Przepisy wprowadzające ustawę o ochronie danych osobowych z dnia 12 września 2017 r. (dalej zwanej NUODO) projektowane w związku z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (GDPR) przewidują szereg zmian w ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe.

Dane osobowe pracowników i kandydatów do pracy

Przepisy wprowadzające NUODO zawierają przepisy szczególne w odniesieniu do ustawy z dnia 26 czerwca 1974 r Kodeks pracy, które jako regulacje ogólne dotyczą również pracowników banków oraz instytucji finansowych. W szczególności w oparciu o projektowane przepisy każdy z takich podmiotów po uzyskaniu uprzedniej zgody pracownika będzie mógł przetwarzać jego dane biometryczne w celach ewidencji czasu pracy oraz weryfikacji jego tożsamości. Mogą to być chociażby biometryczne bramki wstępu do pomieszczeń banku. Warunkiem wprowadzenia takich rozwiązań, będzie jednak uzyskanie uprzedniej, wyraźnej i świadomej zgody osoby której dane dotyczą. Dodatkowo bank będzie mógł również odebrać zgodę pracownika na gromadzenie jego danych osobowych w zakresie szerszym niż wynika to z art. 22(1) Kodeksu Pracy. Wreszcie wskazać należy, że projektowane zmiany w ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe dokonują zmiany zasad gromadzenia zaświadczeń o niekaralności od pracowników banku.

W zmianach przewidziano, iż w przypadku pracownika i osoby ubiegającej się o zatrudnienie na stanowisku umożliwiającym dostęp do danych dotyczących banku lub klientów banku, będzie można żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Uwzględniano także kwestę danych biometrycznych, w szczególności w postaci odcisków palców, głosu, obrazu rogówki i sieci żył palców, których będzie można żądać od pracownika, jeżeli ich podanie jest konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i pomieszczeń.

Ratio legis powyższych zmian stanowi wprowadzenie podstawy prawnej do pozyskiwania informacji mających zminimalizować prawdopodobieństwo dopuszczenia do informacji przetwarzanych przez banki, w tym stanowiących tajemnicę bankową, osób które mogłyby taki dostęp wykorzystać w celach nieuczciwych.

Sektor bankowy jest jednym z krwiobiegów gospodarki, a także usługodawcą o szczególnym znaczeniu dla klientów, często pozostającym gwarantem ich bezpieczeństwa i stabilności finansowej. Stosowne wydaje się więc wykorzystanie najnowszych zdobyczy techniki, w tym opartych na danych biometrycznych, w celu kontroli dostępu do informacji przetwarzanych przez bank i jego pomieszczeń.

Profilowanie

Do Prawa bankowego podobnie jak również do sektora ubezpieczeniowego wprowadzona zostanie samoistna podstawa prawna profilowania. W celu automatycznej oceny zdolności kredytowej oraz dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, bank będzie mógł przetwarzać dane osobowe poprzez profilowanie. Celem jest więc dopuszczenie możliwości poddawania klientów banków automatycznemu procesowi decyzyjnemu opartemu na profilowaniu w zakresie oceny ich zdolności kredytowej. Przepis znajduje jednak zastosowanie wyłącznie do przypadków, gdy procedura oceny zdolności kredytowej jest procedurą zautomatyzowaną. Nie znajdzie więc zastosowania, gdy ocena wniosków dokonywana jest wyłącznie manualnie.

Jak wskazano w uzasadnieniu projektu pomimo samodzielnego uprawnienia banków do profilowania klienta w procesie oceny zdolności kredytowej i analizy ryzyka kredytowego, to dopiero modele scoringowe wykorzystywane przez rejestry kredytowe (przetwarzające dane z całego sektora bankowego) pozwalają na przygotowanie adekwatnej oceny punktowej w procesie kredytowym.

Kolejne przedstawione poniżej zmiany mają na celu przesądzenie, iż uprawnienie do profilowania przysługuje również w ramach określonych już wcześniej przez ustawodawcę kompetencji.

W pierwszej kolejności wskazać należy, iż instytucje powoływane na podstawie art. 105 ust. 4 Prawa bankowego (rejestry kredytowe – tworzone przez banki, wspólnie z bankowymi izbami gospodarczymi – upoważnione do gromadzenia, przetwarzania i udostępniania określonych informacji wskazanym w tej ustawie podmiotom), będą mogły w ramach swojej działalności stosować profilowanie.

Analogiczne uprawnienie otrzymają banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz instytucje pożyczkowe z innych państw, a także wspomniane powyżej instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, w odniesieniu do przetwarzania, w tym profilowania, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe, w zakresie dotyczącym osób fizycznych. Takie przetwarzanie jest wykonywane, z pewnymi zastrzeżeniami:

  • w celu oceny zdolności kredytowej i analizy ryzyka kredytowego,
  • do celów statystycznych i analiz – stanowiących realizację obowiązków określonych w przepisach odrębnych – których wynikiem nie są dane osobowe i wynik ten nie służy za podstawę podejmowania decyzji dotyczących konkretnych osób fizycznych.

Kolejna zmiana, jak wskazano w uzasadnieniu projektu, dotyczy przetwarzania i udostępniania informacji na potrzeby tzw. Platformy Antyfraudowej. Proponuje się dotychczasowe zapisy dotyczące przetwarzania danych w sposób symetryczny uzupełnić o dokonywanie profilowania. W związku z czym, banki (oraz inne wskazane w ustawie podmioty) będą także mogły przetwarzać, w tym dokonywać profilowania, i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicę bankową, w przypadkach:

  • uzasadnionych podejrzeń, iż zgromadzone na rachunku bankowym środki pochodzą z przestępstwa innego niż finansowanie terroryzmu lub pranie brudnych pieniędzy,
  • a także przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.

