menu trigger  menu trigger
szczepionka-koronawirus.jpg

Epidemia: RPO o segregacji sanitarnej

Wystąpienie Rzecznika Praw Obywatelskich do premiera.

  • Rozporządzenie rządu przewiduje limity udziału w różnych imprezach i miejscach – do których nie wlicza się osób zaszczepionych;
  • Za niestosowanie się do tych ograniczeń organizatorom grożą kary. Z braku uprawnień do weryfikacji faktu zaszczepienia nie są oni jednak w stanie monitorować dopuszczalnych limitów  ;
  • Szczepienie nie jest jedyną formą zmniejszenia ryzyka rozprzestrzeniania COVID-19 – równoległym rozwiązaniem może być test;
  • Odmowy wpuszczania osób niezaszczepionych  do restauracji czy kina nie są niezgodne z Konstytucją, ale muszą być zapisane w  ustawie – zgodnie z konstytucyjnymi standardami ochrony praw i wolności.

Rzecznik Praw Obywatelskich Marcin Wiącek wystąpił do premiera Mateusza Morawieckiego o podjęcie działań w celu minimalizacji ograniczeń praw i wolności osób niezaszczepionych, niemających aktualnego testu oraz tych, które nie przeszły koronawirusa.

Obywatele są zaniepokojeni

Do Rzecznika Praw Obywatelskich wpływają liczne skargi obywateli zaniepokojonych niepewnością prawną co do dopuszczalności przetwarzania informacji o zaszczepieniu (tzw. paszport covidowy) w celu pełnego udziału w życiu społecznym.

W pandemii, która jest czasem ogólnej niepewności, państwo nie powinno przerzucać radzenia sobie z wyzwaniami i ryzykiem wprowadzania nowych rozwiązań na podmioty prywatne, w tym na przedsiębiorców, instytucje kultury czy organizatorów zgromadzeń publicznych bądź imprez masowych.

Niepewność związana z brakiem państwowych regulacji prawnej w tym zakresie wpływa negatywnie na funkcjonowanie szkół, uczelni wyższych czy placówek ochrony zdrowia. Wybrane rozwiązania prowadzą do niedopuszczalnej prywatyzacji zadań publicznych. Aby temu zapobiec, należy podjąć odpowiednie działania legislacyjne.

Jakie są standardy konstytucyjne?

Konstytucyjna regulacja ochrony prywatności informacyjnej wprowadza obowiązek regulacji przez państwo zasad przetwarzania danych o jednostkach.  Art. 47 Konstytucji RP zawiera ogólne gwarancje ochrony prywatności, a jej art. 51 odnosi się bezpośrednio do aspektów ochrony prywatności związanych z przetwarzaniem informacji o jednostce. Wymogi dopuszczalnych ograniczeń w zakresie korzystania z konstytucyjnych wolności i praw określa art. 31 ust. 3 Konstytucji.

Obecne różnicowanie sytuacji osób niezaszczepionych i zaszczepionych dokonuje się na podstawie rozporządzenia Rady Ministrów z dn. 06.05.2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii – wprowadza ono limity osób przy prowadzeniu określonych rodzajów działalności. Zgodnie z przyjętą w rozporządzeniu konstrukcją, do limitu osób nie wlicza się osób zaszczepionych.

Jednocześnie jednak prawodawca nie stworzył tu mechanizmów weryfikacji faktu zaszczepienia. Podmiotom zobowiązanym przepisami o limitach osób grożą kary administracyjne w razie niestosowania się do nich. Nie są zaś w stanie efektywnie monitorować liczby osób, których dotyczy limit – z braku uprawnień do kontroli statusu szczepienia osób przebywających w lokalu.

Według Prezesa Urzędu Ochrony Danych Osobowych przepisy rozporządzenia z dn. 06.05.2021 r. nie uprawniają podmiotów zobowiązanych do przestrzegania limitu osób do żądania od nich informacji o zaszczepieniu przeciwko COVID-19. Ewentualne okazywanie dowodów zaszczepienia może się odbywać z inicjatywy osoby zainteresowanej skorzystaniem z danej usługi.

Jednocześnie Prezes UODO zaznaczył, że informacje o zaszczepieniu są objęte szczególną ochroną na podstawie art. 9 RODO. A dane dotyczące zdrowia były uważane w polskim systemie prawnym za szczególnie wrażliwe już przed wejściem w życie RODO.

Istotną wskazówką co do standardów w dziedzinie szczepień są wypowiedzi Europejskiego Trybunału Praw Człowieka interpretującego art. 8 Europejskiej Konwencji Praw Człowieka w wyroku Wielkiej Izby ETPC z dn. 08.04.2021 r. (Vavřička i inni), który dotyczył obowiązkowych szczepień dzieci. ETPC wskazał, że obowiązek szczepień wiąże się z wykonaniem przymusowego zabiegu medycznego, który stanowi naruszenie integralności cielesnej, chronionej w ramach gwarancji poszanowania życia prywatnego (art. 8 EKPC).

