USTAWA z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu

 Informacje udostępnione dnia:23 Maj pierwszego czasu wodnika 23:23

USTAWA 

z dnia 1 marca 2018 r.

o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu1)

Rozdział 1 

Przepisy ogólne 

Art. 1.2) Ustawa określa zasady i tryb przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. 

Art. 1.3)

 Ustawa określa: 

1) zasady i tryb przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu; 

2) warunki wykonywania działalności gospodarczej przez niektóre instytucje obowiązane.

Art. 2. 1. Instytucjami obowiązanymi są: 

1) banki krajowe, oddziały banków zagranicznych, oddziały instytucji kredytowych, instytucje finansowe mające siedzibę na terytorium Rzeczypospolitej Polskiej oraz oddziały instytucji finansowych niemających siedziby na terytorium Rzeczypospolitej Polskiej, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2020 r. 

poz. 1896, 2320 i 2419 oraz z 2021 r. poz. 432, 680 i 815);

2) spółdzielcze kasy oszczędnościowo-kredytowe oraz Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa, w rozumieniu ustawy z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2020 r. poz. 1643 i 1639 oraz z 2021 r. poz. 432 i 815);

3) krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego, oddziały unijnych instytucji płatniczych, 

oddziały unijnych i zagranicznych instytucji pieniądza elektronicznego, małe instytucje płatnicze, biura usług płatniczych oraz agenci rozliczeniowi, w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2020 r. poz. 794 i 1639 oraz z 2021 r. poz. 355); 

4) firmy inwestycyjne, banki powiernicze w rozumieniu ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finan-

sowymi (Dz. U. z 2021 r. poz. 328, 355 i 680) oraz oddziały zagranicznych firm inwestycyjnych w rozumieniu tej ustawy, prowadzące działalność na terytorium Rzeczypospolitej Polskiej;

5) zagraniczne osoby prawne prowadzące na terytorium Rzeczypospolitej Polskiej działalność maklerską, w tym prowadzące taką działalność w formie oddziału, oraz towarowe domy maklerskie w rozumieniu ustawy z dnia 26 października 2000 r. o giełdach towarowych (Dz. U. z 2019 r. poz. 312), a także spółki handlowe, o których mowa 

w art. 50a tej ustawy; 

6) spółki prowadzące rynek regulowany – w zakresie, w jakim prowadzą platformę aukcyjną, o której mowa w art. 3 pkt 10a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi; 

7) fundusze inwestycyjne, alternatywne spółki inwestycyjne, towarzystwa funduszy inwestycyjnych, zarządzający ASI, oddziały spółek zarządzających oraz oddziały zarządzających z Unii Europejskiej znajdujące się na terytorium Rzeczypospolitej Polskiej, w rozumieniu ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2021 r. poz. 605);

8)⁴) zakłady ubezpieczeń wykonujące działalność, o której mowa w dziale I załącznika do ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2020 r. poz. 895, 1180 i 2320 oraz z 2021 r. poz. 355 i 680), w tym krajowe zakłady ubezpieczeń, główne oddziały zagranicznych zakładów ubezpieczeń z siedzibą w państwie niebędącym państwem członkowskim oraz oddziały zagranicznych zakładów ubezpieczeń mających siedzibę w innym niż Rzeczpospolita Polska państwie członkowskim; 

9) pośrednicy ubezpieczeniowi wykonujący czynności pośrednictwa ubezpieczeniowego w zakresie ubezpieczeń wymienionych w dziale I załącznika do ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej oraz oddziały zagranicznych pośredników wykonujących takie czynności mające siedzibę na terytorium Rzeczypospolitej Polskiej, z wyłączeniem agenta ubezpieczeniowego, który jest agentem ubezpieczeniowym wykonującym czynności pośrednictwa ubezpieczeniowego na rzecz jednego zakładu ubezpieczeń w zakresie tego samego działu 

zgodnie z załącznikiem do ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej oraz nie pobiera od klienta składki ubezpieczeniowej ani od zakładu ubezpieczeń kwot należnych klientowi; 

10) Krajowy Depozyt Papierów Wartościowych S.A. oraz spółka, której Krajowy Depozyt Papierów Wartościowych S.A. 

przekazał wykonywanie czynności z zakresu, o którym mowa w art. 48 ust. 1 pkt 1 ustawy z dnia 29 lipca 2005 r. 

o obrocie instrumentami finansowymi, w zakresie, w jakim prowadzą rachunki papierów wartościowych lub rachunki zbiorcze; 

11) przedsiębiorcy prowadzący działalność kantorową w rozumieniu ustawy z dnia 27 lipca 2002 r. – Prawo dewizowe (Dz. U. z 2020 r. poz. 1708 oraz z 2021 r. poz. 815), inni przedsiębiorcy świadczący usługę wymiany walut lub usługę pośrednictwa w wymianie walut, niebędący innymi instytucjami obowiązanymi, oraz oddziały przedsiębiorców zagranicznych prowadzących taką działalność na terytorium Rzeczypospolitej Polskiej; 

12) podmioty prowadzące działalność gospodarczą polegającą na świadczeniu usług w zakresie: 

a) wymiany pomiędzy walutami wirtualnymi i środkami płatniczymi, 

b) wymiany pomiędzy walutami wirtualnymi, 

c) pośrednictwa w wymianie, o której mowa w lit. a lub b, 

d) prowadzenia rachunków, o których mowa w ust. 2 pkt 17 lit. e; 

13) notariusze w zakresie czynności dokonywanych w formie aktu notarialnego, obejmujących: 

a) przeniesienie własności wartości majątkowej, w tym sprzedaż, zamianę lub darowiznę ruchomości lub nie-

ruchomości, 

b) zawarcie umowy działu spadku, zniesienia współwłasności, dożywocia, renty w zamian za przeniesienie własności nieruchomości oraz o podział majątku wspólnego, 

c) przeniesienie spółdzielczego własnościowego prawa do lokalu, prawa użytkowania wieczystego oraz ekspektatywy odrębnej własności lokalu, 

d) wniesienie wkładu niepieniężnego po założeniu spółki, 

e) zawarcie umowy dokumentującej wniesienie lub podwyższenie wkładów do spółki albo wniesienie lub podwyższenie kapitału zakładowego, 

f) przekształcenie lub połączenie spółek, 

g) zbycie przedsiębiorstwa, 

h) zbycie udziałów w spółce;

13a)⁵) notariusze w zakresie czynności, o których mowa w art. 79 pkt 6a ustawy z dnia 14 lutego 1991 r. – Prawo 

o notariacie (Dz. U. z 2020 r. poz. 1192 i 2320);

14) adwokaci, radcowie prawni, prawnicy zagraniczni, doradcy podatkowi w zakresie, w jakim świadczą na rzecz klienta 

pomoc prawną lub czynności doradztwa podatkowego dotyczące: 

a) kupna lub sprzedaży nieruchomości, przedsiębiorstwa lub zorganizowanej części przedsiębiorstwa, 

b) zarządzania środkami pieniężnymi, instrumentami finansowymi lub innymi aktywami klienta, 

c) zawierania umowy o prowadzenie rachunku bankowego, rachunku papierów wartościowych lub wykonywania czynności związanych z prowadzeniem tych rachunków, 

d) wnoszenia wkładu do spółki kapitałowej lub podwyższenia kapitału zakładowego spółki kapitałowej, 

e) tworzenia, prowadzenia działalności lub zarządzania spółkami kapitałowymi lub trustami 

– z wyjątkiem radców prawnych oraz prawników zagranicznych wykonujących zawód w ramach stosunku pracy lub służby w urzędach obsługujących organy administracji publicznej, innych państwowych lub samorządowych jednostkach organizacyjnych oraz w podmiotach innych niż spółki, o których mowa w art. 8 ust. 1 ustawy z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2020 r. poz. 75 i 2320), oraz doradców podatkowych wykonujących zawód 

w ramach stosunku pracy w podmiotach innych niż te, o których mowa w art. 4 ust. 1 pkt 1 i 3 ustawy z dnia 5 lipca 

1996 r. o doradztwie podatkowym (Dz. U. z 2020 r. poz. 130 i 2320);

15) doradcy podatkowi w zakresie czynności doradztwa podatkowego innych niż wymienione w pkt 14 oraz biegli rewidenci; 

15a)6) przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. z 2021 r. poz. 162), których podstawową działalnością gospodarczą jest świadczenie usług polegających na sporządzaniu deklaracji, prowadzeniu ksiąg podatkowych, udzielaniu porad, opinii lub wyjaśnień z zakresu przepisów prawa podatkowego lub celnego, niebędący innymi instytucjami obowiązanymi; 

16) przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców, niebędący innymi instytucjami obowiązanymi, świadczący usługi polegające na:7)

a) tworzeniu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej, 

b) pełnieniu funkcji członka zarządu lub umożliwianiu innej osobie pełnienia tej funkcji lub podobnej funkcji w osobie 

prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej, 

c) zapewnianiu siedziby, adresu prowadzenia działalności lub adresu korespondencyjnego oraz innych pokrewnych 

usług osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej, 

d) działaniu lub umożliwieniu innej osobie działania jako powiernik trustu, który powstał w drodze czynności prawnej, 

e) działaniu lub umożliwieniu innej osobie działania jako osoba wykonująca prawa z akcji lub udziałów na rzecz 

podmiotu innego niż spółka notowana na rynku regulowanym podlegającym wymogom dotyczącym ujawniania informacji zgodnie z prawem Unii Europejskiej lub podlegająca równoważnym standardom międzynarodowym; 

17) podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych; 

18)⁸) pośrednicy w obrocie nieruchomościami; 

18)⁹) pośrednicy w obrocie nieruchomościami w rozumieniu ustawy z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U. z 2020 r. poz. 1990 oraz z 2021 r. poz. 11, 234 i 815), z wyłączeniem czynności pośrednictwa w obrocie nieruchomościami zmierzających do zawarcia umowy najmu lub dzierżawy nieruchomości lub ich części, w której miesięczny czynsz został określony w wysokości mniejszej niż równowartość 

10 000 euro;

19) operatorzy pocztowi w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe (Dz. U. z 2020 r. poz. 1041 i 2320);

20) podmioty prowadzące działalność w zakresie gier losowych, zakładów wzajemnych, gier w karty i gier na automatach w rozumieniu ustawy z dnia 19 listopada 2009 r. o grach hazardowych (Dz. U. z 2020 r. poz. 2094 oraz z 2021 r. poz. 802 i 815);

21) fundacje ustanowione na podstawie ustawy z dnia 6 kwietnia 1984 r. o fundacjach (Dz. U. z 2020 r. poz. 2167) 

w zakresie, w jakim przyjmują lub dokonują płatności w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy płatność jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane; 

22) stowarzyszenia posiadające osobowość prawną, utworzone na podstawie ustawy z dnia 7 kwietnia 1989 r. – Prawo 

o stowarzyszeniach (Dz. U. z 2020 r. poz. 2261), w zakresie, w jakim przyjmują lub dokonują płatności w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy płatność jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane; 

23) przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców w zakresie, w jakim przyjmują lub dokonują płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze 

sobą powiązane; 

24) przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców w zakresie, w jakim prowadzą działalność polegającą na udostępnianiu skrytek sejfowych, oraz oddziały przedsiębiorców zagranicznych prowadzące taką działalność na terytorium Rzeczypospolitej Polskiej; 

24a)¹⁰) przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców prowadzący działalność polegającą na: 

a) obrocie lub pośrednictwie w obrocie dziełami sztuki, przedmiotami kolekcjonerskimi oraz antykami w rozumieniu art. 120 ust. 1 pkt 1–3 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. z 2021 r. poz. 685, 694 i 802), w tym gdy działalność taka jest prowadzona: 

– w galeriach sztuki lub domach aukcyjnych lub 

– z wykorzystaniem wolnego portu rozumianego jako strefa lub pomieszczenie, w których towary są traktowane jako nieznajdujące się na obszarze celnym państw członkowskich lub państw trzecich, w tym z wykorzystaniem wolnego obszaru celnego, 

b) przechowywaniu dzieł sztuki, przedmiotów kolekcjonerskich oraz antyków w rozumieniu art. 120 ust. 1 pkt 1–3 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług, gdy działalność taka jest prowadzona z wykorzystaniem wolnego portu, o którym mowa w lit. a tiret drugie 

– w zakresie transakcji o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane; 

25) instytucje pożyczkowe w rozumieniu ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2019 r. poz. 1083 oraz z 2020 r. poz. 2320). 2. Ilekroć w ustawie jest mowa o:

