GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Zmiany w ustawie o usługach płatniczych

Zmiany w ustawie o usługach płatniczych

W tej części cyklu poświęconego ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, omówione zostaną najistotniejsze zmiany w ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych. Jak daleko idą projektowane zmiany?

1) art. 10 otrzymuje brzmienie:

„Art. 10. 1. Dostawcy, organizacje płatnicze i podmioty prowadzące systemy płatności przetwarzają dane osobowe w zakresie niezbędnym do zapobiegania oszustwom związanym z wykonywanymi usługami płatniczymi, prowadzeniem schematu płatniczego lub prowadzeniem systemu płatności oraz dochodzenia i wykrywania tego rodzaju oszustw przez właściwe organy.

Stosownie do omawianego artykułu na dostawcy oraz na podmiocie prowadzącym system płatności ciążą obowiązki związane z zapobieganiem oszustwom, które dotyczą wykonywanych usług płatniczych czy prowadzonego systemu płatności. Ustawa zezwala na przetwarzanie danych osobowych użytkowników w zakresie niezbędnym, aby zapobiegać oszustwom związanym z wykonywanymi usługami płatniczymi lub prowadzeniem systemu płatności oraz umożliwić właściwym organom dochodzenie i wykrywanie tego rodzaju oszustw.

Zmiana ta ma na celu dostosowanie dotychczasowej regulacji zawartej w art. 10 ustawy do przepisów RODO z uwzględnieniem przepisów art. 94 dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającą dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającą dyrektywę 2007/64/WE (Dz. Urz. UE L 337 z 23.12.2015, str. 35).

Jednocześnie nie zdecydowano się na wprowadzenie  projektowanego ust. 2, w którym mowa była o tym, że dostawcy usług płatniczych mogliby przetwarzać dane osobowe użytkowników niezbędne do świadczenia usług płatniczych tylko i wyłącznie na podstawie ich zgód, z wyłączeniem możliwości powoływania się na inne podstawy prawne. Co należy ocenić pozytywnie.

po art. 10 dodaje się art. 10a w brzmieniu:

„Art. 10a. Dostawcy, organizacje płatnicze i podmioty prowadzące systemy płatności będący administratorami danych nie są obowiązani do wykonywania obowiązków, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w zakresie w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.”

W uzasadnieniu projektu wskazano, że „Projektowany art. 10a ustawy przewiduje wyłączenie obowiązków przewidzianych w art. 15 RODO względem podmiotów będących administratorami. Wyłączenie to dotyczy prawa dostępu przysługującego osobie, której dane dotyczą, i będzie możliwe w zakresie, w jakim będzie to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom”. Oznacza to, że w zakresie w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom administrator danych nie będzie obowiązany do realizacji żądania osoby fizycznej do uzyskania m.in. potwierdzenia, czy i w jakim celu przetwarza jej dane.

Należy podkreślić, że możliwość wskazanego wyłączenia jest uprawniona w świetle art. 23 ust. 1 lit. d i e RODO, zgodnie z którym prawo UE lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22. Akt prawny nie może naruszać istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

– zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;

– innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu.

Ponadto, mając na uwadze art. 23 ust. 2 RODO, przetwarzanie danych osobowych, o którym mowa w projektowanym art. 10a, podlegać będzie zabezpieczeniom i ochronie wynikającym z przepisów o tajemnicy zawodowej, o których mowa w art. 11 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych.

Podsumowanie

W ustawie o usługach płatniczych wprowadzono ustawową podstawę przetwarzania danych w celu zapobiegania oszustwom związanym z wykonywanymi usługami płatniczymi, prowadzeniem schematu płatniczego lub prowadzeniem systemu płatności oraz dochodzenia i wykrywania tego rodzaju oszustw przez właściwe organy. Dodano również wyłączenie w stosowaniu art. 15 RODO w zakresie w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.