Zmiana przepisów w związku z RODO – co czeka banki

Ministerstwo Cyfryzacji przygotowało projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. Przewiduje on zmianę kilkudziesięciu różnych ustaw, w tym przepisów prawa bankowego. Zaproponowane rozwiązania mają znaczenie zarówno dla samych banków jako administratorów danych osobowych, jak i dla ich klientów.

Do najważniejszych projektowanych rozwiązań należy wprowadzenie w prawie bankowym samoistnej podstawy prawnej do przetwarzania przez banki danych osobowych w sposób zautomatyzowany, w tym poprzez profilowanie. Banki będą mogły w ten sposób przetwarzać dane osobowe swoich klientów przede wszystkim w celu oceny ich zdolności kredytowej i analizy ryzyka kredytowego.

Ogólne rozporządzenie o ochronie danych (RODO) dopuszcza profilowanie tylko w ściśle określonych przypadkach, np. gdy podmiot, którego dane dotyczą, wyrazi na to zgodę. Zasadą jest bowiem, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Zaproponowana w projekcie zmiana przewiduje wprost możliwość przetwarzania przez banki danych osobowych w drodze zautomatyzowanego podejmowania decyzji, w tym profilowania. Oznacza to, że banki, chcąc wykorzystać tę metodę w procesie oceny zdolności kredytowej, nie będą musiały zbierać zgód od klientów lub powoływać się na niezbędność podejmowania decyzji w sposób zautomatyzowany dla zawarcia bądź wykonania umowy.

Banki oraz inne instytucje upoważnione do udzielania kredytów będą mogły przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, także do celów statystycznych i analiz. Chodzi tu o analizy stanowiące realizację obowiązków określonych w przepisach odrębnych, jeśli ich wynikiem nie będą dane osobowe i wynik ten nie będzie służył za podstawę podejmowania decyzji dotyczących konkretnych osób fizycznych. Przetwarzanie danych osobowych w sposób zautomatyzowany dopuszczalne będzie także na potrzeby tzw. Platformy Antyfraudowej.

Banki w zakresie realizowanych zadań będą mogły przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne w rozumieniu art. 4 pkt 14 RODO. Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) dane biometryczne oznaczają dane osobowe, które:

• wynikają ze specjalnego przetwarzania technicznego,
• dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz
• umożliwiają albo potwierdzają jednoznaczną identyfikację tej osoby,

takie jak wizerunek twarzy lub dane daktyloskopijne.

Tego rodzaju dane wrażliwe banki wykorzystują w celu uwierzytelniania klientów głównie przy świadczeniu usług płatniczych oraz w ramach systemów bezpieczeństwa systemów bankowych. Banki będą mogły przetwarzać dane zawarte w dokumentach tożsamości i dane biometryczne tylko w ściśle określonych celach. Projekt przewiduje, że będzie to dopuszczalne tylko w celu:

• zidentyfikowania tożsamości osoby fizycznej,
• weryfikacji tożsamości osoby fizycznej lub
• uwierzytelnienia czynności dokonywanej przez tę osobę.

Także instytucje upoważnione w rozumieniu art. 105 ust. 4 prawa bankowego będą mogły przetwarzać informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne. Jednakże będą to mogły czynić tylko w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej.

Ministerstwo Cyfryzacji wykorzystało możliwość, jaką daje art. 23 RODO, zgodnie z którym państwo członkowskie może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 rozporządzenia. Ograniczenia obowiązków ujęto w nowym art. 112e prawa bankowego. Zgodnie z tą regulacją zarówno w przypadku zbierania danych od osoby, której dane dotyczą, jak i w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, banki oraz instytucje utworzone na podstawie art. 105 ust. 4 prawa bankowego, nie będą zobowiązane do informowania o:

• zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
• zasadach zautomatyzowanego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Ograniczenia obowiązku informacyjnego banków i instytucji z art. 105 ust. 4 prawa bankowego będzie dotyczyło jedynie przypadków przetwarzania danych osobowych na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz przeciwdziałania przestępstwom. Przypadki te obejmują działania banków polegające na:

• przeciwdziałaniu wykorzystywania ich działalności do celów, które mają związek z przestępstwem wskazanym w art. 165a lub art. 299 Kodeksu karnego;
• zawiadamianiu właściwych organów lub blokadzie środków na rachunku bankowym w razie zaistnienia okoliczności opisanych w art. 106a prawa bankowego;
• udostępnianiu informacji objętych tajemnicą bankową w okolicznościach wskazanych w art. 106d prawa bankowego.