1)¹¹)

 beneficjencie rzeczywistym – rozumie się przez to każdą osobę fizyczną sprawującą bezpośrednio lub pośrednio 

kontrolę nad klientem poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, 

umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez klienta, lub każdą osobę fizyczną, w imieniu której są nawiązywane stosunki gospodarcze lub jest przeprowadzana transakcja okazjonalna, w tym: 

a) w przypadku osoby prawnej innej niż spółka, której papiery wartościowe są dopuszczone do obrotu na rynku regulowanym podlegającym wymogom ujawniania informacji wynikającym z przepisów prawa Unii Europejskiej lub odpowiadających im przepisów prawa państwa trzeciego: 

– osobę fizyczną będącą udziałowcem lub akcjonariuszem, której przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji tej osoby prawnej, 

- osobę fizyczną dysponującą więcej niż 25% ogólnej liczby głosów w organie stanowiącym tej osoby prawnej, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu, 

– osobę fizyczną sprawującą kontrolę nad osobą prawną lub osobami prawnymi, którym łącznie przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji, lub które łącznie dysponują więcej niż 25% ogólnej liczby głosów w organie stanowiącym tej osoby prawnej, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu, 

– osobę fizyczną sprawującą kontrolę nad osobą prawną poprzez posiadanie uprawnień, o których mowa w art. 3 ust. 1 pkt 37 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217), lub 

– osobę fizyczną zajmującą wyższe stanowisko kierownicze w przypadku udokumentowanego braku możliwości ustalenia lub wątpliwości co do tożsamości osób fizycznych określonych w tiret pierwszym–czwartym oraz w przypadku niestwierdzenia podejrzeń prania pieniędzy lub finansowania terroryzmu, 

b) w przypadku trustu: 

– założyciela, 

– powiernika, 

– nadzorcę, jeżeli został ustanowiony, 

– beneficjenta lub – w przypadku gdy osoby fizyczne czerpiące korzyści z danego trustu nie zostały jeszcze 

określone – grupę osób, w których głównym interesie powstał lub działa trust, 

– inną osobę sprawującą kontrolę nad trustem, 

– inną osobę fizyczną posiadającą uprawnienia lub wykonującą obowiązki równoważne z określonymi w tiret pierwszym–piątym, 

c) w przypadku osoby fizycznej prowadzącej działalność gospodarczą, wobec której nie stwierdzono przesłanek 

lub okoliczności mogących wskazywać na fakt sprawowania kontroli nad nią przez inną osobę fizyczną lub osoby fizyczne, przyjmuje się, że taka osoba fizyczna jest jednocześnie beneficjentem rzeczywistym; 

2) blokadzie rachunku – rozumie się przez to czasowe uniemożliwienie korzystania i dysponowania ze wszystkich lub części wartości majątkowych gromadzonych na rachunku, w tym również przez instytucję obowiązaną; 

3) członkach rodziny osoby zajmującej eksponowane stanowisko polityczne – rozumie się przez to: 

a) małżonka lub osobę pozostającą we wspólnym pożyciu z osobą zajmującą eksponowane stanowisko polityczne, 

b) dziecko osoby zajmującej eksponowane stanowisko polityczne i jego małżonka lub osoby pozostającej we wspólnym pożyciu, 

c) rodziców osoby zajmującej eksponowane stanowisko polityczne; 

4) dyrektywie 2015/849 – rozumie się przez to dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniającą rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylającą dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz. Urz. UE L 141 z 05.06.2015, str. 73);

5) europejskich urzędach nadzoru – rozumie się przez to Europejski Urząd Nadzoru Bankowego, Europejski Urząd 

Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych; 

6) finansowaniu terroryzmu – rozumie się przez to czyn określony w art. 165a ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. z 2020 r. poz. 1444 i 1517 oraz z 2021 r. poz. 1023);

7)¹²) grupie – rozumie się przez to jednostkę dominującą wraz z jej jednostkami zależnymi oraz podmiotami, w których 

jednostki te posiadają udziały, oraz jednostkami powiązanymi ze sobą jednym ze związków, o których mowa w przepisach państw członkowskich wydanych na podstawie art. 22 dyrektywy Parlamentu Europejskiego i Rady 2013/34/UE z dnia 26 czerwca 2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek, zmieniającej dyrektywę Parlamentu Europejskiego i Rady 2006/43/WE oraz uchylającej dyrektywy Rady 78/660/EWG i 83/349/EWG (Dz. Urz. UE L 182 z 29.06.2013, str. 19, z późn. zm.13));

8) jednostkach współpracujących – rozumie się przez to organy administracji rządowej, organy jednostek samorządu terytorialnego oraz inne państwowe jednostki organizacyjne, a także Narodowy Bank Polski (NBP), Komisję Nadzoru Finansowego (KNF) i Najwyższą Izbę Kontroli (NIK); 

9) kadrze kierowniczej wyższego szczebla – rozumie się przez to członka zarządu, dyrektora lub pracownika instytucji obowiązanej posiadającego wiedzę z zakresu ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z działalnością instytucji obowiązanej oraz podejmującego decyzje mające wpływ na to ryzyko; 

10)¹⁴) kliencie – rozumie się przez to osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której instytucja obowiązana świadczy usługi lub dla której wykonuje czynności wchodzące w zakres prowadzonej przez nią działalności zawodowej, w tym z którą instytucja obowiązana nawiązuje stosunki gospodarcze, lub na zlecenie której przeprowadza transakcję okazjonalną, przy czym w przypadku umowy ubezpieczenia przez klienta instytucji obowiązanej rozumie się ubezpieczającego, a w przypadku umowy o prowadzenie rejestru akcjonariuszy, o której mowa w art. 3282 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (Dz. U. z 2020 r. poz. 1526 i 2320), przez klienta instytucji obowiązanej rozumie się wyłącznie akcjonariusza, zastawnika lub użytkownika akcji podlegającego wpisowi do tego rejestru w związku z transakcją stanowiącą podstawę dokonania wpisu;

10)¹⁵) kliencie – rozumie się przez to osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której instytucja obowiązana świadczy usługi lub dla której wykonuje czynności wchodzące w zakres prowadzonej przez nią działalności zawodowej, w tym z którą instytucja obowiązana nawiązuje stosunki gospodarcze, lub na zlecenie której przeprowadza transakcję okazjonalną, przy czym w przypadku umowy ubezpieczenia przez klienta instytucji obowiązanej rozumie się ubezpieczającego, a w przypadku umowy o prowadzenie rejestru akcjonariuszy, o której mowa w art. 30032 i art. 3282 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (Dz. U. z 2020 r. poz. 1526 i 2320), przez klienta instytucji obowiązanej rozumie się wyłącznie akcjonariusza, zastawnika lub użytkownika akcji podlegającego wpisowi 

do tego rejestru w związku z transakcją stanowiącą podstawę dokonania wpisu;

11)¹⁶) osobach zajmujących eksponowane stanowiska polityczne – rozumie się przez to, z wyłączeniem grup stanowisk średniego i niższego szczebla, osoby zajmujące znaczące stanowiska publiczne lub pełniące znaczące funkcje publiczne, w tym: 

a) szefów państw, szefów rządów, ministrów, wiceministrów oraz sekretarzy stanu, 

b) członków parlamentu lub podobnych organów ustawodawczych, 

c) członków organów zarządzających partii politycznych, 

d) członków sądów najwyższych, trybunałów konstytucyjnych oraz innych organów sądowych wysokiego szczebla, których decyzje nie podlegają zaskarżeniu, z wyjątkiem trybów nadzwyczajnych, 

e) członków trybunałów obrachunkowych lub zarządów banków centralnych, 

f) ambasadorów, chargés d’affaires oraz wyższych oficerów sił zbrojnych, 

g) członków organów administracyjnych, zarządczych lub nadzorczych przedsiębiorstw państwowych, spółek z udziałem Skarbu Państwa, w których ponad połowa akcji albo udziałów należy do Skarbu Państwa lub innych państwowych osób prawnych, 

h) dyrektorów, zastępców dyrektorów oraz członków organów organizacji międzynarodowych lub osoby pełniące równoważne funkcje w tych organizacjach, 

i) dyrektorów generalnych w urzędach naczelnych i centralnych organów państwowych oraz dyrektorów generalnych urzędów wojewódzkich, 

j) inne osoby zajmujące stanowiska publiczne lub pełniące funkcje publiczne w organach państwa lub centralnych organach administracji rządowej;

12) osobach znanych jako bliscy współpracownicy osoby zajmującej eksponowane stanowisko polityczne – rozumie się przez to: 

a) osoby fizyczne będące beneficjentami rzeczywistymi osób prawnych, jednostek organizacyjnych nieposiadają-

cych osobowości prawnej lub trustów wspólnie z osobą zajmującą eksponowane stanowisko polityczne lub 

utrzymujące z taką osobą inne bliskie stosunki związane z prowadzoną działalnością gospodarczą, 

b) osoby fizyczne będące jedynym beneficjentem rzeczywistym osób prawnych, jednostek organizacyjnych nie-

posiadających osobowości prawnej lub trustu, o których wiadomo, że zostały utworzone w celu uzyskania faktycznej korzyści przez osobę zajmującą eksponowane stanowisko polityczne; 

12a)¹⁷) państwie członkowskim – rozumie się przez to państwo członkowskie Unii Europejskiej lub państwo członkowskie Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stronę umowy o Europejskim Obszarze Gospodarczym; 

13) państwie trzecim wysokiego ryzyka – rozumie się przez to państwo identyfikowane na podstawie informacji pocho-

dzących z wiarygodnych źródeł, w tym raportów z ewaluacji krajowych systemów przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu przeprowadzanych przez Grupę Specjalną do spraw Przeciwdziałania Praniu Pieniędzy (FATF) oraz organy lub organizacje z nią powiązane, jako nieposiadające skutecznego systemu przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu lub posiadające znaczące braki w systemie przeciwdziałania praniu 

pieniędzy lub finansowaniu terroryzmu, w szczególności państwo trzecie zidentyfikowane przez Komisję Europejską w akcie delegowanym przyjętym na podstawie art. 9 dyrektywy 2015/849;

14) praniu pieniędzy – rozumie się przez to czyn określony w art. 299 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny; 

15) przeprowadzaniu transakcji – rozumie się przez to wykonanie przez instytucję obowiązaną dyspozycji lub zlecenia wydanych przez klienta lub osobę działającą w jego imieniu; 

16) przetwarzaniu informacji – rozumie się przez to każdą operację wykonywaną na informacjach, w szczególności ich uzyskiwanie, gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych; 

17) rachunku – rozumie się przez to: 

a) rachunek płatniczy w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych, 

b) rachunek bankowy i rachunek w spółdzielczej kasie oszczędnościowo-kredytowej niebędące rachunkami płatniczymi, 

c) rachunek papierów wartościowych i rachunek zbiorczy oraz służący do ich obsługi rachunek pieniężny, w rozumieniu ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

d) rejestr uczestników funduszu lub ewidencję uczestników funduszu inwestycyjnego zamkniętego, 

e) prowadzony w formie elektronicznej zbiór danych identyfikacyjnych zapewniających osobom uprawnionym możliwość korzystania z jednostek walut wirtualnych, w tym przeprowadzania transakcji ich wymiany, 

f) rachunek derywatów w rozumieniu ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi; 

18) relacjach korespondenckich – rozumie się przez to: 

a) świadczenie usług bankowych przez jeden bank jako korespondenta na rzecz innego banku jako respondenta, 

b) relacje między instytucjami kredytowymi, instytucjami finansowymi, w tym relacje, w ramach których są świad-

czone podobne usługi przez instytucję będącą korespondentem na rzecz instytucji będącej respondentem, oraz 

relacje, które zostały ustanowione na potrzeby transakcji dotyczących papierów wartościowych lub na potrzeby 

transferów środków pieniężnych; 

19) rozporządzeniu 2015/847 – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/847 

z dnia 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i uchylenia rozporzą-

dzenia (WE) nr 1781/2006 (Dz. Urz. UE L 141 z 05.06.2015, str. 1);

19a)18)

 rozporządzeniu 910/2014 – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 

z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicz-

nych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73); 

20) stosunkach gospodarczych – rozumie się przez to stosunki instytucji obowiązanej z klientem związane z działalnością 

zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości; 

21) transakcji – rozumie się przez to czynność prawną lub faktyczną, na podstawie której dokonuje się przeniesienia 

własności lub posiadania wartości majątkowych, lub czynność prawną lub faktyczną dokonywaną w celu przeniesie-

nia własności lub posiadania wartości majątkowych; 

22) transakcji okazjonalnej – rozumie się przez to transakcję, która nie jest przeprowadzana w ramach stosunków gospo-

darczych; 

23) transferze środków pieniężnych – rozumie się przez to transfer środków pieniężnych w rozumieniu rozporządzenia 

2015/847; 

24) truście (trust) – rozumie się przez to regulowany przepisami prawa obcego stosunek prawny wynikający ze zdarzenia 

prawnego, umowy lub porozumienia, w tym zespołu takich zdarzeń lub czynności prawnych, na podstawie którego 

dokonuje się przeniesienia własności lub posiadania wartości majątkowych na powiernika w celu sprawowania za-

rządu powierniczego oraz udostępniania tych wartości beneficjentom tego stosunku; 

25) umowie ubezpieczenia – rozumie się przez to umowę, o której mowa w dziale I załącznika do ustawy z dnia 11 września 

2015 r. o działalności ubezpieczeniowej i reasekuracyjnej; 

26) walucie wirtualnej – rozumie się przez to cyfrowe odwzorowanie wartości, które nie jest: 

a) prawnym środkiem płatniczym emitowanym przez NBP, zagraniczne banki centralne lub inne organy admini-

stracji publicznej, 

b) międzynarodową jednostką rozrachunkową ustanawianą przez organizację międzynarodową i akceptowaną 

przez poszczególne kraje należące do tej organizacji lub z nią współpracujące, 

c) pieniądzem elektronicznym w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych, 

d) instrumentem finansowym w rozumieniu ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi, 

e) wekslem lub czekiem 

– oraz jest wymienialne w obrocie gospodarczym na prawne środki płatnicze i akceptowane jako środek wymiany, 

a także może być elektronicznie przechowywane lub przeniesione albo może być przedmiotem handlu elektronicznego; 

27) wartościach majątkowych – rozumie się przez to prawa majątkowe lub inne mienie ruchome lub nieruchomości, 

środki płatnicze, instrumenty finansowe w rozumieniu ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finan-

sowymi, inne papiery wartościowe, wartości dewizowe oraz waluty wirtualne; 

28) wstrzymaniu transakcji – rozumie się przez to czasowe ograniczenie korzystania i dysponowania wartościami mająt-

kowymi polegające na uniemożliwieniu przeprowadzenia przez instytucję obowiązaną określonej transakcji lub więk-

szej liczby określonych transakcji.

