Prezes UODO zgłosił uwagi do projektu ustawy o osobistych kontach inwestycyjnych

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zaopiniował projekt ustawy o osobistych kontach inwestycyjnych i zgłosił uwagi do planowanych rozwiązań w obszarze ochrony danych osobowych.

Jak zaznacza Prezes UODO, projektowana ustawa nie zawiera precyzyjnej definicji „rejestru uczestników”, która dookreślałaby katalog danych osobowych identyfikujących uczestnika funduszu inwestycyjnego, zgodnie z zasadą minimalizacji danych zawartą w art. 5 ust. 1 lit c RODO. Proponowana definicja odsyła jedynie do ustawy z 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, w której określono „rejestr uczestników funduszu inwestycyjnego”. Jednak definicja „rejestru uczestników funduszu inwestycyjnego” również nie zawiera precyzyjnego katalogu danych identyfikujących uczestnika funduszu.

Wątpliwości organu nadzorczego budzą też przepisy projektowanej ustawy dotyczące umowy o prowadzenie osobistych kont inwestycyjnych (OKI), bowiem pomimo wyróżnienia w jednym miejscu zamkniętego katalogu „danych identyfikacyjnych” wskazuje się otwarty katalog informacji, a tym samym szeroki zakres danych osobowych identyfikujących inwestującego. W opinii Prezesa Urzędu przepis ujęty w projektowanej ustawie powinien zostać doprecyzowany poprzez dookreślenie katalogu danych w celu zapewnienia stosowania zasad wynikających z art. 5 RODO (zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu oraz minimalizacja danych).

Ponadto projektodawca nie uzasadnił niezbędności pozyskiwania numeru PESEL w sytuacji, gdy przetwarzany jest równocześnie numer NIP osoby fizycznej.

Poza tym projektodawca – przewidując weryfikowanie przez instytucję finansową wiedzy klienta w zakresie inwestowania na rynku finansowym – zaznaczył jedynie, że ma to następować w chwili zawierania umowy o prowadzenie OKI. Nie określił jednak, w jaki sposób ma to następować oraz czy dane takie będą odnotowywane. Jest to tym bardziej istotne, że art. 56 Rozporządzenia delegowanego 2017/565 uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne wskazuje, że prowadzą one rejestry dotyczące dokonanych ocen adekwatności.

Wątpliwości organu nadzorczego budzi również zakres danych identyfikujących inwestującego, ponieważ w jednym miejscu w projekcie jest mowa zarówno o „pierwszym imieniu i nazwisku”,  jak i szeroko o „imieniu i nazwisku”.

Prezes UODO zwrócił także uwagę, że projektodawca nie sprecyzował, jakie przepisy będą mieć zastosowane w odniesieniu do projektowanego sporządzania przez instytucje finansowe informacji o prowadzeniu OKI i przesyłania tych informacji za pomocą środków elektronicznych. Podobnie nie jest jasne o jaki zakres danych miałoby chodzić przy udostępnianiu zeznania podatkowego w e-urzędzie skarbowym.

Prezes UODO podkreśla również, że jeśli w katalogu informacji o prowadzeniu OKI miałyby być przetwarzane dane osobowe szczególnych kategorii lub dotyczące wyroków skazujących – wówczas podstawa do ich przetwarzania powinna być ustanowiona, zgodnie z Konstytucją RP, mocą przepisów rangi ustawy.

Organ nadzorczy zauważa także, iż projekt miałby wprowadzać zmiany w ustawie z 16 listopada 2016 r. o Krajowej Administracji Skarbowej w zakresie automatycznego udostępniania i wypełniania dokumentów. Projektowane przepisy zakładają zautomatyzowane przetwarzanie danych, zatem zachodzi prawdopodobieństwo,że mogą być również wykorzystywane systemy sztucznej inteligencji. W związku z tym projektodawca winien wziąć od uwagę nie tylko przepisy RODO, lecz i przepisy Aktu w sprawie sztucznej inteligencji, które nakazują organom publicznym m.in. dokonanie oceny skutków systemów „AI wysokiego ryzyka” dla praw podstawowych.

Należy też, jak zauważa Prezes Urzędu, zwrócić szczególną uwagę na odpowiedzialność adresatów projektowanych norm (administratorów) – to oni muszą m.in. zapewnić osobom, których dane dotyczą, dostateczne informacje, aby przetwarzanie było przejrzyste. Co więcej, sprawa dostępności do danych osobowych osób, których dane dotyczą w systemach sztucznej inteligencji, wydaje się kluczowa i należy ją rozpatrywać w kontekście narzędzi, którymi winien dysponować adresat normy (administrator). Zdaniem organu nadzorczego uwzględnienie wskazanych problemów powinno nastąpić w teście prywatności, obejmującym ocenę skutków dla ochrony danych, którego jednak projektodawca nie wykonał.

DPNT.401.502.2025