Aktualnie Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) stanowi główne źródło informacji o beneficjentach rzeczywistych podmiotów zobowiązanych do dokonywania zgłoszeń (głównie spółek, fundacji czy spółdzielni). Planowana jest jednak nowelizacja ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Ustawa AML), która całkowicie zmodyfikuje zasady korzystania z rejestru. Zmiany te wynikają z wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawach połączonych C‑37/20 i C‑601/20 oraz konieczności implementacji dyrektywy 2024/1640. TSUE uznał, że nieograniczona publiczna jawność danych o beneficjentach rzeczywistych narusza standardy ochrony danych osobowych określone w RODO oraz prawo do prywatności. Nowelizacja ma zatem pogodzić skuteczność przeciwdziałania praniu pieniędzy z ochroną danych osób fizycznych.

(Dalsza część artykułu pod materiałem wideo)

Zobacz film: Istotne zmiany legislacyjne i kierunki orzecznicze w CIT na 2026 r.

Poznaj kluczowe zmiany w CIT od 2026 roku. Eksperci CRIDO omawiają reorganizacje, amortyzację, JPK-CIT i nowe obowiązki podatników.

Odejście od dotychczasowej zasady pełnej jawności CRBR

CRBR ma charakter jawny. Każdy zainteresowany – w ciągu kilku minut, bez konieczności wykazywania interesu prawnego i składania dodatkowych wniosków, jest w stanie zapoznać się i pobrać dane beneficjentów rzeczywistych podmiotów objętych rejestrem. Nowelizacja Ustawy AML zakłada jednak ograniczenie katalogu podmiotów uprawnionych do uzyskania ww. danych oraz wprowadza sformalizowaną procedurę ich uzyskania. Dostęp do CRBR przestanie być automatyczny – będzie wymagał formalnego postępowania administracyjnego. Przewidywane są trzy odrębne modele dostępu do danych:

  • bezpośredni dostęp do CRBR dla organów publicznych (m.in. policji, prokuratury, służb specjalnych, KAS, KNF) – przed pierwszym udostępnieniem wymaga złożenia formularza identyfikującego dany organ;
  • bezpośredni dostęp do CRBR dla instytucji obowiązanych (m.in. banków, doradców podatkowych, notariuszy, funduszy) w zakresie stosowania środków bezpieczeństwa finansowego – wymaga uzyskania przez instytucję obowiązaną dostępu do SIGIIF (systemu teleinformatycznego służącego przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu) – każda instytucja obowiązana będzie zobowiązana do uzyskania takiego dostępu przed nawiązaniem pierwszych stosunków gospodarczych albo przeprowadzeniem pierwszej transakcji okazjonalnej;
  • ograniczony dostęp do CRBR dla innych podmiotów zobowiązanych do wykazania uzasadnionego interesu związanego z zapobieganiem lub zwalczeniem prania pieniędzy, finansowania terroryzmu lub czynów zabronionych związanych z korzyściami mogącymi stać się przedmiotem prania pieniędzy.– wymaga złożenia wniosku o udostępnienie danych wraz z oświadczeniem o prawdziwości informacji zawartych w tym wniosku składanym pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia.

Podmioty, których dane dostępne są w CRBR, nie będą informowane o ujawnianiu ich danych na rzecz różnych podmiotów.

Uzasadniony interes a nowa procedura uzyskania dostępu do danych

Wydaje się, że najwięcej wątpliwości w praktyce może wywołać ustalenie, komu przysługuje uzasadniony interes w zakresie dostępu do danych. Dla ułatwienia, w ramach nowych przepisów wprowadzono katalog podmiotów, które domyślnie uznaje się za posiadające taki interes, w szczególności: dziennikarzy, organizacje pozarządowe prowadzące działalność pożytku publicznego, środowiska akademickie, a także podmioty przygotowujące transakcje gospodarcze czy zamawiających w postępowaniach o zamówienia publiczne. Możliwe będzie także uzyskanie dostępu do danych przez inne podmioty – nie objęte domniemaniem, tak długo jak będą w stanie wykazać uzasadniony interes. W każdym przypadku działalność tych podmiotów powinna być związana z zapobieganiem lub zwalczeniem prania pieniędzy, finansowania terroryzmu lub czynów zabronionych związanych z korzyściami mogącymi stać się przedmiotem prania pieniędzy.

