Ustalenie podstawy prawnej profilowania klientów, umożliwienie zbierania ich danych biometrycznych czy zmniejszenie obowiązków informacyjnych – to tylko niektóre ze zmian, jakie czekają banki w związku z wdrożeniem ogólnego rozporządzenia o ochronie danych (RODO) do polskiego prawa. Sprawdź, na jakie inne zmiany banki muszą się przygotować.
Ministerstwo Cyfryzacji przygotowało projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. Przewiduje on zmianę kilkudziesięciu różnych ustaw, w tym przepisów prawa bankowego. Zaproponowane rozwiązania mają znaczenie zarówno dla samych banków jako administratorów danych osobowych, jak i dla ich klientów.
Do najważniejszych projektowanych rozwiązań należy wprowadzenie w prawie bankowym samoistnej podstawy prawnej do przetwarzania przez banki danych osobowych w sposób zautomatyzowany, w tym poprzez profilowanie. Banki będą mogły w ten sposób przetwarzać dane osobowe swoich klientów przede wszystkim w celu oceny ich zdolności kredytowej i analizy ryzyka kredytowego.
Ogólne rozporządzenie o ochronie danych (RODO) dopuszcza profilowanie tylko w ściśle określonych przypadkach, np. gdy podmiot, którego dane dotyczą, wyrazi na to zgodę. Zasadą jest bowiem, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Zaproponowana w projekcie zmiana przewiduje wprost możliwość przetwarzania przez banki danych osobowych w drodze zautomatyzowanego podejmowania decyzji, w tym profilowania. Oznacza to, że banki, chcąc wykorzystać tę metodę w procesie oceny zdolności kredytowej, nie będą musiały zbierać zgód od klientów lub powoływać się na niezbędność podejmowania decyzji w sposób zautomatyzowany dla zawarcia bądź wykonania umowy.
Banki oraz inne instytucje upoważnione do udzielania kredytów będą mogły przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, także do celów statystycznych i analiz. Chodzi tu o analizy stanowiące realizację obowiązków określonych w przepisach odrębnych, jeśli ich wynikiem nie będą dane osobowe i wynik ten nie będzie służył za podstawę podejmowania decyzji dotyczących konkretnych osób fizycznych. Przetwarzanie danych osobowych w sposób zautomatyzowany dopuszczalne będzie także na potrzeby tzw. Platformy Antyfraudowej.
Banki w zakresie realizowanych zadań będą mogły przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne w rozumieniu art. 4 pkt 14 RODO. Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) dane biometryczne oznaczają dane osobowe, które:
takie jak wizerunek twarzy lub dane daktyloskopijne.
Tego rodzaju dane wrażliwe banki wykorzystują w celu uwierzytelniania klientów głównie przy świadczeniu usług płatniczych oraz w ramach systemów bezpieczeństwa systemów bankowych. Banki będą mogły przetwarzać dane zawarte w dokumentach tożsamości i dane biometryczne tylko w ściśle określonych celach. Projekt przewiduje, że będzie to dopuszczalne tylko w celu:
Także instytucje upoważnione w rozumieniu art. 105 ust. 4 prawa bankowego będą mogły przetwarzać informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne. Jednakże będą to mogły czynić tylko w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej.
Sposób przetwarzania danych biometrycznych, uwzględniający ochronę przetwarzanych danych biometrycznych odpowiednią do zagrożeń, zostanie określony w rozporządzeniu Ministra Cyfryzacji.
Ministerstwo Cyfryzacji wykorzystało możliwość, jaką daje art. 23 RODO, zgodnie z którym państwo członkowskie może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 rozporządzenia. Ograniczenia obowiązków ujęto w nowym art. 112e prawa bankowego. Zgodnie z tą regulacją zarówno w przypadku zbierania danych od osoby, której dane dotyczą, jak i w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, banki oraz instytucje utworzone na podstawie art. 105 ust. 4 prawa bankowego, nie będą zobowiązane do informowania o:
Ograniczenia obowiązku informacyjnego banków i instytucji z art. 105 ust. 4 prawa bankowego będzie dotyczyło jedynie przypadków przetwarzania danych osobowych na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz przeciwdziałania przestępstwom. Przypadki te obejmują działania banków polegające na:
W zakresie realizacji wskazanych wyżej ustawowych obowiązków banków przeciwdziałania przestępstwom, praniu pieniędzy i finansowaniu terroryzmu ograniczono osobom, których dane dotyczą, prawo do dostępu do danych oraz prawo do informacji dotyczących profilowania.
Banki i instytucje utworzone na podstawie art. 105 ust. 4 prawa bankowego nie będą zobowiązane do udzielania informacji i prowadzenia komunikacji z osobą, której dane dotyczą, częściej niż raz na 3 miesiące. W przypadku żądania klienta udostępniania informacji częściej niż raz na 3 miesiące bank będzie uprawniony do pobrania opłaty w wysokości odpowiadającej kosztom poniesionym w związku z udzieleniem informacji.
Zgodnie z RODO administrator ma obowiązek zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Projekt w odniesieniu do banków i instytucji upoważnionych z art. 105 ust. 4 prawa bankowego zakłada ograniczenie wprowadzonego przez RODO obowiązku notyfikacyjnego. Banki oraz wskazane instytucje, będące administratorami danych, nie będą zobowiązane do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli takie zawiadomienie może spowodować naruszenie stabilności funkcjonowania sektora bankowego.
Ograniczenia obowiązków ujęte w projekcie nowej regulacji art. 112e prawa bankowego dotyczą w szczególności obowiązku informacyjnego, wykonywania prawa do bycia zapomnianym i prawa do przenoszalności danych, a także obowiązku notyfikacji naruszenia bezpieczeństwa danych wobec podmiotów danych osobowych.
Wprowadzono także ograniczenie dotyczące prawa do przenoszenia danych. W świetle regulacji RODO, jeżeli przetwarzanie danych odbywa się w sposób zautomatyzowany, to osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Ma także prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.
Zgodnie z propozycją zawartą w omawianym projekcie ustawy uprawnienie do przenoszenia danych nie będzie dotyczyło przenoszenia danych stanowiących tajemnicę przedsiębiorstwa. Jak wskazano w uzasadnieniu do projektu, chodziło o to, żeby prawu do przenoszenia danych nie podlegały informacje dotyczące wierzycieli (kredytodawców), które w ramach funkcjonujących systemów wymiany informacji kredytowej są chronione przed ujawnieniem.
Projekt proponuje nowe brzmienie art. 221 Kodeksu pracy, który określa na nowo zakres danych osobowych kandydata do pracy i pracownika, jakich może żądać pracodawca. Przetwarzanie przez pracodawcę innych danych osobowych, niż wymienione w tym przepisie, będzie dopuszczalne tylko wtedy, gdy dotyczyć one będą stosunku pracy i osoba ubiegająca się o zatrudnienie bądź pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Pracodawca będzie mógł żądać podania innych danych osobowych, jeżeli obowiązek ich podania wynikać będzie z odrębnych przepisów lub gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.
Projektowane przepisy prawa bankowego, dotyczące przetwarzania danych osobowych kandydatów do pracy i pracowników, będą regulacjami szczególnymi w stosunku do przepisów Kodeksu pracy. Na ich podstawie banki będą uprawnione do gromadzenia danych w szerszym zakresie, niż to wynika z regulacji Kodeksu pracy, bez konieczności pozyskania zgody na ich gromadzenie.
Z uwagi na specyfikę działalności, jaką prowadzą banki, w szczególności dostęp do szerokiego spektrum informacji o klientach, zdecydowano się na wprowadzenie szczególnych regulacji dotyczących zasad przetwarzania przez banki, jako pracodawców, danych osobowych pracowników i kandydatów do pracy. Zwrócono bowiem uwagę na potrzebę zminimalizowania ryzyka zatrudniania przez banki osób, które mogłyby mieć zamiar nieuczciwego wykorzystania stanowiska pracy i związanego z nim dostępu do chronionych danych.
W przypadku pracownika i osoby ubiegającej się o zatrudnienie na stanowisku umożliwiającym dostęp do danych dotyczących banku lub klientów banku bank będzie mógł żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności. W szczególności chodzi o informacje, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. W konsekwencji zgoda kandydata do pracy i pracownika banku na przetwarzanie danych osobowych wynikających z informacji o karalności nie będzie wymagana. W projekcie ustawy przewidziano również możliwość żądania informacji dotyczącej niekaralności od osób ubiegających się o zatrudnienie albo zatrudnionych u przedsiębiorców krajowych lub zagranicznych, którym banki zgodnie z art. 6a prawa bankowego powierzyły wykonywanie określonych czynności.
Ponadto bank będzie mógł żądać od pracowników, niezależnie od zajmowanego stanowiska, podania ich danych osobowych biometrycznych. Chodzi w szczególności o takie dane, jak:
Żądanie podania danych biometrycznych będzie możliwe tylko, jeżeli ich podanie będzie konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i pomieszczeń. Chodzi tu zarówno o kontrolę dostępu pracowników do danych objętych ochroną, jak i pomieszczeń, w których te dane są przetwarzane bądź przechowywane. Żądanie podania danych biometrycznych będzie mogło być skierowane wyłącznie do pracowników, a nie do osób ubiegających się o zatrudnienie.
Banki będą miały prawo przechowywać informacje o karalności i dane biometryczne wyłącznie przez okres zatrudnienia pracownika.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl