna (på grundval av den risk det innebär att skicka pengar dit) eller där det krävs att berörda aktörer gör sådan åtskillnad, vara mindre inskränkande och ändå nå upp till medlemsstatens önskade skyddsnivå.
Kundkontrollåtgärder och skyddet för personuppgifter (fråga 3 a och b)
120. Genom fråga 3 b vill den hänskjutande domstolen i huvudsak få klarhet i huruvida dataskyddsdirektivet utgör hinder för medlemsstaterna att kräva att betalningsinstitut lämnar uppgifter om deras kunders identitet till kreditinstitut som direkt konkurrerar med dem, i en situation där skärpta krav på kundkontroll tillämpas av kreditinstituten. Fråga 3 a är liknande men den hänvisar varken till någon särskild bestämmelse i unionsrätten eller till konkurrensförhållandet mellan betalningsinstituten och kreditinstituten (men hänvisar däremot till uppgifter rörande mottagarna av medel som översänds via Safes konton).
121. Tvekan har uppkommit huruvida fråga 3 kan tas upp till sakprövning eftersom BBVA har gjort gällande att det aldrig har bett att få uppgifter om Safes kunder eller mottagarna av de överförda medlen. Det har endast efterfrågat information om de ombud som agerade på uppdrag av Safe och använde Safes konton.
122. Om BBVA:s framställning av de faktiska omständigheterna är korrekt och även stämmer överens med vad som förekommit i tvisten mellan de två andra bankerna och Safe skulle fråga 3 verkligen förefalla sakna relevans för avgörandet av tvisten i rättegången vid den nationella domstolen. Det är emellertid fastlagt att det inte ankommer på EU-domstolen att fastställa och bedöma de omständigheter som är föremål för tvisten. Denna uppgift tillkommer nationella domstolar(55) och deras rättsskipning är i detta hänseende en fråga om nationell rätt. Jag ska därför besvara fråga 3 i den mån det är möjligt.
123. Berörda aktörer som kreditinstitut och betalningsinstitut kan behöva erhålla och kontrollera uppgifter om åtminstone deras egna kunder antingen enligt penningtvättdirektivet eller, om de omfattas av strängare bestämmelser som tillåts i artikel 5 i det direktivet, enligt andra nationella bestämmelser som är förenliga med unionsrätten. När detta medför behandling av personuppgifter inom tillämpningsområdet för dataskyddsdirektivet (penningtvättdirektivet är inte särskilt tydligt på denna punkt) gäller i princip kraven enligt båda direktiven. Skäl 33 till penningtvättdirektivet bekräftar detta avseende röjande av uppgifter enligt artikel 28. Detta gör också skäl 48 som anger att grundläggande rättigheter ska respekteras, således inbegripet skydd för personuppgifter enligt artikel 8 i stadgan.
124. Jag ser ingen anledning att tolka ”kunden” i antingen artikel 8.1 a(56) eller artikel 13 så, att därmed avses kund/er till en berörd aktörs kund. Dessa bestämmelser gäller väsentligen förhållandet mellan en berörd aktör och dess kund/er och transaktioner som utförts i samband med det förhållandet. Det är visserligen sant att artikel 13.4 c anger åtgärder för att fastställa källan till förmögenheten och medlen som hänger samman med affärsförbindelsen eller affärstransaktionen med personer i politiskt utsatt ställning som är bosatta i en annan medlemsstat eller tredjeland. Inget i begäran om förhandsavgörande antyder emellertid att detta skulle vara fallet här.
125. Jag anser mot denna bakgrund att penningtvättdirektivet inte nödvändigtvis utgör hinder för nationell lagstiftning där det krävs eller tillåts att en berörd aktör, när det är motiverat, insamlar information om sina kunders kunder. Information om dessa kunder kan vara av betydelse vid bedömningen av huruvida kunden till en berörd aktör, kundens transaktioner och affärsförbindelser innebär risker för penningtvätt eller finansiering av terrorism.
126. Jag godtar därför inte att en berörd aktör aldrig enligt penningtvättdirektivet kan tillåtas eller vara skyldig enligt nationell rätt att begära information om sina egna kunders kunder för att förhindra penningtvätt eller finansiering av terrorism. Inte heller förefaller dataskyddsdirektivet, i synnerhet artikel 7 däri, utgöra hinder för behandling av personuppgifter under sådana förhållanden.
127. Sådan nationell rätt måste emellertid också vara förenlig med medlemsstatens övriga skyldigheter enligt unionsrätten inklusive kraven enligt dataskyddsdirektivet och artiklarna 8 och 52.1 i stadgan.
Förslag till avgörande
128. Mot bakgrund av ovanstående överväganden föreslår jag att domstolen besvarar tolkningsfrågorna från Audiencia Provincial de Barcelona (Spanien) enligt följande:
– Oaktat undantaget i artikel 11.1 i Europaparlamentets och rådets direktiv 2005/60/EG av den 26 oktober 2005 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism måste medlemsstaterna enligt artiklarna 7 och 13 i direktivet se till att berörda aktörer vad gäller kunder som själva är berörda aktörer enligt direktivet tillämpar i) normala krav på kundkontroll enligt artiklarna 8 och 9.1 när det föreligger misstanke om penningtvätt eller finansiering av terrorism i den mening som avses i artikel 7 c och ii) skärpta krav på kundkontroll enligt artikel 13 i de situationer som avses i den bestämmelsen.