¹) Niniejsza ustawa:

 

1)I) w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniającą rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylającą dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz. Urz. UE L 141 z 05.06.2015, str. 73, Dz. Urz. UE L 156 z 19.06.2018, str. 43 oraz Dz. Urz. UE L 334 z 27.12.2019, str. 155); 

2) służy stosowaniu: rozporządzenia Rady (WE) nr 2580/2001 z dnia 27 grudnia 2001 r. w sprawie szczególnych środków restrykcyjnych skierowanych przeciwko niektórym osobom i podmiotom mających na celu zwalczanie terroryzmu (Dz. Urz. UE L 344 z 28.12.2001, str. 70, z późn. zm.), rozporządzenia Rady (WE) nr 881/2002 z dnia 27 maja 2002 r. wprowadzającego niektóre szczególne środki ograniczające skierowane przeciwko niektórym osobom i podmiotom związanym z organizacjami ISIL (Daisz) 

i Al-Kaida (Dz. Urz. UE L 139 z 29.05.2002, str. 9, z późn. zm.), rozporządzenia (WE) nr 1889/2005 Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie kontroli środków pieniężnych wwożonych do Wspólnoty lub wywożonych ze Wspólnoty (Dz. Urz. UE L 309 z 25.11.2005, str. 9), rozporządzenia Rady (UE) nr 753/2011 z dnia 1 sierpnia 2011 r. w sprawie środków ograniczających skierowanych przeciwko niektórym osobom, grupom, przedsiębiorstwom i podmiotom w związku 

z sytuacją w Afganistanie (Dz. Urz. UE L 199 z 02.08.2011, str. 1, z późn. zm.), rozporządzenia Komisji (UE) nr 389/2013 z dnia 2 maja 2013 r. ustanawiającego rejestr Unii zgodnie z dyrektywą 2003/87/WE Parlamentu Europejskiego i Rady, decyzjami nr 280/2004/WE i nr 406/2009/WE Parlamentu Europejskiego i Rady oraz uchylającego rozporządzenia Komisji (UE) nr 920/2010 i nr 1193/2011 (Dz. Urz. UE L 122 z 03.05.2013, str. 1 oraz Dz. Urz. UE L 17 z 21.01.2017, str. 52), rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/847 z dnia 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i uchylenia rozporządzenia (WE) nr 1781/2006 (Dz. Urz. UE L 141 z 05.06.2015, str. 1). 

I) W brzmieniu ustalonym przez art. 1 pkt 1 ustawy z dnia 30 marca 2021 r. o zmianie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz niektórych innych ustaw (Dz. U. poz. 815), która weszła w życie z dniem 15 maja 2021 r.

²) W tym brzmieniu obowiązuje do wejścia w życie zmiany, o której mowa w odnośniku 3. 

³) W brzmieniu ustalonym przez art. 1 pkt 2 ustawy z dnia 30 marca 2021 r. o zmianie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz niektórych innych ustaw (Dz. U. poz. 815), która weszła w życie z dniem 15 maja 2021 r.; wejdzie w życie z dniem 31 października 2021 r.

⁴) Ze zmianami wprowadzonymi przez art. 1 pkt 3 ustawy, o której mowa w odnośniku 3.

⁵) Dodany przez art. 32 pkt 1 lit. a ustawy z dnia 19 lipca 2019 r. o zmianie ustawy – Kodeks spółek handlowych oraz niektórych innych ustaw (Dz. U. poz. 1655, z 2020 r. poz. 288 oraz z 2021 r. poz. 187), która wejdzie w życie z dniem 1 lipca 2021 r.

⁶) Dodany przez art. 1 pkt 4 lit. a tiret pierwsze ustawy, o której mowa w odnośniku 3; wejdzie w życie z dniem 31 lipca 2021 r. 

⁷) Wprowadzenie do wyliczenia ze zmianą wprowadzoną przez art. 1 pkt 4 lit. a tiret drugie ustawy, o której mowa w odnośniku 3. 

⁸) W tym brzmieniu obowiązuje do wejścia w życie zmiany, o której mowa w odnośniku 9. 

⁹) W brzmieniu ustalonym przez art. 1 pkt 4 lit. a tiret trzecie ustawy, o której mowa w odnośniku 3; wejdzie w życie z dniem 31 lipca 2021 r.

¹⁰) Dodany przez art. 1 pkt 4 lit. a tiret czwarte ustawy, o której mowa w odnośniku 3; wejdzie w życie z dniem 31 lipca 2021 r.

 

¹¹) W brzmieniu ustalonym przez art. 1 pkt 4 lit. b tiret pierwsze ustawy, o której mowa w odnośniku 3.

¹²) W brzmieniu ustalonym przez art. 1 pkt 4 lit. b tiret drugie ustawy, o której mowa w odnośniku 3. 

¹³) Zmiany wymienionej dyrektywy zostały ogłoszone w Dz. Urz. UE L 330 z 15.11.2014, str. 1 oraz Dz. Urz. UE L 334 z 21.11.2014, str. 86.

¹⁴) W brzmieniu ustalonym przez art. 6 ustawy z dnia 21 stycznia 2021 r. o zmianie ustawy – Kodeks postępowania administracyjnego oraz niektórych innych ustaw (Dz. U. poz. 187), która weszła w życie z dniem 12 lutego 2021 r.; wszedł w życie z dniem 1 marca 2021 r.; w tym brzmieniu obowiązuje do wejścia w życie zmiany, o której mowa w odnośniku 15. 

¹⁵) W brzmieniu ustalonym przez art. 32 pkt 1 lit. b ustawy, o której mowa w odnośniku 5. 

¹⁶) W brzmieniu ustalonym przez art. 1 pkt 4 lit. b tiret trzecie ustawy, o której mowa w odnośniku 3.

¹⁷) Dodany przez art. 1 pkt 4 lit. b tiret czwarte ustawy, o której mowa w odnośniku 3.

¹⁸) Dodany przez art. 1 pkt 4 lit. b tiret piąte ustawy, o której mowa w odnośniku 3.

Centralny Rejestr Beneficjentów Rzeczywistych

 

Centralny Rejestr Beneficjentów Rzeczywistych

Czym jest CRBR:
Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) jest prowadzony przy użyciu systemu teleinformatycznego i służy do gromadzenia i przetwarzania informacji o beneficjentach rzeczywistych podmiotów wymienionych w art. 58 oraz informacji o osobach uprawnionych do dokonania zgłoszeń do CRBR, o których mowa w art. 61 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej ustawa AML).
Jednym z głównych zadań CRBR jest przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu. Posiadanie dokładnych i aktualnych danych o beneficjentach rzeczywistych ma kluczowe znaczenie dla zwalczania tych zjawisk, ponieważ uniemożliwia przestępcom ukrycie swojej tożsamości w skomplikowanej strukturze korporacyjnej. Publiczny charakter rejestru, umożliwiający każdemu nieodpłatny dostęp do informacji o beneficjentach rzeczywistych, zapewnia również większą kontrolę informacji przez społeczeństwo obywatelskie oraz przyczynia się do zwiększenia zaufania do rynku finansowego i uczestników obrotu gospodarczego.

Dane czyich beneficjentów rzeczywistych zawiera CRBR
Rejestr gromadzi dane dotyczące beneficjentów rzeczywistych:

• spółek jawnych,
• spółek komandytowych,
• spółek komandytowo-akcyjnych,
• spółek z ograniczoną odpowiedzialnością,
• prostych spółek akcyjnych,
• spółek akcyjnych, z wyjątkiem spółek publicznych w rozumieniu ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych,
• spółek partnerskich,
• europejskich zgrupowań interesów gospodarczych,
• spółek europejskich,
• spółdzielni,
• spółdzielni europejskich,
• stowarzyszeń podlegających wpisowi do Krajowego Rejestru Sądowego,
• fundacji.
• trustów (w rozumieniu ustawy AML), których powiernicy lub osoby zajmujące stanowiska równoważne:

1. mają miejsce zamieszkania lub siedzibę na terytorium Rzeczypospolitej Polskiej lub
2. nawiązują stosunki gospodarcze lub nabywają nieruchomość na terytorium Rzeczypospolitej Polskiej w imieniu lub na rzecz trustu,

Kim jest beneficjent rzeczywisty podmiotu z art. 58 ustawy AML

Stosownie do definicji znajdującej się w art. 2 ust. 2 pkt 1 ustawy AML beneficjent rzeczywisty to każda osoba fizyczna:

- sprawująca bezpośrednio lub pośrednio kontrolę nad podmiotem poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez podmiot, lub

- w imieniu której są nawiązywane stosunki gospodarcze lub jest przeprowadzana transakcja okazjonalna.

W przypadku podmiotu – osoby prawnej, innej niż spółka, której papiery wartościowe są dopuszczone do obrotu na rynku regulowanym, podlegającym wymogom ujawniania informacji na podstawie przepisów prawa Unii Europejskiej lub odpowiadającym im przepisom prawa państwa trzeciego, beneficjentem rzeczywistym podmiotu jest w szczególności:

• osoba fizyczna będąca udziałowcem lub akcjonariuszem, której przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji tej osoby prawnej,
• osoba fizyczna dysponująca więcej niż 25% ogólnej liczby głosów w organie stanowiącym  spółki, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu,
• osoba fizyczna sprawująca kontrolę nad osobą prawną lub osobami prawnymi, którym łącznie przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji, lub łącznie dysponującą więcej niż 25% ogólnej liczby głosów w organie stanowiącym tej osoby prawnej, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu,
• osoba fizyczna sprawująca kontrolę nad osobą prawną przez posiadanie w stosunku do niej uprawnień, o których mowa w art. 3 ust. 1 pkt 37 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2019 r. poz. 351), lub
• osoba fizyczna zajmująca wyższe stanowisko kierownicze w organach spółki - w przypadku udokumentowanego braku możliwości ustalenia lub wątpliwości co do tożsamości osób fizycznych określonych w powyższych punktach oraz w przypadku niestwierdzenia podejrzeń prania pieniędzy lub finansowania terroryzmu.

W przypadku podmiotu będącego trustem w rozumieniu ustawy AML, beneficjentem rzeczywistym jest w szczególności:

• założyciel trustu,
• powiernik trustu,
• nadzorca trustu (jeśli został ustanowiony),
• beneficjent trustu,
• grupowy beneficjent trustu – w przypadku gdy osoby fizyczne czerpiące korzyści z danego trustu nie zostały jeszcze określone (grupa osób, w których głównym interesie powstał lub działa trust)
• inna osoba sprawująca kontrolę nad trustem
• każda inna osoba fizyczna posiadająca uprawnienia lub wykonująca obowiązki równoważne z określonymi w powyższych punktach

Ustawa AML definiuje jeszcze jeden przypadki, w którym instytucja obowiązana identyfikuje beneficjentów rzeczywistych swoich klientów: w przypadku klienta, który jest osobą fizyczną prowadzącą działalność gospodarczą, wobec którego nie stwierdzono przesłanek lub okoliczności mogących wskazywać na sprawowanie kontroli nad nim przez inną osobę fizyczną lub osoby fizyczne przyjmuje się, że taki klient jest jednocześnie beneficjentem rzeczywistym.

