Swoje uwagi prezes UODO przekazał w ramach opiniowania projektu ustawy o osobistych kontach inwestycyjnych, o którym Prawo.pl pisało w tekście: Jest projekt ustawy o osobistych kontach inwestycyjnych.

Projekt o OKI - uwagi prezesa UODO

Zastrzeżenia dotyczą następujących kwestii:

• Rejestru uczestników funduszu inwestycyjnego – rejestr ten będzie zawierać m.in. dane identyfikujące uczestnika funduszu, ale bez doprecyzowania tych danych. Prezes Wróblewski uważa, że ich katalog powinien zostać dookreślony w ustawie.
• Umowy o prowadzenie osobistych kont inwestycyjnych (OKI) – przepis wyliczający jej elementy wskazuje m.in. otwarty katalog informacji, a tym samym szeroki zakres danych osobowych identyfikujących inwestującego. W opinii prezesa UODO katalog danych powinien być zamknięty, aby zapewnić stosowanie zasad wynikających z art. 5 RODO (zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu oraz minimalizacja danych). Ponadto projektodawca nie uzasadnił niezbędności pozyskiwania numeru PESEL w sytuacji, gdy przetwarzany jest równocześnie numer NIP osoby fizycznej.
• Obowiązku uzyskania od klienta (lub potencjalnego klienta) adekwatnych informacji dotyczących jego wiedzy i doświadczenia w zakresie inwestowania na rynku finansowym – projektodawca nie wskazał, w jaki sposób informacje te będą weryfikowane.
• Zakresu danych identyfikujących inwestującego – projektowane przepisy są niespójne, raz bowiem wskazywane jest „pierwsze imię i nazwisko”, a innym razem „imię i nazwisko”.
• Przepisów o przekazywaniu danych – informacja o prowadzeniu OKI ma być przekazywana urzędom skarbowym wraz z m.in. danymi identyfikującymi podatnika, ale nie sprecyzowano katalogu tych danych. Jak czytamy w piśmie, ze względu na zasadę celowości i zasadę minimalizacji danych, przepis ten wymaga dookreślenia poprzez wyraźne wskazanie konkretnych danych osobowych podatnika.

Obawy o sztuczną inteligencję w KAS 

Prezesa UODO niepokoi też zawarta w tym samym projekcie ustawy zapowiedź nowelizacji przepisów ustawy o Krajowej Administracji Skarbowej, dotycząca automatycznego udostępniania i wypełniania dokumentów. Przewidują one, że na kontach w e-Urzędzie Skarbowym mogą być udostępniane automatycznie pisma, do których składania są obowiązani podatnicy, wypełnione danymi pozostającymi w posiadaniu KAS.

- Projektowane przepisy zakładają zautomatyzowane przetwarzanie danych, zatem zachodzi prawdopodobieństwo, że mogą być również wykorzystywane systemy sztucznej inteligencji – pisze Mirosław Wróblewski.

A jeśli tak, to projektodawca winien wziąć pod uwagę nie tylko przepisy RODO, lecz także przepisy Aktu w sprawie sztucznej inteligencji (AI Act), dotyczące tzw. systemów AI wysokiego ryzyka.

- Systemy sztucznej inteligencji, które stwarzają wysokie ryzyko dla zdrowia i bezpieczeństwa lub praw podstawowych osób fizycznych, mogą być dopuszczone do obrotu wyłącznie pod warunkiem spełnienia określonych wymogów i przeprowadzenia oceny zgodności – przypomina w piśmie prezes UODO.

Wskazuje również, że osoba, której dane są przetwarzane, ma prawo dostępu m.in. do informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.