Temat: Rejestracja zbioru i obowiązek informacyjny (beneficjenci...

1. Problem który chciałbym poruszyć dot. obowiązku informacyjnego oraz rejestracji zbioru danych osobowych:
- beneficjentów rzeczywistych transakcji przeprowadzanych przez instytucje finansową
- osób upoważnionych do dysponowania środkami z kont IKE w przypadku śmierci właściciela konta.

2. Akty prawne związane z tematem
2.1 Ustawy szczególnie
1. Ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu („UPPP”)
2. Ustawa z dnia 20 kwietnia 2004 r. o indywidualnych kontach emerytalnych („UIKE”)
3. Ustawa z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi („UOOIF”)
2.2 Ustawy ogólne
4. Ustawa z dnia 29 sierpnia 1997 r.o ochronie danych osobowych („UODO”)

3 Analiza stanu obecnego
3.1 Przetwarzanie danych osobowych beneficjentów rzeczywistych
Administrator danych ("ADO") będący w myśl art.3/33) UOOIF firmą inwestycyjną oraz w myśl art.2/1) UPPP instytucją obowiązaną, w nawiązaniu do art.8b/3 oraz art.9/1 UPPP pozyskuje i przetwarza dane osobowe beneficjentów rzeczywistych transakcji zlecanych przez Klientów.
ADO posiada zarejestrowany w biurze Generalnego Inspektora Ochrony Danych Osobowych zbiór danych osobowych beneficjentów rzeczywistych.
Dane osobowe ew. beneficjentów rzeczywistych podawane są przez Klienta na etapie zawierania umowy z ADO i przetwarzane są na podstawie art.9k UPPP, w zakresie pozwalającym na identyfikację beneficjenta rzeczywistego i przy zachowaniu należytej staranności o której mowa w art.9/2 UPPP. Ponadto ADO ma obowiązek samodzielnego identyfikowania w zakresie swoich możliwości innych ew. beneficjentów rzeczywistych.
Wobec osób, których dane osobowe ADO przetwarza w zbiorze beneficjentów rzeczywistych nie jest wypełniany obowiązek informacyjny o którym mowa w art.25/1 UODO w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą. Jednocześnie art.25/2/1) UODO wyklucza konieczność wywiązania się z obowiązku informacyjnego pod warunkiem że „przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą”
Zasadne wydaje się postawienie pytania, czy obowiązek gromadzenia informacji o beneficjentach rzeczywistych transakcji o którym mowa w art.9k UPPP w zakresie wskazanym w art.9/1/1) UPPP wyczerpuje przypadek braku konieczności poinformowania osoby, której dane dotyczą wynikający z art.25/2/1) UODO? .

3.2 Przetwarzanie danych osobowych osób upoważnionych do środków z IKE po śmierci właściciela IKE
ADO będący w myśl art.2/7) oraz art.2/10) UIKE firmą inwestycyjną oraz w myśl art.2/1) UPPP instytucją obowiązaną, w nawiązaniu do art.2/12) oraz art.11 UIKE pozyskuje i przetwarza dane osobowe osób uprawnionych do środków zgromadzonych na koncie IKE po śmierci właściciela IKE.
ADO nie posiada zarejestrowanego w biurze Generalnego Inspektora Ochrony Danych Osobowych zbioru danych osobowych osób uprawnionych - bez wątpienia powinien to zrobić.
Dane osobowe osób uprawnionych podawane są przez właściciela konta IKE na etapie zawierania umowy IKE z ADO na dołączonym do umowy formularzu. UIKE nie narzuca wskazania osób uprawnionych – jest to dowolność członka IKE – zatem nie można traktować art.11/1 UIKE jako podstawy prawnej przetwarzania tych danych przez ADO, a należałoby oprzeć się na ogólnym art.23/1/2) UODO, który dopuszcza przetwarzanie dla „zrealizowania uprawnienia”. Dyskusyjne jest czy realizacja uprawnienia dot. ADO, czy osoby uprawnionej do – w tym przypadku – dysponowania środkami IKE. - czy wobec takiego brzmienia art.23/1/2) UODO należałoby pozyskiwać zgodę osób upoważnionych do przetwarzania ich danych osobowych? Moje wątpliwości co do informowania osób uprawnionych zawarłem na końcu.
Wobec osób uprawnionych, których dane dotyczą nie jest też wypełniany obowiązek informacyjny wynikający z art.25/1 UODO - i tu także moje wątpliwości zawarłem na końcu.
Niewątpliwie wobec zamkniętego katalogu zbiorów danych osobowych (art.43 UODO), które nie podlegają rejestracji w GIODO wśród których nie znajduje się zbiór osób upoważnionych w ramach IKE, należy zarejestrować ten zbiór w GIODO. Otwartym pozostaje pytanie o sposób informowania osób upoważnionych o przetwarzaniu ich danych osobowych przez ADO w ramach ich uprawnienia do dysponowania środkami z konta IKE w przypadku śmierci właściciela konta IKE. Właściciel IKE, wskazując osobę(y) upoważnioną(e) do dysponowania środkami z IKE po jego śmierci może nie chcieć informować tych osób o swojej decyzji z różnych względów (nieporozumienia rodzinne, itp.). Zastanawiam się wobec tego jak pogodzić wymagania UODO w tym zakresie (obowiązek informacyjny wobec osób upoważnionych) oraz wolę właściciela konta IKE, żeby nie informować osób, które wskazał o jego decyzji.
Tomasz