Jednak w tym przypadku informacja o beneficjentach rzeczywistych (osób fizycznych prowadzących działalność gospodarczą) nie jest przekazywana do Centralnego Rejestru Beneficjentów Rzeczywistych. Pełna definicja beneficjenta rzeczywistego znajduje się w art. 2 ust. 2 pkt 1 ustawy AML.

Podstawa prawna

Utworzenie Centralnego Rejestru Beneficjentów Rzeczywistych stanowi realizację przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu (tzw. IV dyrektywa AML). Przepisy Unii Europejskiej zobowiązują państwa członkowskie do przechowywania informacji na temat beneficjentów rzeczywistych w centralnym rejestrze oraz do udostępniania tych informacji właściwym organom i jednostkom analityki finansowej, a także podmiotom zobowiązanym (w ramach stosowania środków należytej staranności wobec klienta).

W Polsce podstawą funkcjonowania CRBR jest ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz. U. z 2021 r., poz. 1132 ze zm.), która implementuje przepisy IV i V dyrektywy AML.

W Polsce Centralny Rejestr Beneficjentów Rzeczywistych jest jawny i ma charakter publiczny.

Sposób i tryb składania zgłoszeń do CRBR oraz sposób sporządzania i składania wniosków o udostępnienie informacji, wraz z trybem składania i udostępniania, jest uregulowany w rozporządzeniach Ministra Finansów.

ISTOTA PRZEDSTAWICIELSTWA

 

• Istota przedstawicielstwa

• Pełnomocnik rzekomy 

• Wyznaczenie terminu na potwierdzenie czynności „pełnomocnika” 

• Forma potwierdzenia czynności

• Brak potwierdzenia umowy

• Odpowiedzialność rzekomego pełnomocnika wobec drugiej strony umowy

• Fałszywy pełnomocnik a mocodawca - jaka jest odpowiedzialność?

W obrocie gospodarczym zawarcie umowy z pełnomocnikiem (reprezentującym drugą stronę czynności prawnej) może wiązać się z ryzykiem, że osoba ta nie posiada w ogóle kompetencji do dokonywania czynności ze skutkiem bezpośrednio dla mocodawcy. Brak prawidłowego umocowania może wynikać z błędów przy udzielaniu pełnomocnictwa lub z celowego działania osoby podającej się za pełnomocnika mimo braku stosownego umocowania. Co zatem jeżeli do umowy przystąpił fałszywy pełnomocnik?

Istota przedstawicielstwa:

Zgodnie z art. 95 § 1 i 2 Kodeksu cywilnego (w dalszej części zwanego kc), z zastrzeżeniem wyjątków w ustawie przewidzianych albo wynikających z właściwości czynności prawnej, można dokonać czynności prawnej (przykładowo zawarcia umowy sprzedaży) przez przedstawiciela. Czynność prawna dokonana przez przedstawiciela w granicach umocowania pociąga za sobą skutki bezpośrednio dla reprezentowanego. 

Pełnomocnik rzekomy: 

Osobę, która zawiera umowę w cudzym imieniu, nie mając do tego umocowania lub przekraczając jego granice, określa się w literaturze przedmiotu fałszywym (rzekomym) pełnomocnikiem. Zawarcie umowy z rzekomym pełnomocnikiem reguluje art. 103 § 1–3 kc. Zgodnie z treścią wspomnianego przepisu zawarcie umowy z osobą podającą się za pełnomocnika, a niemającą umocowania albo przekraczającą jego zakres, powoduje, że czynność prawna jest niezupełna (w piśmiennictwie zwana także „ułomną”). Oznacza to, że ważność umowy zależy od jej potwierdzenia przez osobę, w której imieniu umowa została zawarta.

Art. 103 kc odnosi się do dwóch odrębnych przypadków działania rzekomego pełnomocnika, tj. polegających na zawarciu umowy przez osobę działającą bez umocowania lub osobę przekraczającą zakres rzeczowy umocowania. Z zawarciem umowy przez osobę działającą jako pełnomocnik mimo braku umocowania mamy do czynienia w sytuacji, gdy: 

pełnomocnictwo w ogóle nie było skutecznie udzielone (przykładowo mocodawca nie złożył wymaganego oświadczenia, pełnomocnictwo zostało udzielone innej osobie, mocodawca w trakcie udzielania pełnomocnictwa znajdował się w stanie wyłączającym świadome albo swobodne powzięcie decyzji i wyrażenie woli), pełnomocnictwo zostało udzielone, ale jest nieważne (przykładowo przy udzielaniu pełnomocnictwa nie została zachowana forma szczególna, od której zależy ważność danej czynności. W tym miejscu warto zauważyć, że zgodnie z art. 99 kc, jeżeli do ważności czynności prawnej potrzebna jest szczególna forma, pełnomocnictwo do dokonania tej czynności powinno być udzielone w tej samej formie).

Przekroczenie zakresu umocowania ma natomiast miejsce wtedy, gdy osoba, która w rzeczywistości jest pełnomocnikiem, dokonuje czynności prawnej w imieniu mocodawcy, jednakże czynność ta nie jest objęta zakresem umocowania. Jako przykład można wskazać sytuację oddania przez pełnomocnika rzeczy w najem zamiast dokonanie jej sprzedaży. W literaturze przedmiotu wskazuje się natomiast, że nie stanowi przekroczenia zakresu umocowania naruszenie przez pełnomocnika wskazań i zaleceń przekazanych mu przez mocodawcę (w sytuacji, gdy nie były one znane drugiej stronie umowy). Zgodnie przyjmuje się, że powyższy błąd nie wpływa na ważność i skuteczność umowy. Nieprzestrzeganie przekazanych wskazówek może wyłącznie oddziaływać na relacje mocodawcy i pełnomocnika. 

Na marginesie warto zauważyć, że art. 103 § 1 kc nie dotyczy przypadków, gdy pełnomocnictwo zostało udzielone, a następnie wygasło.

Wyznaczenie terminu na potwierdzenie czynności „pełnomocnika”: 

W celu ograniczenia stanu niepewności co do ważności umowy zawartej z osobą reprezentowaną przez osobę działającą bez lub z przekroczeniem zakresu umocowania, druga strona może wyznaczyć osobie, w której imieniu umowa została zawarta, termin do jej potwierdzenia. Przepisy Kodeksu cywilnego nie wyznaczają mocodawcy żadnego konkretnego terminu do potwierdzenia lub odmowy potwierdzenia dokonanej czynności. Długość wyznaczonego terminu zależy od decyzji drugiej strony. Zgodnie z art. 103 § 2 kc wyznaczony termin powinien być jednak odpowiedni. W praktyce długości odpowiedniego terminu nie można ustalić w oderwaniu od konkretnego stanu faktycznego. Za termin odpowiedni można uznać termin, który w konkretnych okolicznościach pozwala w zwykłym toku czynności na: zapoznanie się przez osobę reprezentowaną z treścią umowy, wynikającymi z umowy skutkami prawnymi, przemyślenie warunków umowy, podjęcie decyzji i złożenie stosownego oświadczenia (z uwzględnieniem czasu na jego przesłanie i doręczenie adresatowi). Należy uznać, że odpowiedni termin nie może być obiektywnie zbyt krótki lub zbyt długi. Powinien być on oceniany obiektywnie – w związku z tym w literaturze podniesiono, że jeżeli druga strona wyznaczyła termin zbyt krótki, a potwierdzenie zostało dokonane w czasie obiektywnie odpowiednim, umowę uznaje się za skuteczną i wiążącą strony.

Forma potwierdzenia czynności:

Potwierdzenie czynności jakich dokonał fałszywy pełnomocnik może nastąpić z własnej inicjatywy mocodawcy lub z uwagi na termin określony przez drugą stronę umowy. Może być dokonane w dowolnej formie – przykładowo w drodze oświadczenia woli albo poprzez czynności dorozumiane (tak zwane konkludentne). Dorozumiane potwierdzenie umowy może polegać przykładowo na przystąpieniu mocodawcy do wykonywania umowy. Ta forma potwierdzenia jest jednak możliwa wyłącznie w sytuacji, gdy mocodawca zdaje sobie sprawę, że doszło do zawarcia umowy w jego imieniu i jego zachowanie będzie uznawane za zgodę na dokonanie czynności. Wyraźne oświadczenie woli potwierdzające zawarcie umowy może zostać złożone w dowolnej formie – to jest ustnie lub pisemnie. Jeżeli jednak do ważności konkretnej czynności prawnej potrzebna była forma szczególna (przykładowo zgodnie z art. 158 kc umowa zobowiązująca do przeniesienia własności nieruchomości powinna być zawarta w formie aktu notarialnego), to potwierdzenie powinno nastąpić w takiej samej formie szczególnej. Należy również wskazać, że w razie śmierci strony uprawnienie do potwierdzenia umowy zawartej przez rzekomego pełnomocnika przechodzi na spadkobierców, chyba że czynność dokonana przez pełnomocnika jest ściśle związana z osobą zmarłego (wyrok Sądu Najwyższego z 9 stycznia 2008 r. o sygn. II CSK 394/07). Skutkiem prawnym potwierdzenia jest to, że umowa staje się ważna (wywołuje wszystkie właściwe dla niej skutki prawne) od chwili jej zawarcia, to jest od chwili złożenia oświadczenia woli przez fałszywego pełnomocnika. 

Brak potwierdzenia umowy:

Przepis art. 103 § 1 kc stanowi, że w sytuacji, gdy zawierający umowę jako pełnomocnik nie ma umocowania albo przekroczy jego zakres, ważność umowy zależy od jej potwierdzenia przez osobę, w której imieniu została zawarta. Oznacza to, że umowa zawarta przez „fałszywego” pełnomocnika jest bezskuteczna (mówi się w tym wypadku o tzw. bezskuteczności zawieszonej), chyba że zostanie przez mocodawcę potwierdzona. Bezskuteczność zawieszona oznacza, że czynność nie pozostaje ani ważna, ani nieważna. 

W świetle wyroku Sądu Apelacyjnego w Warszawie z 23 maja 2014 r. (sygn. I ACa 1793/13) należy wskazać, że odmowa potwierdzenia umowy przez mocodawcę może zostać wyrażona w dowolnej formie, czyli poprzez ustne lub pisemne oświadczenie oraz w sposób dorozumiany. W razie odmowy potwierdzenia umowy jest ona nieważna z mocą wsteczną, czyli od chwili jej zawarcia przez fałszywego pełnomocnika. Należy też wskazać, że w sytuacji, gdy wyznaczony przez drugą stronę termin jest obiektywnie odpowiedni, to jego bezskuteczny upływ (milczenie rzekomego mocodawcy) powoduje, że umowa staje się ostatecznie nieważna i nie może zostać potwierdzona. 

Na potwierdzenie powyższego można przywołać wyrok Sądu Najwyższego z 7 listopada 1997 r. (sygn. II CKN 431/97) traktujący o sankcji nieważności umowy w przypadku braku potwierdzenia czynności, których dokonał fałszywy pełnomocnik. Zgodnie z powyższym orzeczeniem kontrahent osoby, w której imieniu umowa została zawarta, może powołać się na nieważność umowy dopiero po odmowie jej potwierdzenia przez tę osobę lub po bezskutecznym upływie terminu wyznaczonego do potwierdzenia umowy.

Odpowiedzialność rzekomego pełnomocnika wobec drugiej strony umowy:

Potwierdzenie czynności prawnej przez mocodawcę wyłącza odpowiedzialność cywilną fałszywego pełnomocnika wobec osoby, z którą dokonał czynności prawnej. Jeżeli jednak czynność nie zostanie potwierdzona (odmowa potwierdzenia lub bezskuteczny upływ odpowiedniego terminu wyznaczonego do jej potwierdzenia), fałszywy pełnomocnik zobowiązany jest do:

zwrotu tego, co otrzymał od drugiej strony w wykonaniu umowy oraz 

naprawienia szkody, którą druga strona poniosła przez to, że zawarła umowę, nie wiedząc o braku umocowania lub o przekroczeniu jego zakresu. 

Należy zwrócić uwagę, że odpowiedzialność fałszywego pełnomocnika ma charakter obiektywny, co oznacza, że jest niezależna od jego stanu wiedzy oraz motywacji. W związku z powyższym fałszywy pełnomocnik ponosi odpowiedzialność także wtedy, gdy nie wiedział i przy dołożeniu należytej staranności nie mógł wiedzieć, że działa bez umocowania. 

