OKI a ochrona danych: UODO wskazuje braki w definicjach, celach i zakresie przetwarzania danych

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zaopiniował projekt ustawy o osobistych kontach inwestycyjnych (OKI) i zgłosił szereg uwag dotyczących ochrony danych. W ocenie organu nadzorczego część rozwiązań nie jest wystarczająco precyzyjna, co może utrudnić stosowanie zasad RODO, w tym minimalizacji danych i przejrzystości przetwarzania. UODO wskazuje też na ryzyko zbyt szerokiego katalogu informacji gromadzonych o inwestującym.

Jednym z kluczowych problemów jest brak precyzyjnej definicji „rejestru uczestników”. Projekt ustawy odsyła do przepisów o funduszach inwestycyjnych, ale – jak podkreśla Prezes UODO – także tam definicja „rejestru uczestników funduszu inwestycyjnego” nie zawiera jasnego katalogu danych identyfikujących uczestnika. Zdaniem urzędu takie rozwiązanie utrudnia ocenę, jakie dane są rzeczywiście niezbędne, co stoi w sprzeczności z zasadą minimalizacji danych z art. 5 ust. 1 lit. c RODO.

Wątpliwości dotyczą również przepisów o umowie o prowadzenie OKI. Choć w jednym miejscu projekt wymienia zamknięty katalog „danych identyfikacyjnych”, jednocześnie wskazuje otwarty katalog informacji, co może rozszerzać zakres przetwarzanych danych osobowych. Prezes UODO uważa, że regulacje powinny zostać doprecyzowane tak, aby jednoznacznie określały, jakie dane mogą być zbierane i w jakim celu, zgodnie z zasadami z art. 5 RODO: legalności, rzetelności, przejrzystości, ograniczenia celu i minimalizacji.

Urząd zwrócił też uwagę na kwestię numerów identyfikacyjnych. Projektodawca – jak wskazano w opinii – nie uzasadnił niezbędności pozyskiwania numeru PESEL w sytuacji, gdy jednocześnie przetwarzany miałby być numer NIP osoby fizycznej. UODO sygnalizuje, że przy gromadzeniu danych identyfikujących klienta konieczne jest wykazanie, dlaczego dany identyfikator jest potrzebny.

Kolejny punkt sporny dotyczy weryfikacji wiedzy klienta w zakresie inwestowania. Projekt zakłada, że ma się to odbywać przy zawieraniu umowy o OKI, ale nie precyzuje, w jaki sposób weryfikacja miałaby być przeprowadzana ani czy jej wyniki będą utrwalane. Prezes UODO zwraca przy tym uwagę na przepisy unijne dotyczące ocen adekwatności, które wskazują na prowadzenie rejestrów takich ocen, co ma znaczenie dla zakresu i sposobu przetwarzania danych.

UODO podnosi także problem niejednoznaczności w opisie danych osobowych w samym projekcie. W jednym miejscu mowa jest o „pierwszym imieniu i nazwisku”, a w innym szerzej o „imieniu i nazwisku”, co może prowadzić do rozbieżnej interpretacji obowiązków instytucji. Zdaniem organu nadzorczego takie elementy wymagają ujednolicenia, by ograniczyć ryzyko zbierania danych „na zapas”.

W opinii pojawiają się również pytania o zasady przesyłania przez instytucje finansowe informacji o prowadzeniu OKI drogą elektroniczną. Prezes UODO wskazuje, że projektodawca nie doprecyzował, jakie przepisy miałyby zastosowanie do tego procesu ani jaki dokładnie zakres danych miałby być przekazywany. Podobne niejasności dotyczą udostępniania zeznania podatkowego w e-urzędzie skarbowym, gdzie również nie określono, jak szeroki byłby zakres danych.

UODO zwraca uwagę, że jeśli w ramach informacji o prowadzeniu OKI miałyby być przetwarzane dane szczególnych kategorii lub dane dotyczące wyroków skazujących, konieczna jest wyraźna podstawa ustawowa. Urząd podkreśla, że w takim przypadku podstawa przetwarzania powinna wynikać z przepisów rangi ustawy, zgodnie z wymogami Konstytucji RP. To ma kluczowe znaczenie dla legalności i proporcjonalności przetwarzania.

W opinii pojawia się też wątek automatycznego udostępniania i wypełniania dokumentów w Krajowej Administracji Skarbowej, które projekt miałby rozszerzać. Ponieważ mowa o zautomatyzowanym przetwarzaniu danych, UODO wskazuje na prawdopodobieństwo wykorzystania systemów sztucznej inteligencji. W związku z tym projektodawca – poza RODO – powinien brać pod uwagę także Akt w sprawie sztucznej inteligencji, w tym wymogi dotyczące oceny skutków systemów „AI wysokiego ryzyka” dla praw podstawowych.

Prezes UODO podkreśla także rolę administratorów danych, czyli podmiotów, które będą stosować projektowane przepisy w praktyce. To na nich spoczywa obowiązek zapewnienia osobom, których dane dotyczą, odpowiednich informacji, tak aby przetwarzanie było przejrzyste. Urząd wskazuje, że szczególnie ważna jest kwestia dostępu do danych i ich obsługi w systemach opartych o AI, a te zagadnienia powinny być przeanalizowane w ramach testu prywatności i oceny skutków dla ochrony danych, których – jak zaznacza UODO – projektodawca nie przeprowadził.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...

Wojanki i Palionki pod lupą UOKiK. Zarzuty dla youtuberów

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowania przeciwko...
Coś dla Ciebie

Wybrane kategorie