– ”Misstanke om penningtvätt eller finansiering av terrorism” i den mening som avses i artikel 7 c i direktiv 2005/60 uppkommer i synnerhet när det med beaktande av en kunds individuella förutsättningar och transaktioner (inbegripet användningen och handhavandet av kundens konto(n)) finns kontrollerbara omständigheter som visar att en risk för penningtvätt eller finansiering av terrorism föreligger eller kommer att föreligga avseende den kunden. Artikel 11.1 medför inte ett undantag från artikel 7 c. Oavsett eventuella undantag, befrielse eller tröskelvärden, och således oavsett huruvida kunden anses vara en berörd aktör, föreskrivs i artikel 7 c att åtgärder för kundkontroll alltid erfordras när misstanke om penningtvätt eller finansiering av terrorism föreligger. När sådan misstanke uppstår får en medlemsstat därför inte tillåta eller kräva att lägre (förenklade) krav på kundkontroll tillämpas.
– Den omständigheten att kunden själv omfattas av direktiv 2005/60 innebär inte att en medlemsstat inte ska kräva att skärpta kundkontrollåtgärder i den mening som avses i artikel 13 i det direktivet vidtas avseende kunden om det, trots de garantier som redan tillhandahålls i direktiv 2005/60 och annan unionslagstiftning, föreligger en högre risk för penningtvätt och finansiering av terrorism i den mening som avses i bestämmelsen. Artikel 11 medför endast undantag från normala åtgärder avseende kundkontroll i situationer med lägre risk. Eftersom artikel 11 inte hänvisar till artikel 13 saknar den förstnämnda artikeln betydelse för den kundkontroll som krävs när det föreligger en högre risk.
– Även när medlemsstaterna vederbörligen har införlivat artiklarna 7, 11 och 13 i direktiv 2005/60 i sin nationella rätt tillåts de enligt artikel 5 att anta eller behålla ”strängare regler” i syfte att stärka kampen mot penningtvätt eller finansiering av terrorism. Denna bestämmelse bekräftar att det endast är en minimal harmonisering som föreskrivs enligt penningtvättdirektivet. Tillämpningsområdet för artikel 5 i direktiv 2005/60 är inte begränsat till bestämmelserna i kapitel II (som har rubriken ”Krav på kundkontroll”) i direktivet. En medlemsstat kan därför föreskriva åtgärder för kundkontroll som ett kreditinstitut ska tillämpa på ett betalningsinstitut även när villkoren i artikel 11.1 har uppfyllts och i andra situationer än de som anges i artiklarna 7 och 13, när detta är motiverat och i övrigt förenligt med unionsrätten.
– När medlemsstater agerar inom det utrymme för skönsmässig bedömning som de tillerkänns enligt artikel 5 i direktiv 2005/60 måste de ändå utöva denna behörighet i enlighet med unionsrätten, i synnerhet de grundläggande friheterna som föreskrivs i fördragen. I fall när unionsrätten (såsom i förevarande fall) inte har harmoniserats fullständigt kan nationell rätt varigenom grundläggande friheter inskränks vara motiverad på grund av att den uppfyller ett tvingande allmänintresse om den är lämplig för att uppnå det eftersträvade målet och inte sträcker sig längre än vad som är nödvändigt för att uppnå det.
– För att frågan huruvida den nationella rätten är proportionell ska kunna avgöras krävs en bedömning av vilken skyddsnivå som medlemsstaten önskar i förhållande till den identifierade risken för penningtvätt eller finansiering av terrorism. Medlemsstater får bestämma en skyddsnivå som är högre än den som unionslagstiftaren valt, identifiera andra situationer med (hög) risk och tillåta eller kräva andra åtgärder för kundkontroll. Medlemsstater måste säkerställa att de skärpta kraven på kundkontroll som tillämpas grundar sig på en värdering av förekomsten av och nivån på risken för penningtvätt eller finansiering av terrorism avseende en kund, affärsförbindelse, konto, produkt eller transaktion, vilketdera som är fallet. Vid valet av vilka åtgärder som ska tillämpas är det nödvändigt (för både medlemsstater och, i förekommande fall, berörda aktörer) att bedöma i vilken omfattning den konstaterade risken redan har hanterats och den eftersträvade skyddsnivån som redan säkerställts genom andra åtgärder, inbegripet sådana som grundas på direktiv 2005/60, Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och annan unionsrättslig (eller nationell) lagstiftning. Huruvida nationell lagstiftning är proportionell beror dessutom också på i vilken omfattning som föreskrivna åtgärder för kundkontroll kan inkräkta på andra skyddade rättigheter och intressen i unionsrätten, till exempel skyddet för personuppgifter (artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna) och principen om fri konkurrens mellan företag med verksamhet på samma marknad. Frågan huruvida en nationell lag är proportionell beror slutligen på om det finns andra mindre inskränkande vägar för att nå samma skyddsnivå.
– Berörda aktörer enligt direktiv 2005/60 får inte underminera de övervakningsuppgifter som behöriga myndigheter ska utföra enligt artikel 21 i direktiv 2007/64 avseende betalningsinstitut för att kontrollera efterlevnad av bestämmelserna i avdelning II (som har rubriken ”Betaltjänstleverantörer”) i det direktivet. Medan dessa myndigheter kan, när skäl därtill föreligger, återkalla registreringen av ombud, filialen eller betalningsinstitutet självt enligt det direktivet samverkar sådan myndighetsutövning med de förebyggande åtgärder som ska vidtas av berörda aktörer och den övervakning som utövas av behöriga myndigheter enligt direktiv 2005/60/EG.
– Direktiv 2005/60 utgör hinder för nationell lagstiftning där det krävs eller tillåts att en berörd aktör, när det är motiverat, insamlar information om sina kunders kunder. Sådan nationell rätt måste emellertid också vara förenlig med medlemsstatens övriga skyldigheter enligt unionsrätten inklusive kraven enligt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt artiklarna 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna.