Od chwili rozpoczęcia dyskusji nad dostosowaniem działalności polskich banków do wymogów FATCA podkreślamy, że ani krajowe, ani europejskie prawo nie daje podstaw do legalnego przekazywania danych osobowych klientów banków organom fiskalnym USA, a najlepszym, o ile niejedynym rozwiązaniem, może być wprowadzenie odpowiednich zapisów do ustawodawstwa krajowego. Takie stanowisko było również wielokrotnie prezentowane przez Grupę Roboczą Art. 29, czyli niezależny organ doradczy składający się z przedstawicieli organów nadzorczych powołanych w krajach UE do ochrony danych osobowych (członkiem zespołu jest również polski generalny inspektor ochrony danych osobowych).

Dlatego zapowiedź podpisania międzynarodowej umowy regulującej kwestie identyfikacji i przekazywania do Stanów Zjednoczonych danych o klientach banków należy przyjąć jako krok w dobrym kierunku.  Trzeba jednak podkreślić, że Stany Zjednoczone są krajem, który nie zapewnia takiego poziomu ochrony danych osobowych, jaki jest wymagany w krajach Unii, co oznacza, że gwarancje mające na celu zapewnienie ochrony przekazywanym danym powinny znaleźć się w negocjowanej umowie. W szczególności, przyjęte rozwiązania muszą być zgodne z naczelnymi zasadami przetwarzania danych osobowych oraz powinny wprowadzać szczegółowe i skuteczne mechanizmy zapewniające bezpieczeństwo przekazywanym danym oraz wykonywanie swoich praw przez osoby, których dane znalazły się w obrębie zainteresowania amerykańskiego fiskusa.

Należy odwołać się przede wszystkim do zasady proporcjonalności i adekwatności przetwarzania danych osobowych, zgodnie z którą wolno przetwarzać tylko takie dane i tylko w taki sposób, który jest niezbędny do osiągnięcia danego (i dodajmy, legalnego) celu.  W świetle wymogów FATCA należy więc starannie rozważyć zakres danych, które miałyby trafiać do amerykańskiego fiskusa i zastanowić się, czy są one rzeczywiście niezbędne, czy też cel tej regulacji można osiągnąć w inny sposób (np. poprzez anonimizację pewnych danych). Kolejnym wymogiem jest zapewnienie klientom banków prawa do kontroli, jakie ich dane i w jaki sposób są przetwarzane. Klient powinien więc mieć zapewnione prawo do uzyskania informacji o zakresie, celu i sposobie przetwarzania jego danych oraz mieć możliwość poprawiania czy nawet usuwania swoich danych, również wtedy gdy już będą one w posiadaniu amerykańskich organów.  Klient powinien również wiedzieć, jak długo jego dane będą przetrzymywane. Nie można też zapominać o technicznej stronie takiego przedsięwzięcia, która powinna zapewniać maksymalne bezpieczeństwo przekazywanym danym przed ich utratą, przejęciem czy nieuprawionym zamianom.

Wreszcie trzeba pamiętać o tym, że w perspektywie kilku lat w Polsce będzie obowiązywało nowe unijne prawo ochrony danych osobowych. Nowe regulacje mają na celu podwyższenie standardów ochrony danych osobowych i wprowadzą szereg nowych wymogów, jak choćby obowiązek zawiadamiania klientów lub organy nadzoru o naruszeniach danych osobowych (na marginesie, obowiązek ten już dotyczy np. operatorów telekomunikacyjnych). Warto mieć na uwadze projektowane przepisy, by uniknąć konieczności renegocjowania ustalonych reguł za dwa czy trzy lata, kiedy nowe zasady wejdą z życie.

CV

Autorka jest prawnikiem z kancelarii Allen & Overy