ETPC stwierdził jednak, że nakaz jest dopuszczalny, ponieważ został odpowiednio wprowadzony prawem krajowym oraz służy legitymowanym celom, które dopuszczają ingerencję w prawo do prywatności. A kwestionowany obowiązek ma na celu ochronę zdrowia i ochronę praw i wolności osób (art. 8 ust. 2 EKPC) poprzez zapobieganie chorobom, które niosą duże zagrożenie dla zdrowia. Obowiązkowe szczepienia służą bowiem zarówno ochronie osoby zaszczepionej, jak i tym, które nie mogą się zaszczepić i polegają na ochronie, jaką niesie odporność populacyjna, osiągana przez wysoki poziom wyszczepienia społeczeństwa.

Co jest ważne przy tworzeniu nowych przepisów

W ocenie RPO podjęcie przez państwo odpowiedniego wysiłku legislacyjnego w tym zakresie jest istotne z kilku perspektyw.

  • Po pierwsze: otwarta debata dotycząca ograniczeń praw osób zaszczepionych oraz niezaszczepionych w związku z pandemią może przyczynić się do budowania zaufania wobec działań państwa. Wyzwania pandemii spowodowały konieczne ingerencje w prawa jednostki. W tej trudnej sytuacji kompleksowa strategia oraz wyjaśnienie obywatelom przyczyn ograniczenia praw jednostki powinny przyczynić się do większej akceptacji niezbędnych rozwiązań.
  • Po drugie: właściwą formą regulacji powinna być ustawa. Rzecznik wielokrotnie zwracał uwagę na konstytucyjny obowiązek wprowadzania ograniczeń praw i wolności w ustawie, co wynika jednoznacznie z art. 31 ust. 3 Konstytucji. Proces ustawodawczy gwarantuje publiczną debatę nad projektami, sprzyja jawności i pozwala zainteresowanym podmiotom wyrazić stanowisko środkami dostępnymi dla społeczeństwa obywatelskiego.
  • Po trzecie: część krajów europejskich wprowadziła już różne rozwiązania prewencyjne, mające chronić obywateli przed pandemią, które mogą stanowić pewną wskazówkę. Inicjując proces legislacyjny dotyczący dopuszczalnych ograniczeń praw i wolności, należy rozważyć wyłączenie spod nich zarówno osób zaszczepionych, jak i tych które uzyskały negatywny wynik testu na COVID-19, a także osób które mają aktualny pozytywny wynik testu lub dowód przebycia choroby. Oczywiście takie wyłączenie musi poprzedzić analiza ryzyka oparta o najnowsze badania naukowe dotyczące rozprzestrzeniania się poszczególnych wariantów SARS-CoV-2.
  • Po czwarte: ograniczenia powinny być wprowadzane w celu ochrony wskazanych konstytucyjnie wartości. Zgodnie z art. 31 ust. 3 Konstytucji jest to: bezpieczeństwo, porządek publiczny, ochrona środowiska, zdrowia i moralności publicznej oraz wolności i praw innych osób. W tym przypadku będzie to zdrowie publiczne oraz prawa i wolności innych osób. Przyjęte rozwiązania muszą też spełniać konstytucyjny test proporcjonalności.
  • Po piąte: w przepisach powinny być uwzględnione prawa osób, które nie mogą się zaszczepić ze względów medycznych. W praktyce problem ten może się łączyć dodatkowo z zakazaną dyskryminacją ze względu na wiek. Wraz z nim bowiem rośnie prawdopodobieństwo występowania takich względów medycznych. Istotne jest, aby osoby nie mogące się zaszczepić z powodów medycznych nie były dyskryminowane w dostępie do życia społecznego ze względu na stan zdrowia. Przykładowym rozwiązaniem, jakie może ograniczyć ryzyko dyskryminacji, jest refundacja kosztów testów na COVID-19.
  • Po szóste: opierając się na wnoszonych skargach, RPO zdiagnozował niektóre istotne obszary wymagające interwencji ustawodawcy. Jedną z ostatnich interwencji Rzecznika spowodowało uzależnianie od zaszczepienia się przez niektóre uczelnie możliwości  nauki lub zakwaterowania w akademikach, co stanowi poważne ograniczenie praw jednostek. Problem dotyczy też podmiotów zewnętrznych (gdzie są realizowane praktyki i zajęcia kliniczne), które wymagają od studentów zaszczepienia się przeciw COVID-19.

Dlatego RPO wystąpił do MEiN o podjęcie inicjatywy ustawodawczej mającej na celu zapewnienie uczelniom podstawy prawnej dla działań prewencyjnych  w czasie pandemii. Resort  odpowiedział, że aktualnie uczelnie nie mają podstaw weryfikacji, czy studenci i osoby zamieszkujące domy studenckie są zaszczepieni. Nie  ma też możliwości ograniczeń udziału w zajęciach dla członków społeczności akademickiej, którzy nie zaszczepili się w wyniku własnej decyzji.

