Urząd Komisji Nadzoru Finansowego podjął 24 maja 2025 roku przełomową decyzję o rezygnacji z nakładania sankcji na spółki publiczne za brak numerów PESEL osób blisko związanych. Decyzja zapadła po dziesięciodniowym konflikcie prawnym, który rozpoczął się od pisma UKNF z 14 maja żądającego od emitentów szczegółowych danych identyfikacyjnych. Interwencja Stowarzyszenia Emitentów Giełdowych zakończyła się sukcesem – regulator oficjalnie dopuścił alternatywne metody identyfikacji, co eliminuje ryzyko kar finansowych do 500 tysięcy złotych dla 767 spółek notowanych na GPW i NewConnect. To rozstrzygnięcie ma fundamentalne znaczenie dla całego polskiego rynku kapitałowego, szczególnie dla mniejszych emitentów zmagających się z wysokimi kosztami compliance.
| To musisz wiedzieć | |
|---|---|
| Czego dotyczy decyzja UKNF? | Rezygnacja z kar za brak PESEL osób blisko związanych – wystarczy identyfikacja przez LEI, paszport lub adres zamieszkania |
| Ile spółek zyskało na tej zmianie? | 767 spółek publicznych uniknie ryzyka kar do 500 tys. zł, szczególnie skorzystają emitenci z NewConnect |
| Jakie są nowe zasady identyfikacji? | Dopuszczalne alternatywy: numer LEI, dane paszportowe, pełny adres zamieszkania z kodem pocztowym |
Spis treści:
Geneza konfliktu z sankcjami UKNF PESEL – pismo z 14 maja 2025
Departament Infrastruktury i Obrotu Giełdowego UKNF wystosował do wszystkich emitentów papierów wartościowych pismo zawierające bezprecedensowe żądanie. Regulator zażądał przekazania kompletnych list osób blisko związanych obowiązujących od 1 stycznia 2024 roku, wraz ze szczegółową tabelą zawierającą numery PESEL, identyfikatory LEI oraz informacje o obywatelstwie. Termin realizacji został ustalony na zaledwie 10 dni roboczych, co wywołało panikę wśród działów compliance spółek publicznych.
Wzór tabeli załączony do pisma sugerował obligatoryjny charakter podawania numerów PESEL dla wszystkich kategorii osób blisko związanych. Oznaczało to konieczność gromadzenia danych o małżonkach, dzieciach na utrzymaniu oraz innych osobach powiązanych z członkami zarządów i rad nadzorczych. Dla wielu emitentów, szczególnie tych z międzynarodowymi powiązaniami kapitałowymi, wymaganie to okazało się praktycznie niewykonalne w tak krótkim terminie.
Dylematy prawne spółek między RODO a wymogami nadzorczymi
Spółki publiczne znalazły się w patowej sytuacji prawnej. Z jednej strony groziły im sankcje UKNF za niewykonanie żądania regulatora, z drugiej – ryzyko naruszenia RODO poprzez zbieranie numerów PESEL bez wyraźnej podstawy prawnej. Rozporządzenie o ochronie danych osobowych wymaga minimalizacji przetwarzanych danych oraz posiadania konkretnej podstawy prawnej do ich gromadzenia. Numery PESEL, jako szczególnie wrażliwe identyfikatory, wymagają szczególnej ochrony.
Według szacunków branżowych, około 68 procent spółek z rynku NewConnect nie posiadało kompletnych numerów PESEL dla wszystkich osób blisko związanych. Główną przyczyną były zagraniczne powiązania rodzinne członków zarządów oraz brak obowiązku posiadania polskich dokumentów tożsamości przez osoby niebędące obywatelami Polski. Koszty pozyskania brakujących danych identyfikacyjnych szacowano na 12-15 tysięcy złotych rocznie dla przeciętnego małego emitenta.
Podstawy prawne sporu – rozporządzenie MAR w praktyce polskiej
Rozporządzenie Parlamentu Europejskiego i Rady nr 596/2014 w sprawie nadużyć na rynku wprowadza obowiązek identyfikacji osób blisko związanych, jednak nie precyzuje konkretnych metod tej identyfikacji. Artykuł 19 MAR wymaga od emitentów prowadzenia aktualnych list osób, których transakcje podlegają obowiązkowi ujawnienia, ale pozostawia swobodę w wyborze sposobów weryfikacji tożsamości. W polskiej praktyce wykształciło się nieformalne przekonanie o konieczności stosowania numerów PESEL, które nie znajdowało bezpośredniego oparcia w tekście rozporządzenia.
Definicja osób blisko związanych obejmuje szerokie spektrum podmiotów. Zaliczają się do nich małżonkowie i partnerzy życiowi, dzieci pozostające na utrzymaniu, krewni zamieszkujący wspólnie przez co najmniej rok, a także osoby prawne kontrolowane przez członków organów spółki. Ta szeroka definicja powoduje, że liczba osób podlegających identyfikacji może być znacząca, szczególnie w przypadku rodzin wielopokoleniowych lub złożonych struktur biznesowych.
Kolizja z zasadami ochrony danych osobowych
Konflikt między wymogami identyfikacji a ochroną danych osobowych nasila się w kontekście zasady minimalizacji danych. RODO w artykule 5 ustala, że dane osobowe m