Fałszywy pełnomocnik a mocodawca - jaka jest odpowiedzialność?:

W aktualnym stanie prawnym nie ma przepisu regulującego zakres odpowiedzialności rzekomego pełnomocnika wobec mocodawcy. Co do zasady zastosowanie znajdą tu przepisy o odpowiedzialności deliktowej (art. 415 kc), co oznacza, że pełnomocnik poniesie odpowiedzialność, jeżeli ze swojej winy wyrządził mocodawcy szkodę. W sytuacji, gdy fałszywy pełnomocnik będzie jednak działał poza zakresem swojego umocowania, a tego rodzaju działanie będzie skutkowało niewykonaniem lub nienależytym wykonaniem umowy łączącej go z mocodawcą (np. umowy zlecenia), wówczas taki pełnomocnik może ponieść odpowiedzialność za niewykonanie lub nienależyte wykonanie umowy, tj. odpowiedzialność kontraktową z art. 471 kc.

Ochronę danych w Polsce reguluje przede wszystkim Ogólne rozporządzenie o ochronie danych (Rozporządzenie (UE) 2016/679) („RODO”), które zostało wdrożone do polskiego prawa na mocy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych

 

Rozpocząć proces 

Polska - Przegląd ochrony danych



Z powrotem

SPIS TREŚCI

WPROWADZENIE

+ 1. TEKSTY WŁAŚCIWE

+ 2. ZAKRES ZASTOSOWANIA

+ 3. URZĄD OCHRONY DANYCH | ORGAN REGULACYJNY

4. KLUCZOWE DEFINICJE

+ 5. PODSTAWY PRAWNE

6. ZASADY

+ 7. OBOWIĄZKI KONTROLERA I PROCESORA

+ 8. PRAWA PODMIOTU DANYCH

8.1. Prawo do informacji

8.2. Prawo dostępu

8.3. Prawo do sprostowania

8.4. Prawo do usunięcia

8.5. Prawo do sprzeciwu/rezygnacji

8.6. Prawo do przenoszenia danych

8.7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji

8.8. Inne prawa

+ 9. KARY

Marzec 2022

WPROWADZENIE

Ochronę danych w Polsce reguluje przede wszystkim Ogólne rozporządzenie o ochronie danych (Rozporządzenie (UE) 2016/679) („RODO”), które zostało wdrożone do polskiego prawa na mocy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (" scena').

1. TEKSTY WŁAŚCIWE

1.1. Kluczowe ustawy, rozporządzenia, dyrektywy, ustawy

W ramach wdrażania RODO uchwalono ustawę regulującą kwestie proceduralne oraz inne szczegółowe zasady dotyczące m.in.:

obowiązek wyznaczenia przez organy publiczne inspektora ochrony danych („IOD”);

powiadomienie o wyznaczeniu inspektora ochrony danych;

wyznaczenie „zastępcy DPO” pod nieobecność DPO;

akredytację podmiotu uprawnionego do udzielania certyfikacji;

podmioty uprawnione do monitorowania kodeksów postępowania i certyfikacji;

zatwierdzenie kodeksu postępowania;

uprawnienia organu nadzorczego;

Europejska współpraca administracyjna;

odpowiedzialność cywilna, odpowiedzialność karna i grzywny administracyjne; oraz

zmiany w Kodeksie pracy z 1974 r. („Kodeks pracy”) dotyczące monitorowania pracowników.

Ponadto ustawa z dnia 21 lutego 2019 r. o zmianie ustaw sektorowych w celu zapewnienia stosowania RODO (dostępna tylko w języku polskim tutaj ) („ustawa zmieniająca”) ma na celu dostosowanie polskiego systemu prawnego do wymogów wynikających z RODO. Wprowadziła zmiany do prawie 170 odrębnych ustaw sektorowych, w tym:

Kodeks Pracy;

Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (dostępna tylko w języku polskim tutaj ) („Prawo Bankowe”);

Ustawa z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (dostępna tylko w języku polskim tutaj );

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dostępna tylko w języku polskim tutaj );

Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (dostępna tylko w języku polskim tutaj ) („Ustawa o świadczeniu usług drogą elektroniczną”);

Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (dostępna tylko w języku polskim tutaj );

Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (dostępna tylko w języku polskim tutaj );

Ustawa z dnia 10 kwietnia 1997 r. Prawo energetyczne (dostępna tylko w języku polskim tutaj );

ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (dostępna tylko w języku polskim tutaj ); oraz

Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (dostępna tylko w języku polskim tutaj ).

1.2. Wytyczne

Do tej pory najważniejsze wytyczne wydane przez polski organ ochrony danych („UODO”) to:

wskazówki, jak zastosować podejście oparte na ryzyku (dostępne tylko w języku polskim tutaj );

Zmieniony wykaz operacji przetwarzania danych wymagających oceny skutków dla ochrony danych („DPIA”);

wytyczne dotyczące prowadzenia ewidencji wraz ze wzorami ewidencji czynności przetwarzania oraz ewidencji wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, wraz z wzorami wypełnionych wzorów (dostępne tylko w języku polskim tutaj );

wytyczne dotyczące telewizji przemysłowej (dostępne tylko w języku polskim tutaj );

wytyczne dotyczące ochrony danych w miejscu pracy (dostępne tylko w języku polskim tutaj );

wytyczne dotyczące przetwarzania danych osobowych w szkołach i placówkach oświatowych (dostępne tylko w języku polskim tutaj );

wytyczne dotyczące obowiązków administratorów związanych z naruszeniami danych (dostępne tylko w języku polskim tutaj )

wytyczne dotyczące ochrony danych w kampaniach wyborczych (dostępne tylko w języku polskim tutaj ); oraz

Bezpieczeństwo danych osobowych podczas nauki zdalnej .

1.3. Orzecznictwo

Proszę zapoznać się z sekcją 9.1. poniżej.

2. ZAKRES ZASTOSOWANIA

2.1. Zakres osobisty

Ustawa precyzuje, że dotyczy ona ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 RODO.
Ustawa zmieniająca nie reguluje tej kwestii.

2.2. Zakres terytorialny

Ustawa wyraźnie wprowadza art. 3 RODO dotyczący zakresu terytorialnego RODO.
Ustawa zmieniająca nie przewiduje modyfikacji przepisów dotyczących stosowania RODO.

2.3. Zakres rzeczowy

Ustawa odwołuje się wprost do art. 2 RODO. W kolejnych częściach niniejszych wytycznych opisujemy niektóre odmiany prawa krajowego ważne dla przedsiębiorstw.
Ponadto krajowe przepisy dotyczące różnych rodzajów tajemnicy (np. tajemnica bankowa, tajemnica komunikacyjna) mogą mieć wpływ na zasady przetwarzania danych osobowych, w szczególności podstawy prawne przetwarzania.

3. URZĄD OCHRONY DANYCH | ORGAN REGULACYJNY

3.1. Główny regulator ochrony danych

UODO jest głównym regulatorem ochrony danych w Polsce. Ponadto naruszenie zasad marketingu bezpośredniego może skutkować podjęciem działań przez inne organy, takie jak Prezes Urzędu Ochrony Konkurencji i Konsumentów czy Prezes Urzędu Komunikacji Elektronicznej .

3.2. Główne uprawnienia, obowiązki i odpowiedzialność

Zasady powoływania i kompetencje UODO określa ustawa, która przede wszystkim przypomina uprawnienia, obowiązki i odpowiedzialność określone w RODO.
Te uprawnienia, obowiązki i odpowiedzialność obejmują:

przeprowadzanie audytów zgodności, wykonywanie i wydawanie decyzji administracyjnych, informowanie o decyzjach, gdy leży to w interesie publicznym;

występowanie do sądów administracyjnych o wydanie opinii na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej w sprawie ważności orzeczeń Komisji Europejskiej ;

zwrócenie się do innych organów o zapewnienie skutecznej ochrony danych osobowych;

opiniowanie proponowanych regulacji prawnych dotyczących danych osobowych;

udostępnia na swojej stronie internetowej standardowe klauzule umowne („SCC”), zatwierdzone kodeksy postępowania, standardowe klauzule ochrony danych oraz zalecenia dotyczące środków technicznych i organizacyjnych;

ogłoszenie listy rodzajów przetwarzania, które wymagają (lub nie wymagają) DPIA;

zatwierdzanie Wiążących Reguł Korporacyjnych („Wiążących Reguł Korporacyjnych”);

upoważnienie odpowiednich zabezpieczeń na podstawie art. 46 RODO;

przeprowadzanie wcześniejszych konsultacji;

domaganie się postępowania dyscyplinarnego lub innego postępowania sądowego przeciwko sprawcom naruszeń oraz żądanie zawiadomienia w określonym terminie o skutkach podjętych działań; oraz

współpraca z innymi organami nadzorczymi.

Ustawa powołuje ponadto Radę Ochrony Danych Osobowych, która jest organem opiniodawczo-doradczym UODO.

4. KLUCZOWE DEFINICJE

Nie ma żadnych różnic w prawie krajowym w odniesieniu do poniższych definicji. Obowiązują przepisy RODO.
Administrator danych:  W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Podmiot przetwarzający dane:  W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane osobowe:  W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane wrażliwe:  W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane zdrowotne:  W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane biometryczne:  W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Pseudonimizacja:  w polskim prawie nie ma definicji. Obowiązuje definicja RODO.

5. PODSTAWY PRAWNE

5.1. Zgoda

Nie ma żadnych różnic w prawie krajowym w odniesieniu do zgody jako podstawy prawnej.
Kodeks pracy przewiduje jednak szczególne zasady dotyczące przetwarzania danych kandydata do pracy/pracownika na podstawie zgody. Te szczegółowe zasady zostały opisane w punkcie 5.7. poniżej.

5.2. Umowa z osobą, której dane dotyczą

Nie ma żadnych różnic w prawie krajowym w odniesieniu do wykonania umowy jako podstawy prawnej.
Jednak niektóre akty prawne, takie jak Kodeks pracy czy Prawo bankowe, określają, jakie dane ma obowiązek gromadzić administrator.

5.3. Zobowiązania prawne

Nie ma żadnych różnic w prawie krajowym w odniesieniu do obowiązku prawnego jako podstawy prawnej.
Istnieje jednak szereg przepisów prawa, które nakładają obowiązki prawne, o których mowa w art. 6 ust. 1 lit. c RODO.

5.4. Interesy osoby, której dane dotyczą

Nie istnieją żadne różnice w prawie krajowym w odniesieniu do ochrony interesów osoby, której dane dotyczą, jako podstawy prawnej.

5.5. Interes publiczny

Istnieją sytuacje, w których ustawa zmieniająca wprowadza odstępstwa dotyczące art. 6 ust. 1 lit. e w związku z art. 6 ust. 2 i art. 6 ust. 3 RODO skierowane do organów publicznych. Przykładowo w przypadku działania Inspekcji Ochrony Środowiska ustawa nowelizująca określa, w jaki sposób należy wypełnić obowiązki przetwarzania danych (np. sposób przekazywania informacji o ochronie prywatności, ograniczenie niektórych praw osób, których dane dotyczą).

5.6. Prawnie uzasadnione interesy administratora danych

Nie ma żadnych różnic w prawie krajowym w odniesieniu do uzasadnionych interesów jako podstawy prawnej.

5.7. Podstawy prawne w innych przypadkach

Szczegółowe zasady przetwarzania danych pracowników
Co do zasady, zgodnie z Kodeksem pracy, pracodawca jest zobowiązany do przetwarzania danych osobowych kandydatów/pracowników wyraźnie wymienionych w Kodeksie pracy i innych przepisach, takich jak:

Ustawa z dnia 13 października 1998 r. o ubezpieczeniu społecznym (dostępna tylko w języku polskim tutaj );

Ustawa z dnia 4 marca 1994 r. o Funduszu Świadczeń Socjalnych (dostępna tylko w języku polskim tutaj ); oraz

Ustawa z dnia 4 października 2018 r. o Pracowniczych Planach Kapitałowych (dostępna tylko w języku polskim tutaj ).