Pracodawca sprawdzi szczepienie pracownika

Zmiany zostały już zakomunikowane w prawie pracy. Zgodnie z doniesieniami prasowymi przygotowywany przez Ministra Zdrowia projekt daje pracodawcom narzędzie do sprawdzania zaszczepienia pracownika i ewentualnego przesunięcia go bądź na inne stanowisko pracy w przypadku niezaszczepienia, bądź też skierowania na urlop bezpłatny. Aby potwierdzić zaszczepienie, pracownik będzie musiał okazać pracodawcy certyfikat kowidowy.

Projekt ma także umożliwiać kierownikowi podmiotu leczniczego wprowadzenie obowiązku szczepienia na terenie zakładu. RPO czeka na publikację projektu ustawy  w celu oceny proporcjonalności wprowadzonych rozwiązań, które ingerują w autonomię informacyjną jednostki.

Zaniepokojeni są m.in. rodzice uczniów i uczennic, których dostęp do edukacji stacjonarnej miałby zależeć od przyjęcia szczepionki. W nowym roku szkolnym pojawił się przykład szkoły, w której po wykryciu zakażenia koronawirusem dyrektor zorganizował nauczanie zdalne dla osób, które nie były zaszczepione. Pozostała część klasy uczyła się stacjonarnie. Choć takie rozwiązanie może w przyszłości być uzasadnione, to w obecnym stanie prawnym brakuje podstaw do tak daleko idącego zróżnicowania sytuacji uczniów. Protesty rodziców budziły także zaproszenia na wydarzenia szkolne jedynie dla osób zaszczepionych.

Rada Ministrów określiła limity osób mogących uczestniczyć w różnych wydarzeniach. Do liczby osób mogących uczestniczyć w imprezie i spotkaniu do 25 osób (w lokalu lub budynku), a także w imprezie i spotkaniu do 150 osób (na otwartym powietrzu albo w lokalu lub w wydzielonej strefie gastronomicznej sali) nie wlicza się m.in. osób zaszczepionych. Podobnie w przypadku organizacji wydarzeń muzycznych limit osób niezaszczepionych wynosi maksymalnie 250. Pozostałe muszą okazać zaświadczenie o pełnym szczepieniu.

Limity – nie do sprawdzenia

Do Rzecznika stale wpływają skargi dotyczące organizacji imprez masowych wyłącznie dla osób zaszczepionych. Wydarzenia te najczęściej mają charakter prywatny (organizowane przez osoby fizyczne lub prawne). Przedsiębiorcy organizujący np. koncerty ograniczają wstęp na wydarzenie jedynie dla osób zaszczepionych w związku z łatwością takiego rozwiązania.

W praktyce oznacza to jednak, że osoby, które nie mogą poddać się szczepieniu, mają znacząco ograniczony dostęp do wydarzeń kulturalnych. A ustawodawca nie przyznał tym podmiotom prawa żądania danych o szczepieniach.

Zdaniem Rzecznika organizacja wydarzeń przez podmioty publiczne (jak np. koncerty organizowane przez urzędy miast) jedynie dla osób zaszczepionych może stanowić nieproporcjonalne naruszenie prawa do dóbr kultury wynikającego z art. 73 Konstytucji.

Szczepienie nie jest jedyną formą zaświadczenia gwarantującego zmniejszenie ryzyka rozprzestrzeniania koronawirusa – równoległym rozwiązaniem mógłby być odpowiedni test. Rozwiązania ograniczające prawa osób niezaszczepionych jak np. dopuszczające odmowę wpuszczenia ich do restauracji czy kina, nie są niezgodne z Konstytucją, ale muszą być wprowadzane zgodnie z konstytucyjnymi standardami ochrony praw i wolności, a zatem na poziomie ustawowym.

Takie same wątpliwości musi budzić ograniczenie wolności zgromadzeń – aby zobowiązać organizatorów do sprawdzania, czy każdy uczestnik wydarzenia powyżej 150. osoby ma zaświadczenie o zaszczepieniu. Rozwiązanie takie znacząco ingeruje w jedną z najważniejszych wolności politycznych. W praktyce bowiem uczestnicy zgromadzenia publicznego zmieniają się płynnie i docierają do miejsca zgromadzenia w trakcie jego trwania. Konieczność okazania zaświadczenia uniemożliwia bowiem udział w nim w sposób anonimowy. Nierozwiązanym problemem pozostaje również kwestia badania uczestników zgromadzeń spontanicznych, które nie zawsze mają ustanowionego organizatora.

RPO prosi zatem premiera o podjęcie przez Radę Ministrów inicjatywy ustawodawczej, zmierzającej do minimalizacji wprowadzanych prawem ograniczeń praw i wolności osób niezaszczepionych, nieposiadających aktualnego testu oraz które nie przeszłych COVID-19. Biuro RPO jest gotowe służyć wiedzą ekspercką w trakcie ewentualnych konsultacji.

Źródło: Rzecznik Praw Obywatelskich

oprac. \m/ \mos/

CZYTAJ DALEJ
uodo-3.jpg

EROD żąda od irlandzkiego organu nadzorczego zmiany decyzji w sprawie WhatsApp

Europejska Rada Ochrony Danych (EROD) żąda od irlandzkiego organu nadzorczego zmiany decyzji w sprawie WhatsApp. Rada chce wyjaśnień dotyczących przejrzystości oraz obliczania wysokość kary pieniężnej w związku z wielokrotnymi naruszeniami.

EROD przyjęła 28 lipca 2021 r. decyzję w sprawie rozstrzygania sporów na podstawie art. 65 RODO. Ta wiążąca decyzja ma na celu rozstrzygnięcie sporu powstałego w wyniku projektu decyzji wydanej przez irlandzki organ nadzorczy jako wiodący organ nadzorczy w odniesieniu do WhatsApp Ireland Ltd. (WhatsApp) oraz późniejszych sprzeciwów wyrażonych przez szereg organów nadzorczych, których sprawa dotyczy. Zgodnie z RODO wiążąca decyzja EROD została obecnie opublikowana, po powiadomieniu spółki o ostatecznej decyzji irlandzkiego organu nadzorczego.

Po dokonaniu oceny EROD wyraziła opinię, że irlandzki organ nadzorczy powinien zmienić swój projekt decyzji w odniesieniu do naruszeń zasady przejrzystości, obliczania kary pieniężnej oraz okresu realizacji nakazu przestrzegania przepisów.

Jeśli chodzi o zasadę przejrzystości, w projekcie decyzji irlandzkiego organu już stwierdzono poważne naruszenie art. 12, 13 i 14 RODO. EROD zidentyfikowała dodatkowe braki w dostarczonych informacjach, które wpływają na zdolność użytkowników do zrozumienia, jakie prawnie uzasadnione interesy są realizowane. W związku z tym EROD zwróciła się do irlandzkiego organu nadzorczego o uwzględnienie w swojej decyzji stwierdzenia naruszenia art. 13 ust. 1 lit. d) RODO.

Ponadto EROD wyjaśniła, że doszło do naruszenia zasady przejrzystości zapisanej w art. 5 ust. 1 lit. a) RODO, chociaż podkreślono także, że nie każde naruszenie art. 12, 13 lub 14 RODO musi pociągać za sobą naruszenie wspomnianej zasady. art. 5 ust. 1 lit. a) RODO.

W odniesieniu do gromadzenia przez WhatsApp danych osób niebędących użytkownikami –gdy użytkownicy decydują się na korzystanie z funkcji kontaktu – EROD stwierdziła, że w omawianym przypadku procedura stosowana przez WhatsApp nie prowadzi do anonimizacji zgromadzonych danych osobowych.

W odniesieniu do nałożonej kary pieniężnej i jej obliczenia EROD zdecydowała, że obrót przedsiębiorstwa nie jest istotny wyłącznie dla określenia maksymalnej wysokości kary pieniężnej zgodnie z art. 83 ust. 4–6 RODO. Może być on również uwzględniony przy obliczaniu samej kary pieniężnej, w stosownych przypadkach, aby zapewnić jej skuteczność, proporcjonalność i odstraszający charakter zgodnie z art. 83 ust. 1 RODO. W tym przypadku EROD stwierdziła, że skonsolidowany obrót spółki dominującej (Facebook Inc.) należy uwzględnić przy obliczaniu obrotu.

Ponadto EROD po raz pierwszy przedstawiła wyjaśnienie dotyczące interpretacji art. 83 ust. 3 RODO. W przypadku wielu naruszeń dotyczących tych samych lub powiązanych operacji przetwarzania danych przy obliczaniu wysokości kary pieniężnej należy wziąć pod uwagę wszystkie naruszenia. Dzieje się tak niezależnie od spoczywającego na organach nadzorczych obowiązku uwzględniania proporcjonalności kary pieniężnej oraz przestrzegania maksymalnej wysokości kary pieniężnej określonej w RODO.

Projekt decyzji irlandzkiego organu nadzorczego zawierał ponadto nakaz dostosowania operacji przetwarzania do wymogów w terminie sześciu miesięcy. EROD stwierdziła, że najważniejsze jest zapewnienie zgodności z wymogami w zakresie przejrzystości w możliwie najkrótszym czasie. W związku z tym irlandzki organ nadzorczy został poproszony o zmianę sześciomiesięcznego terminu na dostosowanie się do wymogów na okres trzech miesięcy.

Wiążąca decyzja została skierowana do organów nadzorczych, których sprawa dotyczy, a irlandzki organ nadzorczy jako organ wiodący przyjął swoją krajową decyzję na podstawie decyzji EROD. Decyzja krajowa, wraz z załączoną do niej decyzją EROD, została doręczona WhatsApp.

źródło: UODO

CZYTAJ DALEJ

UODO: Nośniki z danymi osobowymi trzeba zabezpieczać

Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10  tys. zł.

Decyzja o nałożeniu kary związana jest ze zgłoszeniem przez Prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.

Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.

W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-lerningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.

Jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.

Warto dodać, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział. Ponadto w tej sprawie, administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Stosowane przez Prezesa Sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

Należy wskazać, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.