Nowa procedura jest znacznie bardziej sformalizowana niż dotychczas. W ramach weryfikacji wnioskodawcy, poza jego podstawowymi danymi, analizowana będzie również funkcja lub wykonywany zawód wnioskodawcy, a także związek z podmiotem, którego dane chce pozyskać. Co istotne, wydanie decyzji o udostępnieniu danych wiąże się z wydaniem trzyletniego potwierdzenia dostępu – dokumentu, który będzie pozwalał na uproszczone składanie kolejnych wniosków w tym okresie.

Dostęp do danych beneficjenta nie będzie natychmiastowy. Standardowo organ będzie miał 12 dni roboczych na udostępnienie danych lub wydanie odmowy, z możliwością przedłużenia o dodatkowe 24 dni robocze w przypadku konieczności rozpatrzenia dużej liczby wniosków. Dla posiadaczy trzyletniego potwierdzenia termin będzie skrócony do 7 dni roboczych. W okresie przejściowym, od 1 lipca 2026 do 30 czerwca 2027 r., termin udostępnienia danych wyniesie jednak 30 dni, co wiąże się z wdrożeniem nowego systemu teleinformatycznego obsługującego CRBR.

Możliwość wyłączenia dostępu do danych

Projekt ustawy przewiduje również możliwość żądania wyłączenia dostępu do niektórych danych beneficjenta rzeczywistego. Będzie to możliwe w przypadkach, gdy ich ujawnienie mogłoby narazić daną osobę na poważne ryzyko – w szczególności nadużycia finansowe, przemoc, uprowadzenie, szantaż, wymuszenie, nękanie czy inne przestępstwa wskazane w kodeksie karnym. Ochroną objęte będą również osoby nieposiadające pełnej zdolności do czynności prawnych. Jednocześnie takie wyłączenie nie będzie skuteczne wobec organów, które posiadają ustawowo nieograniczony dostęp do CRBR.

Co powyższe zmiany oznaczają w praktyce?

Nowe regulacje wprowadzają dodatkowe obciążenia proceduralne dla rynku. Instytucje obowiązane – banki, firmy inwestycyjne, doradcy podatkowi czy kancelarie prawne – będą musiały dostosować swoje procedury weryfikacji beneficjenta rzeczywistego. Niezależnie, podmioty przygotowujące transakcje – zwłaszcza M&A, joint venture i projekty inwestycyjne – będą musiały uwzględnić dodatkowy czas potrzebny na pozyskanie danych o beneficjentach rzeczywistych kontrahenta. Podobnie w przypadku weryfikacji danych beneficjentów w ramach reorganizacji korporacyjnych. Powyższe może wpływać na harmonogramy transakcji oraz sposób organizacji due diligence. Zmiany nie ominą także doradców i kancelarii prawnych często posługujących się danymi CRBR, którzy będą musieli przygotować się na większy formalizm w zakresie pozyskiwania informacji na temat swoich klientów. Dodatkowo, należy spodziewać się wzrostu liczby sporów dotyczących odmowy udostępnienia danych, ponieważ decyzje te będą miały formę decyzji administracyjnych podlegających zaskarżeniu.

Planowany termin wejścia w życie zmian

Zmiany zostaną wprowadzone etapowo. Według aktualnej wersji projektu, przy założeniu zakończenia procesu legislacyjnego, zasadnicza część ustawy miałaby wejść w życie z dniem 1 kwietnia 2026 r. Od 1 lipca 2026 r. zacznie funkcjonować pełna procedura wnioskowa oraz okres przejściowy dotyczący terminów. Tak rozłożone terminy mają umożliwić organom publicznym i podmiotom objętym obowiązkami AML odpowiednie przygotowanie się do nowych procesów.