Art. 59a.
Ustawa z dnia 29 sierpnia 1997 r. o Narodowym Banku Polskim
1. W przypadku przetwarzania danych osobowych w celu wykonywania zadań określonych w art. 3 ust. 2 pkt 6a i 7, realizację uprawnień, o których mowa w art. 15 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zapewniają podmioty, które przekazują dane do NBP w sposób określony w art. 23a ust. 1 i 2.
2. NBP informuje o ograniczeniach, o których mowa w ust. 1, przez udostępnienie tych informacji w miejscu powszechnie dostępnym w swojej siedzibie oraz w Biuletynie Informacji Publicznej na stronie podmiotowej NBP lub na stronie internetowej NBP.
3. Okres przechowywania danych osobowych, o których mowa w ust. 1, ustala administrator danych zgodnie z celami ich przetwarzania, biorąc pod uwagę przepisy odrębne dotyczące terminów. NBP dokonuje przeglądu tych danych osobowych co 5 lat.
4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, aby proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych NBP;
6) zapewnieniu integralności danych w systemach informatycznych NBP;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.
5. Prezesowi Urzędu Ochrony Danych Osobowych nie przysługuje prawo dostępu do danych jednostkowych, o których mowa w art. 23 ust. 2, 2a, 3 i 3a, oraz zestawień statystycznych, opracowań i ocen, o których mowa w art. 23 ust. 6.
6. Jeżeli jest to konieczne ze względu na wymagania bezpieczeństwa związane z kontrolą dostępu do informacji lub pomieszczeń, NBP żąda od osób świadczących usługi na rzecz NBP lub osób realizujących transporty wartości pieniężnych oraz ich pracowników danych biometrycznych w postaci odcisków palców, głosu, geometrii dłoni, układu naczyń krwionośnych palców lub dłoni. Dane biometryczne mogą być przechowywane wyłącznie przez czas realizacji usług świadczonych przez te osoby na rzecz NBP lub realizacji transportów pieniężnych.