Ustalając wysokość administracyjnej kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

UODO

CZYTAJ DALEJ
laptop-09-4.jpg

O incydencie naruszenia danych trzeba zawiadomić organ nadzorczy i osoby, których dane dotyczą

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana administracyjną karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, oraz niezawiadomieniu o incydencie osób, których dane dotyczą.

Dodatkowo UODO nakazało Fundacji zawiadomienie osób, których dane dotyczą o zaistniałym naruszeniu w terminie 3 dni od doręczenia decyzji.

Jesienią 2020 r. do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA polegające na utracie danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów. W związku z tym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami wynikającymi z RODO.

UODO zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu. W odpowiedzi na pismo Urząd otrzymał odpowiedź, iż Fundacja tego incydentu nie zgłosiła, a dokonana przez nią analiza naruszenia dała ocenę jego wagi na poziomie niskim. Na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia organu nadzorczego. W toku dalszych czynności ustalono, że naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała następujące kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu. Co ważne w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL. Natomiast należy zaznaczyć, że  szczególne kategorie danych osobowych nie były przetwarzane.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych do UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, organ nadzorczy wszczął wobec Fundacji postępowanie administracyjne.

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.

Podkreślić należy, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Możliwe konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób. Nie bez znaczenia jest fakt, iż Fundacja nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem.

Fundacja, podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. W toku postępowania ustalono, iż utracona dokumentacja nie podlegała odtworzeniu. Zatem jeżeli Fundacja nie posiada kopii skradzionych dokumentów, nie jest w stanie ich odtworzyć lub nie przetwarza tych danych przy użyciu systemu informatycznego, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to powinna dokonać zawiadomienia tych osób w sposób ogólny np. poprzez wydanie publicznego komunikatu.

W ocenie UODO, zastosowana administracyjna kara pieniężna spełnia w swoje funkcje, a zatem jest – w tym indywidualnym przypadku – skuteczna, proporcjonalna i odstraszająca.

UODO, decyzja: DKN.5131.11.2020

CZYTAJ DALEJ
uodo-1.jpg

EROD: wytyczne w sprawie pojęć administratora i podmiotu przetwarzającego przyjęte po konsultacjach

Podczas 51. posiedzenia plenarnego, które odbyło się 7 lipca 2021 r., EROD przyjęła, po konsultacjach publicznych, ostateczną wersję Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO.

Dokument składa się z dwóch głównych części: pierwsza ma na celu wyjaśnienie pojęć „administratora”, „współadministratora”, „podmiotu przetwarzającego”, „strony trzeciej”, druga zaś zawiera opis i wyjaśnienie konsekwencji przypisania różnych ról w operacji przetwarzania danych osobowych. Wytyczne zawierają także diagram, który dostarcza dalszych praktycznych wskazówek i ułatwia podmiotom dokładne zrozumienie ww. pojęć.

W wyniku zakończonych w październiku 2020 r. konsultacji publicznych EROD uwzględniła część zgłoszonych uwag i opracowała nową wersję dokumentu, wprowadzając dodatkowe wyjaśnienia w zakresie zagadnień takich jak: rozróżnienie między sposobami przetwarzania kluczowymi/niekluczowymi (tzw. „essential/non-essential means”), wyznaczanie współadministratorów przez prawo, sytuacja w grupie przedsiębiorstw, współadministrowanie a „wspólne korzyści”, usługi w chmurze i brak równowagi sił, koszty audytów, rola podmiotów przetwarzających w odniesieniu do naruszeń ochrony danych.

źródło: UODO

CZYTAJ DALEJ
uodo-1.jpg

GUS od przedsiębiorstw wodociągowo-kanalizacyjnych będzie zbierał mniej danych

GUS, biorąc pod uwagę zastrzeżenia Prezesa UODO, w 2022 roku podczas badań statystycznych nie będzie pozyskiwał takich danych odbiorców usług wodociągowo-kanalizacyjnych, jak: ich imiona i nazwiska, numery PESEL, adresy zamieszkania, adresy do korespondencji, adresy poczty elektronicznej czy numery telefonów.

Deklaracja taka została przedstawiona podczas konferencji uzgodnieniowej dotyczącej projektu rozporządzenia Rady Ministrów w sprawie programu badań statystycznych statystyki publicznej na rok 2022.

Wcześniej Prezes UODO, opiniując projekt tego rozporządzenia, podnosił, że z przepisów ustawy z dnia 7 czerwca 2001 r. o zbiorowym zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków nie wynika, by w ramach umowy o dostarczanie wody lub odprowadzanie ścieków przedsiębiorstwo wodociągowo-kanalizacyjne było uprawnione do pozyskiwania od swoich klientów ich numerów PESEL, numerów telefonów i adresów poczty elektronicznej. Zatem zakładanie przez Główny Urząd Statystyczny (GUS) pozyskiwania takich danych od przedsiębiorstw wodociągowo-kanalizacyjnych na potrzeby programu badań statystycznych statystyki publicznej na rok 2022 rodzi niebezpieczeństwo, iż przedsiębiorstwa te będą żądały podania powyższych danych przy zawieraniu umów z klientami, powołując się przy tym na swój obowiązek przekazania tych danych GUS.