Powyższe musi jednak podlegać zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu a dane będą przechowywane wyłącznie przez okres niezbędny do realizacji zadań.

Projektodawca wskazał, iż dotychczasowe doświadczenia, w tym europejskich biur kredytowych, wskazują na wysoką efektywność systemów antyfraudowych działających na regułach wykrywających korelacje danych. Przyczynia się to do ograniczania ryzyka operacyjnego występującego w podmiotach udzielających kredytów/pożyczek/leasingów i zmniejszenia strat wynikających z przestępstw popełnianych na ich szkodę oraz szkodę ich klientów.

Dane biometryczne klientów

Banki w zakresie realizowanych zadań będą mogły przetwarzać dla celów prowadzonej działalności bankowej nie tylko informacje zawarte w dokumentach tożsamości osób fizycznych, ale też dane biometryczne, w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej, a także uwierzytelnienia czynności dokonywanej przez osobę fizyczną. Sektor bankowy jest jedynym z wyodrębnionych obszarów, w których działanie takie będzie dozwolone.

W uzasadnieniu projektu wskazano, iż przyjmuje się, że najnowsze systemy biometryczne należą do jednych z najbardziej wiarygodnych i niezawodnych metod identyfikacji/weryfikacji osoby. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, przewiduje wykorzystywanie danych biometrycznych na potrzeby silnego uwierzytelnienia klienta.

Również instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego (np. Biuro Informacji Kredytowej) będą mogły przetwarzać informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej. W zamyśle, ma to wzmocnić bezpieczeństwo gromadzonych i udostępnianych informacji przez rejestry kredytowe oraz przyczynić się do zmniejszenia zjawiska tzw. kradzieży tożsamości.

Bezpieczeństwo danych biometrycznych zostanie uwzględnione w osobnym rozporządzeniu, które zostanie przygotowane przez ministra właściwego do spraw informatyzacji w porozumieniu z ministrem właściwym do spraw instytucji finansowych. Sposób przetwarzania takich danych zostanie określony przy uwzględnieniu konieczności zapewnienia ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń.

Co należy szczególnie zaakcentować, korzystanie z takich danych uzależnione będzie od decyzji banku a nie od decyzji klienta. O ile więc bank uzna, że dany produkt bankowy jest na tyle szczególny, że przyjęta w związku z nim procedura weryfikacji tożsamości powinna opierać się o identyfikację biometryczną, będzie mógł uzależnić możliwość skorzystania z takiej usługi od pozyskania danych biometrycznych.

Zwolnienia

Ustawodawca zamierza skorzystać z przewidzianej w art. 23 GDPR możliwości ograniczenia zakresu obowiązków administratora i podmiotu przetwarzającego, wynikających z rozporządzenia, o ile zostanie to określone w prawie UE bądź prawie państwa członkowskiego. Przepis ten określa jednocześnie cele jakim służyć może ograniczenie.

W związku z powyższym banki, jako administratorzy danych osobowych, będą wiec zwolnione z wykonywania obowiązków dotyczących przekazywania zainteresowanym osobom informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, w przypadku przetwarzania danych osobowych, na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz przeciwdziałania innym przestępstwom.

Banki nie będą także musiały zawiadamiać osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych na podstawie art. 34 GDPR, jeżeli takie zawiadomienie może spowodować naruszenie stabilności funkcjonowania sektora bankowego.

Odciążyć banki ma także zapis, zgodnie z treścią którego, nie będą one zobowiązane do udzielania informacji i prowadzenia komunikacji z osobą zwracającą się do nich z zapytaniem dotyczącym przetwarzania danych osobowych, częściej niż raz na 3 miesiące. W przypadku żądania klienta udostępniania informacji częściej niż raz na 3 miesiące, bank jest uprawniony do pobrania opłaty w wysokości odpowiadającej kosztom poniesionym w związku z udzieleniem informacji.

Również uprawnienie do przenoszenia danych, o którym mowa w art. 20 rozporządzenia nie dotyczy przenoszenia danych, które stanowią tajemnicę przedsiębiorstwa. Celem było, aby temu prawu nie podlegały więc dane stanowiące tajemnicę przedsiębiorstwa, w szczególności informacje dotyczące wierzycieli (kredytodawców). W uzasadnieniu podniesiono, iż zasada nieujawniania informacji dotyczących wierzycieli (zasada neutralności) zapewnia konkurencyjność wśród banków i innych kredytodawców, ponieważ otrzymują one jedynie informacje o historii kredytowej klienta. Poza tym nieujawnianie danych wierzyciela służy także ochronie polityki kredytowej banku, która objęta jest tajemnicą przedsiębiorstwa.

Podsumowanie

Projektowane zmiany w Prawie bankowym mają na celu z jednej strony zwiększenie bezpieczeństwa samych banków i ich zasobów, poprzez możliwość pozyskiwania szerszego katalogu danych od pracowników i kandydatów do pracy, z drugiej strony dotykają kwestii przetwarzania danych osobowych ich klientów, w szczególności wykorzystywania w prowadzonej działalności zautomatyzowanego przetwarzania, w tym profilowania. Projektodawca wypowiedział się w projekcie w obszarach, które od lat budzą poważne kontrowersje – profilowanie, biometria w bankowości mobilnej.

Projektowane zmiany mogą wymagać pewnego doprecyzowania, w szczególności w zakresie profilowania, jednak zasługują na aprobatę w zakresie w jakim mogą przyczynić się do wykorzystania nowych technologii w służbie usług bankowych i przełożyć się na zwiększenie ich bezpieczeństwa i efektywności.

Autorzy: Michał Czarnecki, Tomasz Osiej