W zakresie realizacji wskazanych wyżej ustawowych obowiązków banków przeciwdziałania przestępstwom, praniu pieniędzy i finansowaniu terroryzmu ograniczono osobom, których dane dotyczą, prawo do dostępu do danych oraz prawo do informacji dotyczących profilowania.

Zgodnie z RODO administrator ma obowiązek zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Projekt w odniesieniu do banków i instytucji upoważnionych z art. 105 ust. 4 prawa bankowego zakłada ograniczenie wprowadzonego przez RODO obowiązku notyfikacyjnego. Banki oraz wskazane instytucje, będące administratorami danych, nie będą zobowiązane do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli takie zawiadomienie może spowodować naruszenie stabilności funkcjonowania sektora bankowego.

Wprowadzono także ograniczenie dotyczące prawa do przenoszenia danych. W świetle regulacji RODO, jeżeli przetwarzanie danych odbywa się w sposób zautomatyzowany, to osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Ma także prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.

Zgodnie z propozycją zawartą w omawianym projekcie ustawy uprawnienie do przenoszenia danych nie będzie dotyczyło przenoszenia danych stanowiących tajemnicę przedsiębiorstwa. Jak wskazano w uzasadnieniu do projektu, chodziło o to, żeby prawu do przenoszenia danych nie podlegały informacje dotyczące wierzycieli (kredytodawców), które w ramach funkcjonujących systemów wymiany informacji kredytowej są chronione przed ujawnieniem.

Projekt proponuje nowe brzmienie art. 22¹ Kodeksu pracy, który określa na nowo zakres danych osobowych kandydata do pracy i pracownika, jakich może żądać pracodawca. Przetwarzanie przez pracodawcę innych danych osobowych, niż wymienione w tym przepisie, będzie dopuszczalne tylko wtedy, gdy dotyczyć one będą stosunku pracy i osoba ubiegająca się o zatrudnienie bądź pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Pracodawca będzie mógł żądać podania innych danych osobowych, jeżeli obowiązek ich podania wynikać będzie z odrębnych przepisów lub gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.

Z uwagi na specyfikę działalności, jaką prowadzą banki, w szczególności dostęp do szerokiego spektrum informacji o klientach, zdecydowano się na wprowadzenie szczególnych regulacji dotyczących zasad przetwarzania przez banki, jako pracodawców, danych osobowych pracowników i kandydatów do pracy. Zwrócono bowiem uwagę na potrzebę zminimalizowania ryzyka zatrudniania przez banki osób, które mogłyby mieć zamiar nieuczciwego wykorzystania stanowiska pracy i związanego z nim dostępu do chronionych danych.

W przypadku pracownika i osoby ubiegającej się o zatrudnienie na stanowisku umożliwiającym dostęp do danych dotyczących banku lub klientów banku bank będzie mógł żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności. W szczególności chodzi o informacje, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. W konsekwencji zgoda kandydata do pracy i pracownika banku na przetwarzanie danych osobowych wynikających z informacji o karalności nie będzie wymagana. W projekcie ustawy przewidziano również możliwość żądania informacji dotyczącej niekaralności od osób ubiegających się o zatrudnienie albo zatrudnionych u przedsiębiorców krajowych lub zagranicznych, którym banki zgodnie z art. 6a prawa bankowego powierzyły wykonywanie określonych czynności.

Ponadto bank będzie mógł żądać od pracowników, niezależnie od zajmowanego stanowiska, podania ich danych osobowych biometrycznych. Chodzi w szczególności o takie dane, jak:

• odciski palców,
• głos,
• obraz rogówki,
• sieci żył palców.

Żądanie podania danych biometrycznych będzie możliwe tylko, jeżeli ich podanie będzie konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i pomieszczeń. Chodzi tu zarówno o kontrolę dostępu pracowników do danych objętych ochroną, jak i pomieszczeń, w których te dane są przetwarzane bądź przechowywane. Żądanie podania danych biometrycznych będzie mogło być skierowane wyłącznie do pracowników, a nie do osób ubiegających się o zatrudnienie.