Prezes UODO podkreślił, że nie może dochodzić do sytuacji, w której dla potrzeb realizacji zadań innego administratora (w tym przypadku GUS), administrator udostępniający dane (w tym przypadku przedsiębiorstwo wodociągowo-kanalizacyjne) byłby zobowiązany do gromadzenia danych osobowych nieadekwatnych do realizacji własnych celów i przekazywania ich innemu, nowemu administratorowi.

Dlatego w opinii do wskazanego projektu rozporządzenia Rady Ministrów organ nadzorczy wskazał, że w celu poszanowania zasad zgodności z prawem, minimalizacji danych oraz ograniczenia celu, o których mowa w art. 5 RODO, a także dla poszanowania prawa do ochrony danych osobowych odbiorców usług wodociągowo-kanalizacyjnych, GUS powinien zrezygnować z pozyskiwania powyższych danych od przedsiębiorstw wodociągowo-kanalizacyjnych

Prezes UODO z zadowoleniem przyjął zatem fakt, że w nowej wersji projektu opiniowanego rozporządzenia Rady Ministrów przedstawionego podczas konferencji uzgodnieniowej 28 maja 2021 r. GUS odstąpił od pozyskiwania takich danych odbiorców usług wodociągowo-kanalizacyjnych, jak: ich imiona i nazwiska, numery PESEL, adresy zamieszkania, adresy do korespondencji, adresy poczty elektronicznej czy numery telefonów.

UODO

CZYTAJ DALEJ
uodo-3.jpg

UODO: Zadbaj o swoje dane – one nie mają wakacji

Urząd Ochrony Danych Osobowych przypomina, że okres wakacyjny nie zwalnia nas z dbania o bezpieczeństwo naszych danych osobowych.

Dlatego, aby uniknąć negatywnych konsekwencji nadmiernym i niefrasobliwym udostępnianiem danych, warto zastosować kilka poniższych wskazówek. Pozwolą nam one uchronić się przed potencjalnymi problemami.

  • Nie zostawiaj dokumentu tożsamości w zastaw
  • Nie pozwól robić kserokopii dokumentu tożsamości
  • Zastanów się, kiedy opublikować zdjęcia z wakacji. Nie warto informować, że nie ma cię w domu
  • Rozważ, czy chcesz publikować zdjęcia, nagrania wideo ze wszystkich
  • wakacyjnych przygód swoich dzieci
  • Nie dziel się danymi o swojej lokalizacji w mediach społecznościowych
  • Na urządzeniu korzystaj ze swojego połączenia z Internetem
  • Zainstaluj na swoim urządzeniu oprogramowanie antywirusowe
  • Ostrożnie udostępniaj nieznajomemu swój telefon
  • Zabezpiecz się na wypadek kradzieży lub zgubienia telefonu

UODO

CZYTAJ DALEJ
uodo-3.jpg

Administrator powinien przeprowadzić rzetelną analizę ryzyka

Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. w wysokości prawie 160 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto spółkę ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy.  

UODO o zaistniałej sytuacji poinformowała firma zajmująca się pośrednictwem ubezpieczeniowym. W procesie przetwarzania danych pełniła ona podwójną rolę. Z jednej strony była administratorem danych, a z drugiej podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeniowych. Naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika pośrednictwa finansami do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska,  zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach. Uznał on, że połączenie tych danych w powiązaniu z danymi zawartymi w załączonych dokumentach może spowodować, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych. Podmiot, który dokonał naruszenia, występował jednocześnie w roli podmiotu przetwarzającego towarzystw ubezpieczeniowych, dlatego też zawiadomił je o naruszeniu. Przeprowadzona przez UODO weryfikacja wykazała, że w związku z tym incydentem kilka towarzystw ubezpieczeniowych jako administratorzy danych, dokonało zgłoszenia naruszenia ochrony danych. Zgłoszenia takiego nie odnotowano od Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A..

UODO zwrócił się do spółki o wyjaśnienia. Spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie. Odnotować należy, że oceny dokonano, posługując się formularzem opracowanym przez Spółkę.  Co więcej, przeprowadzona przez Spółkę analiza ryzyka, budziła wątpliwości organu nadzorczego i nie została dokonana w sposób prawidłowy. Błędy, jak również nieprawidłowości w przeprowadzonej ocenie polegające w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania, wskazują, że analiza została przeprowadzona w sposób dowolny i nie została wykorzystana jako narzędzie służące pomocą Spółce w ocenie, czy należy dokonać zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, ale raczej na potrzeby wykazania braku podlegania takim obowiązkom.

Ponadto spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości, z którego wynika, że nie jest w posiadaniu wysłanych dokumentów, oraz że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości. Jednak oświadczenie takie nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, jak i nie wyklucza możliwości wystąpienia negatywnych konsekwencji w przyszłości.

Zdaniem UODO w tej sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To skutkuje powstaniem po stronie spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

W ocenie UODO zastosowana kara pieniężna będzie skuteczna i spełni swoją funkcję.

