Ustawa o kryptoaktywach zadziała lepiej, jeśli będą do niej wpisane zasady przetwarzania danych osobowych uczestników tego rynku. Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zgłosił uwagi do projektu, nad którym pracuje rząd.
Projektowana ustawa ma wdrażać postanowienia rozporządzenia 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów, wprowadzać przepisy dotyczące ochrony klientów i inwestorów oraz integralności rynku kryptoaktywów oraz zapewnić stosowanie rozporządzenia 2023/1113 Dzięki tym przepisom nadzór nad rynkiem kryptoaktywów ma być bardziej skuteczny, a ochrona klientów i inwestorów – lepsza. Urząd Ochrony Danych Oosobowych przeanalizował wersję projektu ustawy o kryptowalutach z 22 lutego br. i wskazał na kwestie wymagające doprecyzowania w zakresie ochrony danych osobowych uczestników tego rynku.
Co prawda rozporządzenie unijne o kryptoaktywach odwołuje się wprost do postanowień RODO (rozporządzenia 2016/679). Prezes UODO wskazuje jednak, że warto byłoby rozważyć wprowadzenie w przepisach krajowych wymogów kształtujących choćby kierunkowy mechanizm zarządzania ochroną danych osobowych. Pozwoliłoby to na uniknięcie wątpliwości interpretacyjnych w ocenie ról i obowiązków w zakresie przetwarzania danych osobowych poszczególnych podmiotów. Chodzi np. o obowiązek przeprowadzenia oceny skutków dla ochrony danych zgodnie z art. 35 RODO lub wdrożenia odpowiednich środków technicznych i organizacyjnych na podstawie art. 25 RODO, w szczególności biorąc pod uwagę dużą skalę przetwarzanych danych z użyciem nowych technologii takich jak technologia rozproszonego rejestru.
PUODO wskazuje też na konieczność doprecyzowania:
- art. 3 projektu, gdzie ustawodawca dopuszcza możliwość sporządzania dokumentów dotyczących obrotu kryptoaktywami w postaci elektronicznej i stwierdza, że szczegóły zostaną określone rozporządzeniu. Te przepisy wykonawcze powinny uwzględniać także ochronę danych osobowych – zauważa PUODO.
- art. 9 projektu, gdzie mowa o zakresie informacji stanowiących tajemnicę zawodową. Powinna się tam znaleźć osobna kategoria „dane osobowe”. Takie zredagowanie przepisu zapewniłoby poufność szerszemu zakresowi danych przetwarzanych przez podmioty zobowiązane do zachowania tajemnicy.
- art. 23 projektu, gdzie mowa o zasadach współpracy i wymiany informacji z organami nadzoru nad rynkiem kryproaktywów z państw innych niż państwa członkowskie Unii Europejskiej”. Tu PUODO zwraca uwagę na niejednoznaczność celu, jaki chciał osiągnąć projektodawca i proponuje rozważenie przepisów rozdziału V RODO.