Ponadto pracodawca może zażądać innych danych, jeżeli jest to niezbędne do wykonania prawa lub wykonania obowiązku wynikającego z przepisu prawa.
Ponadto pracodawca może gromadzić i przetwarzać dane w celu wykonania umowy o pracę (np. związanej z wynagrodzeniem) na podstawie art. 6 ust. 1 lit. b RODO lub opłacania podatków i składek na ubezpieczenie społeczne na podstawie art. 6 ust. ) lit. c RODO. Zgoda i prawnie uzasadniony interes są również realną podstawą prawną przetwarzania danych osobowych pracowników.
Zgodnie z Kodeksem pracy pracodawca może przetwarzać dane osobowe inne niż określone w przepisach prawa pracy (np. wizerunek i interesy osoby) za zgodą osoby, której dane dotyczą. Takie dane kandydat lub pracownik powinien podać na żądanie (potencjalnego) pracodawcy lub z własnej inicjatywy.
Zgoda nie może być podstawą prawną przetwarzania danych osobowych dotyczących wyroków skazujących i przestępstw uregulowanych w art. 10 RODO. Jedyną podstawą takiego przetwarzania jest niezbędność do wypełnienia obowiązku prawnego.
Przetwarzanie szczególnych kategorii danych przez pracodawcę może opierać się na zgodzie tylko wtedy, gdy pracownik poda takie dane z własnej inicjatywy. Pracodawcy mogą również przetwarzać dane biometryczne pracowników, jeżeli jest to konieczne do zapewnienia kontroli dostępu do szczególnie ważnych informacji lub do pomieszczeń wymagających szczególnej ochrony.
Pracownicy, którzy będą przetwarzać szczególne kategorie danych, powinni otrzymać do tego pisemne upoważnienie i powinni być zobowiązani do zachowania poufności.
Zgodnie z Kodeksem pracy brak zgody na przetwarzanie danych lub jej cofnięcie nie może być podstawą niekorzystnego traktowania kandydata lub pracownika i nie może powodować dla tych osób żadnych negatywnych konsekwencji. W szczególności nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
Dodatkowo przepisy Kodeksu pracy wprowadzone ustawą regulują monitoring pracowników (tj. monitoring, monitoring poczty elektronicznej i inne środki monitoringu). Możliwy jest monitoring pracowników na podstawie prawnie uzasadnionego interesu pracodawcy pod warunkiem, że spełnione są łącznie następujące wymagania (w zależności od rodzaju działań monitorujących):

cele telewizji przemysłowej mogą obejmować konieczność zapewnienia bezpieczeństwa pracowników lub ochrony mienia, kontroli produkcji, zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkody;

cele dla poczty elektronicznej i innych form monitoringu (np. monitorowanie rozmów telefonicznych, logów z kart RFID, urządzeń biznesowych, lokalizacji i bezpiecznej jazdy, aktywności w sieci, odwiedzanych stron internetowych, rozliczeń itp.) mogą obejmować konieczność zapewnienia organizacji pracy umożliwiające pełne wykorzystanie czasu pracy (w tym sprawną organizację pracy) oraz właściwe korzystanie z udostępnionych pracownikowi narzędzi pracy (np. czy pracownik korzysta z konta e-mail zgodnie z instrukcją, w szczególności pod kątem zapewnienia bezpieczeństwa ). Kodeks pracy wymienia tylko dwa cele, ale naszym zdaniem cele te należy interpretować szeroko. Obecnie nie jest jasne, czy pracodawcy mogą monitorować pracowników w innych celach;

cel, zakres i sposób monitorowania należy określić w regulaminie pracy, w Zakładowym Układzie Zbiorowym Pracy („CCLA”) lub w ogłoszeniu (w przypadku braku regulaminu pracy lub CCLA). Jeżeli u pracodawcy działają związki zawodowe, zmiana regulaminu pracy lub CCLA będzie wymagać współpracy ze związkami zawodowymi;

pracodawca jest obowiązany poinformować swoich pracowników o wdrożeniu monitoringu, w sposób przez siebie zatwierdzony, nie później niż na dwa tygodnie przed jego rozpoczęciem;

pracodawca jest obowiązany udzielić nowym pracownikom pisemnych informacji o celu, zakresie i metodach monitorowania przed dopuszczeniem ich do pracy;

monitorowanie nie powinno naruszać poufności korespondencji i innych dóbr osobistych pracownika (np. prywatne e-maile pracowników nie powinny być monitorowane);

w przypadku telewizji przemysłowej pracodawca musi przestrzegać wymagań dotyczących lokalizacji kamer (na ogół nie należy instalować kamer w toaletach, szatniach, stołówkach, palarniach, a także w pomieszczeniach udostępnionych związkom zawodowym);

pracodawca może przechowywać nagrania z telewizji przemysłowej przez okres do trzech miesięcy, chyba że nagrania służą jako dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca ma wiedzę, że mogą one stanowić dowód w postępowaniu;

pracodawca jest zobowiązany do oznakowania monitorowanych pomieszczeń i obszarów w sposób widoczny, czytelny za pomocą odpowiednich znaków lub komunikatów dźwiękowych, nie później niż na jeden dzień przed rozpoczęciem monitoringu w miejscu pracy; oraz

należy przestrzegać pozostałych zasad opisanych w RODO, w tym zasad celowości i minimalizacji danych.

Monitoring pomieszczeń sanitarnych wymaga uprzedniej zgody związków zawodowych lub, w przypadku ich braku, uprzedniej zgody przedstawicieli pracowników wybranych w sposób przyjęty przez pracodawcę.
Szczegółowe zasady dotyczące marketingu bezpośredniego
Zgodnie z polskim prawem marketing bezpośredni należy rozpatrywać z kilku perspektyw:

perspektywa ochrony danych;

perspektywy ustawy o świadczeniu usług drogą elektroniczną (w zakresie przesyłania informacji marketingowych w formie wiadomości e-mail, wiadomości SMS/MMS oraz powiadomień push za pośrednictwem aplikacji i stron internetowych); oraz

ustawa z dnia 16 lipca 2004 r . Prawo telekomunikacyjne („Prawo Telekomunikacyjne”) (w zakresie marketingu za pośrednictwem telefonu, poczty elektronicznej, wiadomości SMS/MMS oraz powiadomień push za pośrednictwem aplikacji i stron internetowych).

Perspektywa ochrony danych
Zgodnie z przepisami o ochronie danych marketing może być realizowany na podstawie zgody lub uzasadnionego interesu.
Marketing bezpośredni w oparciu o Ustawę o świadczeniu usług drogą elektroniczną
W celu przesyłania informacji handlowych kierowanych do konkretnej osoby fizycznej środkami komunikacji elektronicznej, takich jak sms, e-mail, powiadomienia push za pośrednictwem aplikacji i serwisów internetowych, wymagana jest zgoda odbiorcy. Zgoda musi spełniać wymagania RODO.
Ponadto Ustawa o świadczeniu usług drogą elektroniczną została znowelizowana Ustawą Zmieniającą. Nowelizacja stanowi, że dostawcy usług społeczeństwa informacyjnego muszą uzyskać zgodę użytkownika na przetwarzanie jego danych osobowych, jeżeli wykracza to poza to, co jest konieczne do świadczenia takich usług do celów:

reklama; lub

badania rynku lub analizy zachowań lub preferencji użytkownika w celu poprawy jakości usług społeczeństwa informacyjnego.

Nie jest jasne, jakie dane należy uznać za niezbędne do świadczenia usług społeczeństwa informacyjnego, a zatem, kiedy należy uzyskać zgodę. Większość ekspertów ds. ochrony danych uważa, że ​​powyższe przepisy naruszają art. 6 RODO, ponieważ wprowadzają bardziej szczegółowe przepisy dotyczące zgodności z prawem przetwarzania bez podstaw do takiego odstępstwa w samym RODO. UODO milczy w tej kwestii.
Marketing bezpośredni na podstawie ustawy Prawo telekomunikacyjne
Ustawa Prawo Telekomunikacyjne reguluje w szczególności przesyłanie informacji marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych oraz rozmowy marketingowe. Obejmuje to:

wiadomości SMS/MMS; oraz

e-maile i rozmowy telefoniczne, w tym za pośrednictwem automatycznych systemów wywołujących.

Tak więc w Polsce dwie ustawy regulują tę samą kwestię przesyłania marketingu bezpośredniego za pośrednictwem e-maili i sms-ów. Prawo telekomunikacyjne wymaga uzyskania odrębnej zgody użytkownika końcowego na przesyłanie informacji marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych oraz połączeń marketingowych (w tym za pośrednictwem automatycznych systemów wywołujących). Zgoda musi spełniać wymagania RODO. W związku z powyższym, w celu prowadzenia działań marketingowych w pełnej zgodności z ustawą o świadczeniu usług drogą elektroniczną i ustawą Prawo telekomunikacyjne, wymagane są dwie odrębne zgody (jedna na przesyłanie informacji marketingowych i jedna na korzystanie z telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących) oraz wszelka zgoda wymagana z punktu widzenia ochrony danych (wg interpretacji UODO i Urzędu Komunikacji Elektronicznej). Jednakże, w praktyce zwykle się tego nie robi. Organizacje często zbierają tylko jedną zgodę na komunikację marketingową lub na określone kanały komunikacji.
Ustawa o świadczeniu usług elektronicznych i ustawa Prawo telekomunikacyjne częściowo implementowały dyrektywę o prywatności i łączności elektronicznej (2002/58/WE) (z późn. zm.) („dyrektywa o prywatności i łączności elektronicznej”) w opcji „opt in”, a nie „opt out” Model.
Opublikowano wstępny projekt ustawy Prawo o komunikacji elektronicznej (dostępny tylko w języku polskim tutaj ) („Projekt ustawy”), który ma zastąpić regulacje dotyczące marketingu bezpośredniego w ustawie o świadczeniu usług drogą elektroniczną i ustawie Prawo telekomunikacyjne. Obecnie, zgodnie z Projektem Ustawy, na przesyłanie informacji handlowych, w tym marketingu bezpośredniego za pomocą telekomunikacyjnych urządzeń końcowych, wymagana jest zgoda odbiorcy.
Szczegółowe zasady dotyczące plików cookie
Zgodnie z art. 173 ustawy Prawo telekomunikacyjne zgoda na korzystanie z plików cookies może być wyrażona poprzez dostosowanie ustawień oprogramowania zainstalowanego w telekomunikacyjnym urządzeniu końcowym, z którego korzysta ten abonent lub użytkownik końcowy lub poprzez dostosowanie konfiguracji usługi (np. poprzez ustawienia przeglądarki internetowej). ).
Choć zgodnie z art. 174 Prawa Telekomunikacyjnego zgodę na pliki cookie należy interpretować zgodnie z wymogami zgody RODO, to jednak niektórzy wydawcy uzyskują zgodę dorozumianą (np. poprzez dalsze korzystanie z serwisu) poprzez powołanie się na art. 173 Prawa Telekomunikacyjnego.
Przetwarzanie do celów naukowych lub badań historycznych
Ustawa nie reguluje podstaw prawnych przetwarzania danych osobowych. Jednak niektóre polskie ustawy sektorowe zapewniają określone podstawy prawne dla różnych czynności przetwarzania.
Ustawa zmieniająca wprowadziła zmiany w następujących ustawach w celu wdrożenia art. 89 RODO:

Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej (dostępna tylko w języku polskim tutaj ), obejmująca m.in. wyłączenie stosowania art. 15, 16, 18 i 21 RODO;

Ustawa z dnia 20 lipca 2018 r. o szkolnictwie wyższym i nauce (dostępna tylko w języku polskim tutaj ), regulująca przetwarzanie danych w celach badań naukowych, w tym m.in. o wyłączeniu stosowania art. 15, 16, 18 i 21 RODO w określonych sytuacjach. Zmiany te dotyczą wyłącznie podmiotów i instytucji wymienionych w tej ustawie. Dodatkowo w ramach tych zmian należy wprowadzić określone środki bezpieczeństwa przetwarzania danych osobowych w związku z badaniami naukowymi;

Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (dostępna tylko w języku polskim tutaj ), obejmująca m.in. ograniczenie stosowania art. 16 i 18 RODO; oraz

Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (dostępna tylko w języku polskim tutaj ) regulująca, że ​​dane zawarte w dokumentacji medycznej mogą być udostępniane w celu prowadzenia badań naukowych oraz dla celów statystycznych wyłącznie w formie zanonimizowanej.

6. ZASADY

Nie ma zmian w prawie krajowym w zakresie zasad dotyczących przetwarzania danych osobowych.

7. OBOWIĄZKI ADMINISTRATORA I PROCESORA

7. OBOWIĄZKI ADMINISTRATORA I PROCESORA

7.1. Powiadomienie o przetwarzaniu danych

Nie istnieją żadne krajowe szczególne wymogi dotyczące powiadamiania lub rejestracji, z wyjątkiem wymogu powiadomienia o wyznaczeniu inspektora / zastępcy inspektora ochrony danych opisanego w sekcji 7.5. poniżej.

7.2. Transfery danych

Nie ma zmian w prawie krajowym dotyczących przekazywania danych.

W większości przypadków prawo krajowe nie wymaga przechowywania danych (biznesowych) ani dokumentacji na terenie Polski. Istnieją jednak pewne wyjątki od tej reguły, na przykład:

dokumentacja zawierająca informacje niejawne lub tajemnicę państwową; oraz

określone dane telekomunikacyjne w przypadku operatorów publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych.

7.3. Ewidencja przetwarzania danych

Nie ma zmian w prawie krajowym dotyczących zapisów przetwarzania danych.

7.4. Ocena wpływu na ochronę danych

Nie ma żadnych zmian w prawie krajowym dotyczących przeprowadzania DPIA.

Nie ma wykazu czynności wymagających uprzedniej konsultacji lub zezwolenia. UODO opublikował znowelizowany wykaz rodzajów czynności przetwarzania, dla których wymagane jest przeprowadzenie DPIA (patrz pkt 1.2. powyżej). UODO nie przewidział żadnych z góry określonych czynności o niewielkim wpływie, które są zwolnione z DPIA.