źródło: UODO

CZYTAJ DALEJ
uodo-1.jpg

Brak odpowiedzi na wezwania organu nadzorczego to też brak współpracy

Urząd Ochrony Danych Osobowych, stwierdzając naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez PNP SA z siedzibą w Warszawie, nałożył na nią administracyjną karę pieniężną w kwocie ponad 22 tys. złotych.

Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań.

UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do ukaranej Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do Spółki wezwań – na adresy ujawnione w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego jako adresy lokalu jej siedziby – nie zostało przez Spółkę odebrane pomimo dwukrotnego ich awizowania. W związku z tym wysłane Spółce wezwania zostały uznane za doręczone.

W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji, UODO nie uzyskało informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez Spółkę odebrane.

W decyzji podkreślone zostało, że odpowiedzialność za nieudzielenie UODO żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że wezwania kierowane przez UODO do Spółki nie zostały ostatecznie przez nią odebrane. Przytaczając orzecznictwo sądów administracyjnych wskazano, że powinnością każdej jednostki organizacyjnej jest zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną.

Obowiązek współpracy z organem nadzorczym jest identyczny dla administratora i podmiotu przetwarzającego. Współpraca ta, obejmuje konieczność przedstawienia organowi nadzorczemu – na jego żądanie – wszelkich posiadanych przez administratora lub podmiot przetwarzający informacji związanych z prowadzonym postępowaniem.

Należy stwierdzić, że Spółka nie odpowiadając na wezwania UODO, naruszyła obowiązek zapewnienia organowi nadzorczemu dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy.

Zdaniem UODO, nałożona administracyjna kara pieniężna zdyscyplinuje Spółkę do prawidłowej współpracy z  organem nadzorczym zarówno w dalszym toku postępowania dotyczącego rozpatrzenia skargi, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Urząd.

UODO

CZYTAJ DALEJ
laptop-09-11.jpg

Interpelacja w sprawie numerów PESEL szefów spółek dostępnych w sieci

Interpelacja nr 21788 do ministra finansów w sprawie ryzyka nieograniczonego dostępu do danych gromadzonych w Centralnym Rejestrze Beneficjentów Rzeczywistych

Szanowny Panie Ministrze,

Rzecznik Praw Obywatelskich, prezes Urzędu Ochrony Danych Osobowych, a także strona społeczna wskazują na pilną potrzebę modyfikacji koncepcji jawności numeru PESEL w rejestrach publicznych w kierunku większej gwarancji ochrony prywatności jednostki przy poszanowaniu zasady jawności w życiu publicznym. Zastrzeżenia w tym względzie budzi zwłaszcza prowadzony przez resort finansów Centralny Rejestr Beneficjentów Rzeczywistych gromadzący i przetwarzający w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu informacje o osobach fizycznych sprawujących kontrolę nad spółkami. Jak wskazuje RPO, osoby w nim ujęte skarżą się, że ich dane osobowe, w tym także numer PESEL, są publicznie dostępne w sieci, co naraża je np. na ryzyko kradzieży tożsamości. Na takie ryzyko, które generować może przewidziana w art. 67 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu jawność rejestru wskazywał jeszcze na etapie legislacyjnym prezes Urzędu Ochrony Danych Osobowych, rekomendując  bezskutecznie – ograniczenie udostępniania danych z niego jedynie do osób posiadających interes prawny lub faktyczny. Rzeczywistość potwierdza teraz obawy RPO i prezesa UODO.

W związku z powyższym stanem faktycznym proszę o odpowiedź na pytanie: Czy i jakie kroki resort zamierza przedsięwziąć w celu ochrony konstytucyjnie gwarantowanego prawa do prywatności osób ujętych w CRBR oraz dostosowania zakresu jego jawności do art. 87 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych?

Poseł Krzysztof Piątkowski

22 marca 2021 r.

Odpowiedź na interpelację nr 21788 w sprawie ryzyka nieograniczonego dostępu do danych gromadzonych w dofina

Szanowna Pani Marszałek,

w odpowiedzi na interpelację nr 21788 skierowaną przez posła na Sejm RP – Pana Krzysztofa Piątkowskiego dotyczącą jawności danych przetwarzanych w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR) przedstawiam następujące stanowisko.

Ustawodawca, przyjmując ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa o p.p.p.f.t.), wdrażającą do krajowego porządku prawnego wymogi wynikające z dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniającej rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylającej dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (dyrektywa 2015/849), zdecydował się na objęcie danych gromadzonych w CRBR zasadą pełnej jawności. Uzasadnienie ustawy o p.p.p.f.t. zawiera dokładne wyjaśnienie motywów, którymi kierował się ustawodawca.

