Ochrona danych osobowych uczestników rynku kryptoaktywów wymaga doprecyzowania

Zastrzeżenia Prezesa UODO dotyczą braku precyzyjnych regulacji prawnych dotyczących przetwarzania danych osobowych uczestników rynku kryptoaktywów.

Regulacje takie powinny znaleźć się w projekcie ustawy o kryptoaktywach, która ma wdrażać rozporządzenie 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów. O ile bowiem unijne rozporządzenie odnosi się do RODO, o tyle brak jest takich regulacji na poziomie krajowym.

Zdaniem organu nadzorczego ustawa o kryptoaktywach powinna zawierać co najmniej kierunkowy mechanizm zarządzania ochroną danych osobowych. Chodzi tu o rozwiązania, które pozwoliłyby na określenie ról i obowiązków w zakresie przetwarzania danych osobowych poszczególnych podmiotów na rynku kryptoaktywów. Dotyczy to w szczególności obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA) lub wdrożenia środków bezpieczeństwa danych osobowych.

Prezes UODO zwrócił tez uwagę na konieczność doprecyzowania niektórych rozwiązań w projekcie. Chodzi tu m.in. o ustawowe upoważnienie do określenia w rozporządzeniu możliwości sporządzania dokumentów dotyczących obrotu kryptoaktywami w postaci elektronicznej . Zdaniem organu nadzorczego takie upoważnienie powinno obejmować także zasady ochrony danych osobowych. Ponadto Prezes UODO zwraca uwagę na konieczność objęcia tajemnicą zawodową także kategorii danych osobowych. Organ nadzorczy sugeruje też doprecyzowanie art. 23 projektu, w którym uregulowano zasady współpracy i wymiany informacji z organami nadzoru nad rynkiem kryptoaktywów spoza UE. W ocenie Prezesa UODO regulacje te należałoby odnieść do przepisów RODO dotyczących transferu danych osobowych do państw trzecich.