7.5. Powołanie inspektora ochrony danych

Ustawa wprowadza obowiązek zawiadomienia UODO o wyznaczeniu IOD w terminie 14 dni od dnia wyznaczenia lub o zmianach w IOD. Ponadto firma wyznaczająca IOD jest zobowiązana do opublikowania na swojej stronie internetowej danych kontaktowych IOD, w tym imienia, nazwiska, adresu e-mail lub numeru telefonu (lub, w przypadku braku strony internetowej, w sposób powszechnie dostępny w jej miejscu biznes). Praktyką rynkową jest podawanie adresu e-mail DPO zamiast jego numeru telefonu. Należy zauważyć, że organizacja może wybrać, czy woli publikować na swojej stronie internetowej informacje o adresie e-mail lub numerze telefonu wyznaczonego IOD, nie jest konieczne publikowanie obu.

Zgłoszenie powinno być dokonane elektronicznie i podpisane „profilem zaufanym” lub kwalifikowanym podpisem elektronicznym. Formularz zgłoszeniowy należy przesłać w języku polskim. Informacje o sposobie powiadomienia IOD znajdują się na stronie UODO tutaj .

Jeżeli na poziomie grupy wyznaczony jest DPO, a funkcja DPO ma objąć również Polskę, należy powiadomić UODO globalnego DPO.

Ustawa zmieniająca wprowadziła dodatkową rolę zastępcy IOD, który działa pod nieobecność IOD. Wymogi dotyczące stanowiska zastępcy IOD, zawiadomienia i publikowania danych teleadresowych są takie same jak w przypadku wyznaczenia IOD.

7.6. Powiadomienie o naruszeniu danych

Nie ma ogólnej krajowej zmiany lub wyłączenia w zgłoszeniu. Formularz zawiadomienia o naruszeniu jest dostępny w języku polskim tutaj . Zgłoszenie należy składać drogą elektroniczną w języku polskim.

7.7. Zatrzymywanie danych

W Polsce istnieje kilka ustawowych minimalnych lub maksymalnych okresów przechowywania określonych przez prawo. W innych przypadkach okresy przechowywania muszą być ustalone w oparciu o zasadę ograniczenia przechowywania RODO, stanowiącą, że dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do celu. Generalnie UODO nie wydał szczegółowych wytycznych na ten temat.

Przykłady okresów przechowywania określonych przez prawo obejmują:

dokumentacja pracownicza od 10 do 50 lat (w zależności od konkretnych okoliczności);

dokumentację wypadkową i wypadkową przy pracy z dziesięciu lat od sporządzenia akt;

nagrania z monitoringu pracowniczego przez trzy miesiące od daty nagrania (jeżeli nagrane zdarzenie podlega dalszemu postępowaniu, o ile zdarzenie zostało w pełni wyjaśnione); oraz

dokumentację podatkową za pięć lat od końca roku kalendarzowego, w którym nastąpiła płatność podatku.

W przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką nie ma zastosowania art. 5 RODO, regulujący m.in. zasadę ograniczenia przechowywania.

7.8. Dane dzieci

Przepisy krajowe nie zmieniają wieku zgody określonego w RODO. W przypadku usług świadczonych drogą elektroniczną (usługi on-line) małoletni mogą wyrazić zgodę na samodzielne przetwarzanie swoich danych osobowych po ukończeniu 16 roku życia.

W innych kontekstach, jeśli małoletni ma ukończone 13 lat, zarówno przedstawiciel prawny (np. rodzic), jak i małoletni muszą wyrazić zgodę na przetwarzanie danych osobowych małoletniego lub przedstawiciel prawny może wyrazić zgodę w imieniu małoletniego. Jeżeli osoba małoletnia nie ukończyła 13 roku życia, na przetwarzanie danych osobowych osoby małoletniej może wyrazić zgodę jedynie jej przedstawiciel ustawowy.

7.9. Szczególne kategorie danych osobowych

Nie ma ogólnych przepisów krajowych dotyczących przetwarzania szczególnych kategorii danych lub danych dotyczących wyroków skazujących, ale w polskich przepisach przewidziano pewne szczególne zmiany lub wyłączenia. Te szczególne przepisy mają zastosowanie przede wszystkim do organów publicznych i stanowią podstawę prawną do przetwarzania szczególnych kategorii danych lub danych dotyczących wyroków skazujących za przestępstwa oraz dalsze warunki, aby to zrobić.

Przykłady regulacji mających zastosowanie do sektora prywatnego obejmują:

Ustawa z dnia 11 września 2015 r. o ubezpieczeniach i reasekuracji (dostępna tylko w języku polskim tutaj ), na mocy której zakłady ubezpieczeń mogą przetwarzać szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia, w celu oceny ryzyka ubezpieczeniowego i wykonania umowy; oraz

Ustawa z dnia 11 września 2019 r. Prawo zamówień publicznych (dostępna tylko w języku polskim tutaj ), dotycząca obowiązku podania danych skazujących w określonych sytuacjach.

W niektórych przypadkach polskie przepisy wymagają szczególnych środków bezpieczeństwa w celu ochrony szczególnych kategorii danych osobowych lub danych o wyrokach skazujących. Głównymi środkami bezpieczeństwa przetwarzania szczególnych kategorii danych osobowych lub danych dotyczących wyroków karnych jest to, że tylko osoby odpowiednio upoważnione na piśmie, zobowiązane do zachowania poufności, mogą przetwarzać szczególne kategorie danych osobowych (np. osoby przetwarzające szczególne kategorie danych pracowników) lub dane dotyczące wyroków skazujących (np. osoby przetwarzające dane dotyczące wyroków skazujących w postępowaniu o zawarcie umowy koncesji na roboty budowlane lub usługi).

Szczegółowe zasady przetwarzania danych pracowników zostały opisane w punkcie 5.7. nad.

7.10. Umowy z administratorem i podmiotem przetwarzającym

Nie istnieją żadne różnice w prawie krajowym dotyczące umów o przetwarzanie danych i współpracy między administratorem a podmiotem przetwarzającym.

8. PRAWA PODMIOTU DANYCH

8.1. Prawo do informacji

Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 13 i 14 RODO nie mają zastosowania. Dodatkowo, w przypadku przetwarzania danych osobowych w związku z wypowiedziami akademickimi, art. 13 RODO nie ma zastosowania.

Administrator jest zwolniony z obowiązków informacyjnych na podstawie art. 13 ust. 3, 14 ust. 1, 14 ust. 2 i 14 ust. 4 RODO, jeżeli:

administrator wykonuje zadanie publiczne;

przetwarzanie służy wykonaniu takiego zadania; oraz

jest to niezbędne do realizacji celów określonych w art. 23 ust. 1 RODO, a także spełnione są inne warunki określone w art. 3 i 4 Ustawy.

Ustawa zmieniająca wprowadza zmiany w wielu ustawach i wyłącza organy publiczne z obowiązku udzielania indywidualnych informacji osobom, których dane dotyczą. Zamiast tego organy publiczne są zobowiązane do publikowania informacji publicznych na swoich stronach internetowych lub umieszczania informacji w widocznym miejscu w budynku, w którym działają.

Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa do informacji, np. zmiany przewidziane w ustawie z dnia 30 maja 2014 r. o prawach konsumenta (dostępne tylko w języku polskim tutaj ) umożliwiają mikroprzedsiębiorcom złożenie oświadczenia o ochronie prywatności na podstawie art. RODO poprzez zawieszenie go w siedzibie firmy w widocznym miejscu lub umieszczenie odpowiednich informacji na swojej stronie internetowej.

Zwolnienie to nie ma zastosowania, jeżeli:

osoba, której dane dotyczą, nie ma możliwości zapoznania się z polityką prywatności;

administrator danych przetwarza dane, o których mowa w art. 9 ust. 1 RODO (tj. dane kategorii specjalnej); oraz

administrator danych ujawnia dane, o których mowa w art. 9 ust. 1 RODO (tj. dane kategorii szczególnej), z wyjątkiem sytuacji, gdy ich ujawnienie odbywa się na podstawie zgody lub wypełnienia obowiązku prawnego.

8.2. Prawo dostępu

Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 15 RODO nie ma zastosowania. Dodatkowo w przypadku przetwarzania danych osobowych w związku z wypowiedziami akademickimi nie mają zastosowania art. 15 ust. 3 i art. 15 ust. 4 RODO.

Administratorzy realizujący zadanie publiczne są zwolnieni z obowiązku przekazywania osobom, których dane dotyczą, informacji określonych w art. 15 ust. 1 – 3 RODO, jeżeli ich niepodanie jest niezbędne do realizacji celów określonych w art. spełnione są inne warunki określone w art. 5 ustawy.

Zgodnie z ustawą administratorzy otrzymujący dane od podmiotu realizującego zadanie publiczne są zwolnieni z obowiązku przekazywania informacji określonych w art. 15 ust. mające na celu w szczególności zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, wykrywanie lub ściganie przestępstw.

Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa dostępu, np. w przypadku przetwarzania danych osobowych przez:

podmioty sektora finansowego w zakresie, w jakim jest to niezbędne do prawidłowego wykonywania ich zadań związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, a także zapobieganiem innym przestępstwom (np. banki, ubezpieczyciele, fundusze inwestycyjne itp.), w których. w przypadku, gdy wszystkie prawa opisane w art. 15 RODO są wyłączone; oraz

osoby wykonujące zawody radcy prawnego, notariusza, doradcy podatkowego, tłumacza przysięgłego oraz pracownika Prokuratora Generalnego RP („Zawody”), w którym to przypadku Ustawa zmieniająca ograniczyła stosowanie art. 15 1 i 15 ust. 3 RODO ze względu na ciążący na nich obowiązek zachowania tajemnicy.

8.3. Prawo do sprostowania

Zgodnie z ustawą w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką art. 16 RODO nie ma zastosowania.
Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa do sprostowania. Przykładowo w przypadku przetwarzania danych osobowych na potrzeby statystyki publicznej ustawa zmieniająca wyłączyła zastosowanie art. 16 RODO.

8.4. Prawo do usunięcia

Nie ma żadnych zmian w prawie krajowym dotyczących prawa do usunięcia.

8.5. Prawo do sprzeciwu/rezygnacji

Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką art. 21 RODO nie ma zastosowania.
Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa do sprzeciwu. Przykładowo w przypadku przetwarzania danych osobowych przez osoby wykonujące Zawody (patrz ust. 8.2. powyżej) Ustawa zmieniająca wyłącza zastosowanie art. 21 ust. 1 RODO ze względu na ciążący na nich obowiązek zachowania tajemnicy.

8.6. Prawo do przenoszenia danych

Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 20 RODO nie ma zastosowania.

8.7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji

Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką art. 22 RODO nie ma zastosowania.
Ponadto ustawa zmieniająca wprowadza szereg możliwości zautomatyzowanego podejmowania decyzji, w tym profilowania, oraz wyłącza prawo osoby, której dane dotyczą, do niepodlegania takim decyzjom, w szczególności w przypadku przetwarzania danych osobowych przez:

banki i inne podmioty udzielające kredytów w celu oceny zdolności kredytowej i ryzyka kredytowego;

ubezpieczycieli w celu oceny ryzyka ubezpieczeniowego i wykonywania innych czynności ubezpieczeniowych; oraz

Głównego Inspektoratu Transportu Drogowego w związku ze stosowaniem fotoradarów.

Wspomniani administratorzy muszą jednak spełnić dodatkowe wymagania.

8.8. Inne prawa

Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 18 i 19 RODO nie mają zastosowania. Dodatkowo, w przypadku przetwarzania danych osobowych w związku z wypowiedziami akademickimi, art. 18 RODO nie ma zastosowania.
Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące uprawnień wynikających z RODO. Przykładowo, w przypadku przetwarzania danych osobowych przez osoby wykonujące Zawody (patrz ust. 8.2. powyżej) Ustawa zmieniająca ograniczyła zastosowanie art. 18 i 19 RODO ze względu na nałożony na nie obowiązek zachowania tajemnicy.

9.1 Decyzje egzekucyjne

Dostęp do decyzji wydawanych przez UODO można uzyskać w trybie on-line (dostępne tylko w języku polskim tutaj ). UODO przeprowadza audyty zgodnie z rocznymi planami audytów i poza zakresem swojego planu audytów. Plan audytów na rok 2022 przewiduje audyty w zakresie:

banki przetwarzające dane osobowe w zakresie profilowania danych swoich klientów i potencjalnych klientów oraz sposobów informowania kredytobiorców o ocenie kredytowej; oraz

podmiotom przetwarzającym dane osobowe za pośrednictwem aplikacji mobilnych w zakresie sposobu zabezpieczenia i udostępniania danych w związku z korzystaniem z takich aplikacji.