W kontekście objęcia danych gromadzonych w CRBR zasadą pełnej jawności ustawodawca wziął pod uwagę uzasadnienie przedłożenia wniosku w sprawie dyrektywy 2018/843, które oprócz zwiększenia efektywności środków podejmowanych w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, wskazuje również na konieczność zapewnienia większej przejrzystości transakcji finansowych, czemu służyć ma przede wszystkim zagwarantowanie odpowiedniego poziomu dostępu do informacji dotyczących beneficjentów rzeczywistych podmiotów prawnych. Nowelizacja dyrektywy 2015/849 pokazuje zmianę postrzegania systemów gromadzenia i upubliczniania informacji o beneficjentach podmiotów prawnych, jaka zaszła w prawie unijnym. Systemy takie nie są traktowane już jako wyłącznie instrumenty w walce z praniem pieniędzy oraz finansowaniem terroryzmu, a służyć mają szerzej pojętym celom, tj. przeciwdziałaniu unikaniu opodatkowania, ochronie bezpieczeństwa uczestników obrotu gospodarczego, poprzez zapewnienie im dostępu do informacji o potencjalnych kontrahentach, zapewnieniu właściwego poziomu ładu korporacyjnego, zwiększeniu kontroli informacji przez społeczeństwo obywatelskie, w tym przez media i organizacje społeczeństwa obywatelskiego oraz przyczynianiu się do utrzymania zaufania w kwestii uczciwości transakcji finansowych oraz systemu finansowego. Stanowią więc narzędzia służące ochronie szczególnie ważnego interesu publicznego, czyli zapewnieniu bezpieczeństwa i porządku publicznego poprzez umożliwienie pozyskiwania informacji przez organy państwa, ale także przez podmioty spoza „dominium państwowego”, zaangażowane w system przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Należy zauważyć, że dobrem naruszanym przez przestępstwo prania pieniędzy jest prawidłowość obrotu gospodarczego, a dopuszczanie do popełniania tego przestępstwa na szeroką skalę grozi naruszeniem zasad społecznej gospodarki rynkowej stanowiącej podstawę konstytucyjnie chronionego ustroju gospodarczego Rzeczypospolitej Polskiej. Udostępnianie informacji o beneficjentach rzeczywistych uczestnikom obrotu gospodarczego, szczególnie w kontekście powszechnych przypadków angażowania nieświadomych tego faktu przedsiębiorców w struktury mające na celu przestępcze wyłudzenia podatku od towarów i usług również należy ocenić pozytywnie w kontekście chronionych konstytucyjnie zasad wolności działalności gospodarczej oraz prawa własności. Ponadto objęcie informacji o beneficjentach rzeczywistych zasadą jawności sprzyja również realizacji gwarantowanej konstytucyjnie wolności pozyskiwania informacji. W ocenie ustawodawcy objęcie danych beneficjentów rzeczywistych zgromadzonych w CRBR zasadą pełnej jawności stanowiło środek konieczny do realizacji celów regulacji i pozostawało w ścisłym związku z wskazanymi powyżej wartościami konstytucyjnymi. Jednocześnie wydaje się, że przedmiotowe rozwiązania nie naruszają w sposób nadmierny chronionego konstytucyjnie prawa do prywatności i autonomii informacyjnej. W związku z powyższym, ustawodawca regulację art. 67, zakładającą jawność CRBR uznał za proporcjonalną. Należy także zauważyć, że zarówno przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), jak i orzecznictwo TSUE dopuszczają możliwość wprowadzenia uregulowań krajowych, które mogą w określonym zakresie wpływać na ograniczenie praw do ochrony prywatności i danych osobowych w związku z realizacją konkretnych celów leżących w interesie publicznym, takich jak np. przeciwdziałanie procederowi prania pieniędzy oraz finansowania terroryzmu.

Ponadto, uprzejmie informuję, że zgodnie z wymogami wynikającymi z dyrektywy 2015/849, rejestry informacji o beneficjentach rzeczywistych funkcjonujące w poszczególnych państwach członkowskich UE poddane zostaną integracji za pomocą centralnej platformy ustanowionej na podstawie art. 22 ust. 1 dyrektywy 2017/1132. W tym celu konieczne będzie dokonanie zmian w przepisach ustawy o p.p.p.f.t. oraz wprowadzenia gruntownych zmian w funkcjonowaniu systemu teleinformatycznego służącego obsłudze CRBR. Konieczna będzie budowa nowego mechanizmu przyjmowania wniosków, obejmującego weryfikację tożsamości składającego wniosek, weryfikacją treści wniosku pod kątem uzasadnienia, weryfikację informacji o truście, którego wniosek dotyczy oraz mechanizmu udzielania odpowiedzi. W ramach procesu legislacyjnego prowadzonego w związku z integracją CRBR z rejestrami informacji o beneficjentach rzeczywistych funkcjonującymi w innych państwach członkowskich UE, dokładnej analizie poddany zostanie również, zgłoszony przez Prezesa Urzędu Ochrony Danych Osobowych postulat ponownego przemyślenia modelu jawności nr PESEL w CRBR.

Sekretarz stanu w Ministerstwie Finansów
Sebastian Skuza

Warszawa, 7 kwietnia 2021 r.

źródło: sejm.gov.pl

CZYTAJ DALEJ

Newer Posts

Older Posts