Brak precyzji w definicjach – pole do nadużyć
Jednym z kluczowych zarzutów jest nieprecyzyjna definicja „rejestru uczestników" w projektowanej ustawie. Przepisy nie określają zamkniętego katalogu danych osobowych identyfikujących uczestnika funduszu inwestycyjnego, co stoi w sprzeczności z zasadą minimalizacji danych zawartą w art. 5 ust. 1 lit. c RODO. Projektodawca odsyła jedynie do ustawy o funduszach inwestycyjnych, która również nie zawiera precyzyjnego wykazu wymaganych informacji.
Problem pogłębia się przy analizie przepisów dotyczących umowy o prowadzenie OKI. Z jednej strony ustawa wyróżnia zamknięty katalog „danych identyfikacyjnych", z drugiej – wskazuje otwarty katalog informacji, co w praktyce oznacza możliwość żądania szerokiego zakresu danych osobowych od inwestujących.
PESEL i NIP jednocześnie? UODO pyta: po co?
Szczególne wątpliwości budzi kwestia pozyskiwania numeru PESEL przy jednoczesnym przetwarzaniu NIP. Projektodawca nie uzasadnił niezbędności gromadzenia obu tych identyfikatorów równocześnie. Zgodnie z zasadą minimalizacji danych, administrator powinien przetwarzać wyłącznie te informacje, które są rzeczywiście niezbędne do osiągnięcia celu – w tym przypadku identyfikacji inwestora.
Co więcej, Prezes UODO zwrócił uwagę na niespójność w samym projekcie – w jednym miejscu mowa jest o „pierwszym imieniu i nazwisku", w innym zaś szeroko o „imieniu i nazwisku". Takie rozbieżności mogą prowadzić do problemów interpretacyjnych i w konsekwencji – do nadmiernego gromadzenia danych.
Weryfikacja wiedzy inwestycyjnej bez jasnych zasad
Projekt ustawy przewiduje, że instytucje finansowe będą weryfikować wiedzę klienta w zakresie inwestowania na rynku finansowym. Problem polega na tym, że przepisy nie określają, w jaki sposób ma to następować ani czy dane z takiej weryfikacji będą odnotowywane i przechowywane.
Jest to o tyle istotne, że rozporządzenie delegowane 2017/565 uzupełniające dyrektywę MiFID II wyraźnie wskazuje, że firmy inwestycyjne prowadzą rejestry dotyczących dokonanych ocen adekwatności. Brak krajowych regulacji w tym zakresie może prowadzić do rozbieżnych praktyk i potencjalnych naruszeń praw osób, których dane dotyczą.
Sztuczna inteligencja w tle – nowe wyzwania regulacyjne
Projekt ustawy zakłada wprowadzenie zmian w ustawie o Krajowej Administracji Skarbowej dotyczących automatycznego udostępniania i wypełniania dokumentów. Prezes UODO słusznie zauważa, że zautomatyzowane przetwarzanie danych może oznaczać wykorzystanie systemów sztucznej inteligencji w administracji publicznej.
W związku z tym projektodawca powinien uwzględnić nie tylko przepisy RODO, ale również wymogi AI Act – unijnego rozporządzenia w sprawie sztucznej inteligencji. Akt ten nakłada na organy publiczne obowiązek przeprowadzenia oceny skutków systemów „AI wysokiego ryzyka" dla praw podstawowych przed ich wdrożeniem.
Dane wrażliwe wymagają szczególnej podstawy prawnej
Jeśli w katalogu informacji o prowadzeniu OKI miałyby znaleźć się dane osobowe szczególnych kategorii (np. dotyczące zdrowia, przekonań politycznych) lub informacje o wyrokach skazujących, konieczne jest ustanowienie odpowiedniej podstawy prawnej. Zgodnie z Konstytucją RP oraz RODO, takie przetwarzanie wymaga wyraźnego upoważnienia w przepisach rangi ustawowej.
Brak testu prywatności – kardynalne zaniedbanie
Prezes UODO podkreśla, że projektodawca nie przeprowadził tzw. testu prywatności, obejmującego ocenę skutków dla ochrony danych (DPIA). Jest to szczególnie istotne w kontekście planowanego wykorzystania zautomatyzowanych systemów przetwarzania danych oraz potencjalnego zastosowania AI.
Test prywatności pozwoliłby zidentyfikować ryzyka związane z przetwarzaniem danych osobowych jeszcze na etapie projektowania przepisów i wprowadzić odpowiednie zabezpieczenia. Jego brak świadczy o niedostatecznym uwzględnieniu wymogów ochrony danych w procesie legislacyjnym.
Co to oznacza dla przyszłych inwestorów?
Uwagi Prezesa UODO mają istotne znaczenie dla wszystkich, którzy planują skorzystać z osobistych kont inwestycyjnych po wejściu ustawy w życie. Nieprecyzyjne przepisy mogą oznaczać, że instytucje finansowe będą żądać więcej danych niż to rzeczywiście niezbędne.
Warto pamiętać, że nawet po uruchomieniu OKI inwestorzy zachowują swoje prawa wynikające z przepisów o ochronie danych osobowych, w tym prawo dostępu do swoich danych, ich sprostowania czy ograniczenia przetwarzania. W przypadku wątpliwości co do zakresu żądanych informacji, warto dopytać instytucję finansową o podstawę prawną i cel przetwarzania konkretnych danych.
Projektodawca ma teraz szansę uwzględnić zgłoszone uwagi i doprecyzować przepisy tak, aby osobiste konta inwestycyjne były nie tylko atrakcyjnym narzędziem oszczędzania, ale również bezpiecznym z punktu widzenia ochrony danych osobowych.
Obserwuj nas w Google Discover
Podobają Ci się nasze treści?
Google Discover