Do chwili obecnej UODO wydał kilka decyzji nakładających kary administracyjne za różnego rodzaju niezgodności z RODO, takie jak:

nieudzielania informacji wymaganych na podstawie art. 14 RODO;

naruszenia danych, które spowodowały wyciek danych;

brak mechanizmu wycofania zgody;

brak współpracy z UODO;

brak umowy z podmiotem przetwarzającym dane oraz brak aktualizacji rejestru czynności przetwarzania; oraz

inne związane z tym naruszenia zasad ochrony danych osobowych.

Poniższa tabela przedstawia szczegóły ważnych decyzji/orzecznictwa:

Data decyzji
Wysokość grzywny
Opis decyzji UODO
15 marca 2019 r.
ok. 1 mln zł (ok. 203 600 euro )
Grzywna została nałożona na brokera danych za nieprzekazanie informacji o prywatności około sześciu milionom jednoosobowych przedsiębiorców.
W dniu 11 grudnia 2019 r. Wojewódzki Sąd Administracyjny w Warszawie („Sąd Administracyjny”) uchylił karę. Sąd Administracyjny uznał, że UODO powinien ponownie rozpatrzyć sprawę. Ponieważ ta ponowna ocena może mieć wpływ na wysokość grzywny, grzywna została uchylona. Wyrok nie jest ostateczny.
Decyzja (dostępna tylko w języku polskim tutaj ).
10 września 2019
Kwota przekroczyła 2,8 mln zł (ok. 570 400 euro)
Kara została nałożona na Morele.net, dużą platformę handlu elektronicznego, za niewprowadzenie odpowiednich zabezpieczeń przed nieuprawnionym dostępem do danych osobowych. Morele.net doznał poważnego ataku hakerów, w wyniku którego hakerzy przechwycili dane dotyczące 2,2 miliona jego klientów. Zebrane dane zostały następnie wykorzystane do przeprowadzenia spear phishingu i zostały opublikowane w Internecie.
3 września 2020 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Nie został sfinalizowany.
Decyzja (dostępna tylko w języku polskim tutaj ).
18 października 2019
40 000 zł (ok. 8150 euro)
Należy pamiętać, że maksymalna kara dla władz publicznych wynosi 100 000 zł
Kara została nałożona na burmistrza miasta m.in. za brak zgody na przetwarzanie danych, przetwarzanie danych osobowych przez okres dłuższy niż określony przepisami prawa, publikowanie posiedzeń rady miasta tylko na YouTube (bez tworzenia kopii zapasowych, co mogłoby skutkować ich niedostępność lub utrata), a także nie posiadanie informacji o wszystkich odbiorcach i okresach przechowywania wpisanych do rejestru czynności przetwarzania.
26 sierpnia 2020 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany.
Decyzja (dostępna tylko w języku polskim tutaj ).
16 października 2019
Kwota przekroczyła 201 000 zł (ok. 40 950 €)
Kara została nałożona na dostawcę marketingu bezpośredniego za nieułatwienie użytkownikom wypisania się z marketingu bezpośredniego (wycofanie zgody) oraz skorzystanie z prawa do usunięcia danych.
10 lutego 2021 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany
Decyzja (dostępna tylko w języku polskim tutaj ).
9 marca 2020
20 000 zł (ok. 4070 euro)
Kara została nałożona za uniemożliwienie przeprowadzenia kontroli. UODO zawiadomił spółkę o zamiarze przeprowadzenia kontroli w siedzibie spółki. W ogłoszonym czasie kontroli w urzędzie nie było ani jednego funkcjonariusza ani pracownika firmy. Kiedy UODO wyznaczył kolejny termin kontroli, firma kontynuowała tę ciekawą zabawę w chowanego. Ponadto spółka zrezygnowała z najmu lokalu biurowego, w którym miała być przeprowadzona kontrola, a wspólnicy spółki podjęli decyzję o likwidacji przedsiębiorstwa.
Decyzja (dostępna tylko w języku polskim tutaj ).
29 maja 2020
15.000 zł (ok. 3.050 €)
Kara została nałożona za nieudostępnienie UODO danych osobowych i innych informacji niezbędnych do wykonywania jego zadań. W następstwie skargi ze strony osoby fizycznej (początkowo wniesionej do organu ochrony danych Nadrenii-Palatynatu , a następnie skierowanej do UODO), UODO wielokrotnie zwracał się do firmy o wyjaśnienie i uzasadnienie stosowanych przez nią praktyk postępowania z danymi. Firma albo nie odpowiedziała, albo udzieliła niejasnych, wewnętrznie sprzecznych lub niezadowalających odpowiedzi.
26 stycznia 2021 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany.
Decyzja (dostępna tylko w języku polskim tutaj ).
3 czerwca 2020
5.000 zł (ok. 1.020 €)
Kara została nałożona za brak współpracy z UODO. Po zgłoszeniu naruszenia danych przez prywatnego właściciela żłobka, UODO wielokrotnie żądał kopii wiadomości, którą właściciel rzekomo przekazał zainteresowanym osobom. Prośby zostały przesłane listownie na podany przez właścicielkę adres do doręczeń korespondencji oraz adres jej głównego miejsca prowadzenia działalności. Właścicielowi nie udało się zebrać większości listów. Jednak jeden list, który zebrała, pozostał bez odpowiedzi.
Decyzja (dostępna tylko w języku polskim tutaj ).

21 sierpnia 2020
50 000 zł (ok. 10 200 euro)
Kara została nałożona na państwową uczelnię za niedopełnienie szeregu obowiązków wynikających z RODO, które wyszły na jaw po poważnym naruszeniu danych i późniejszej kontroli UODO. Pracownik uniwersytetu używał swojego prywatnego laptopa do celów związanych z pracą, nie będąc do tego upoważnionym zgodnie z regulaminem uczelni. Laptop zawierał kopię znacznej części bazy danych uniwersytetu, w tym dane osobowe dotyczące około 100 000 kandydatów, którzy aplikowali na uniwersytet w ciągu ostatnich pięciu lat. Laptop został skradziony, co doprowadziło do utraty poufności 81 624 rekordów. Po zgłoszeniu naruszenia UODO przeprowadził kontrolę pomieszczeń i baz danych uczelni. Stwierdził, że w tym przypadku wiele naruszeń nakładało się na siebie. Uczelnia nie zdołała: wdrożyć zabezpieczenia przed swoimi bazami danych; wdrożyć mechanizm śledzenia zdarzeń, w tym ekstrakcji, dotyczący jego baz danych; zapewnić przestrzeganie zasad dotyczących przynoszenia własnego urządzenia („BYOD”); oraz upewnić się, że dane osobowe kandydatów na studia zostały usunięte ze wszystkich lokalizacji po upływie obowiązujących okresów przechowywania.
13 maja 2021 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany.
Decyzja (dostępna tylko w języku polskim tutaj ).
3 grudnia 2020
1,9 mln zł (ok. 387 080 euro)
Kara została nałożona za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Ujawniło się to po naruszeniu danych i późniejszej kontroli UODO. UODO ustalił, że spółka nie prowadziła regularnych i kompleksowych badań lub pomiarów i ocen zabezpieczeń technicznych i organizacyjnych. Firma testowała swoje środki bezpieczeństwa tylko wtedy, gdy pojawiły się podejrzenia o lukę lub w związku ze zmianami organizacyjnymi. W szczególności spółka nie prowadziła testów pod kątem podatności związanych z transferem danych pomiędzy aplikacjami służącymi do obsługi klientów kupujących usługi przedpłacone. W tych okolicznościach,
Decyzja (dostępna tylko w języku polskim tutaj ).
9 grudnia 2020
85 588 zł (ok. 17 440 euro)
Kara została nałożona na zakład ubezpieczeń i reasekuracji za niezgłoszenie do UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki. Naruszenie danych polegało na wysłaniu przez agenta ubezpieczeniowego działającego jako podmiot przetwarzający firmy wiadomości e-mail zawierającej polisę ubezpieczeniową do nieuprawnionego odbiorcy. Polisa zawierała różne dane, w tym m.in, nazwiska, adresy i krajowe numery identyfikacyjne. UODO otrzymał informację o naruszeniu danych od nieuprawnionego odbiorcy wiadomości e-mail. W konsekwencji UODO wezwał spółkę do wyjaśnienia, czy przeprowadziła ocenę ryzyka pozwalającą na podjęcie decyzji, czy naruszenie danych powinno zostać zgłoszone UODO oraz osobom, których dane dotyczą, których dotyczy naruszenie. Spółka potwierdziła, że ​​dokonała takiej oceny i na jej podstawie stwierdziła, że ​​naruszenie nie było wymagane do zgłaszania UODO i osobom, których dane dotyczą, ze względu na niskie ryzyko naruszenia praw i wolności osób, których dane dotyczą. UODO nie zgodził się z takim podejściem, ponieważ uznał, że zagrożenie dla takich praw i wolności jest wysokie, w związku z czym zarówno UODO, jak i osoby, których dane dotyczą, powinni byli zostać powiadomieni.
Decyzja (dostępna tylko w języku polskim tutaj ).

5 stycznia 2021
85 000 zł (ok. 17 320 euro)
Kara została nałożona na przedsiębiorcę działającego w branży medycznej za nieprzestrzeganie nakazu nałożonego na niego w decyzji UODO. UODO nakazał przedsiębiorcy poinformowanie osób, których dane dotyczą, o naruszeniu ochrony danych, które dotknęło ich dane oraz sformułowanie zaleceń, w jaki sposób zminimalizować potencjalne negatywne skutki naruszenia. Przedsiębiorca nie zastosował się do nakazu. Ujawniła to kontrola UODO mająca na celu sprawdzenie wykonania obowiązków nałożonych w decyzji.
Decyzja (dostępna tylko w języku polskim tutaj ).

11 stycznia 2021
136 000 zł
(ok. 27 720 €)
Kara została nałożona na spółkę z branży energetycznej za niezgłoszenie do UODO naruszenia ochrony danych osobowych. Naruszenie polegało na wysłaniu wiadomości e-mail do nieautoryzowanego odbiorcy z niezabezpieczonym załącznikiem zawierającym dane osobowe kilkuset osób. UODO dowiedział się o naruszeniu od nieuprawnionego odbiorcy wiadomości e-mail.
Decyzja (dostępna tylko w języku polskim tutaj ).
22 kwietnia 2021
1,1 mln zł (ok. 224 170 euro)
Kara została nałożona na platformę Direct-to-Home („DTH”) za niewdrożenie odpowiednich środków technicznych i organizacyjnych we współpracy z firmą kurierską. Platforma DTH często informowała UODO o naruszeniach ochrony danych polegających na utracie korespondencji zawierającej dane osobowe lub doręczeniu takiej korespondencji nieuprawnionym odbiorcom przez firmę kurierską. Okazało się, że platforma DTH zgłaszała takie naruszenia do UODO i osób, których dane dotyczą, z dużym opóźnieniem, po zgłoszeniu przez firmę kurierską. UODO stwierdził, że platforma DTH nie wdrożyła skutecznych środków, które zminimalizują liczbę takich naruszeń, pozwolą na ich szybszą identyfikację, a co za tym idzie szybsze powiadomienie UODO i osób, których dane dotyczą.
Decyzja (dostępna tylko w języku polskim tutaj ).
8 czerwca 2021
100 000 zł 
Kara została nałożona na operatora telefonii komórkowej, który nie powiadomił w terminie UODO o naruszeniach ochrony danych osobowych. UODO wielokrotnie zwracał się do administratora o wyjaśnienia dotyczące składania przez niego zawiadomień po terminie. Gdy administrator nie wdrożył odpowiednich środków w celu wyeliminowania takich naruszeń w przyszłości, UODO postanowił nałożyć na administratora karę pieniężną.
Decyzja (dostępna tylko w języku polskim tutaj ).
14 października 2021
363 000 zł (ok. 73 970 €)
Kara została nałożona na bank za brak powiadomienia UODO i osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Naruszenie dotyczyło korespondencji zawierającej dane osobowe (m.in. nazwiska, krajowe numery identyfikacyjne, adresy, numery rachunków bankowych oraz numery identyfikacyjne klientów), które zostały utracone przez firmę kurierską. UODO dowiedział się o naruszeniu od osób, których dane dotyczą, których dotyczyło naruszenie. Okazało się, że bank poinformował osoby, których dane dotyczą, o naruszeniu. Podane informacje były jednak niewystarczające i niezgodne z wymogami RODO. Bank uznał, że ryzyko negatywnych konsekwencji dla zaangażowanych osób, których dane dotyczą, jest średnie, w związku z czym nie zgłosił naruszenia danych do UODO i nie przekazał osobom, których dane dotyczą, pełnych informacji wymaganych przez RODO. Ponadto,
Decyzja (dostępna tylko w języku polskim tutaj ).

https://www.dataguidance.com/notes/poland-data-protection-overview