Najnowsze wydanie Najnowsze wydanie Najnowsze wydanie miesięcznika BANK dostępne w sklepach i online Sprawdź szczegóły i zapisz się na prenumeratę roczną -20%
search Szukaj
zamknij wyszukiwarkę
  • Rejestracja
  • Logowanie
  • Newsletter
menu
logo BANK.pl
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
SafeBank 2025
9 grudnia 2025 r.
Pozostało:
3dni
1godzin
55minut
II Kongres Bankowości Zrównoważonego Rozwoju 2025
10 grudnia 2025 r.
Pozostało:
4dni
1godzin
55minut
Strategiczna Szkoła Polskiego Sektora Bankowości Spółdzielczej 2026
17-18 marca 2026 r.
Pozostało:
101dni
1godzin
55minut
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
zamknij menu
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Cyberbezpieczeństwo | Komentarze ekspertów

RODO a PSD2. Wyzwania dla TPP oraz banków w kontekście otwartej bankowości

18.01.2020 09:00 Michał Nowakowski
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
RODO a PSD2. Wyzwania dla TPP oraz banków w kontekście otwartej bankowości
Fot. Stock.Adobe.com / Sergey Nivens
Prawdziwe otwarcie bankowości nastąpi jedynie wtedy, gdy będziemy mieli bezpieczny, ale i efektywny dostęp do danych. To zaś wymaga tworzenia międzysektorowych regulacji, które zapewnią przepływ informacji i zwiększą ich wartość analityczną.

#MichałNowakowski: W tej chwili mamy pewien zgrzyt pomiędzy rozwiązaniami user-friendly, a pełną – zdaniem prawodawców i regulatorów – przejrzystością i bezpieczeństwem #RODO #PSD2 #OchronaDanych #TPP #OpenBanking @FinregtechPL

W jednym z raportów Banku Rozliczeń Międzynarodowych stwierdzono, że znalezienie równowagi pomiędzy regulacjami sektorowymi jak PSD2 − a prawem ochrony danych osobowych będzie warunkiem sukcesu (lub porażki) Open Bankingu. Chciałbym więc przybliżyć nieco kwestię „wykorzystania” danych osobowych klientów w przypadku usługi dostępu do informacji o rachunku i inicjowania transakcji płatniczych.

Zacznę od możliwości wykorzystania danych zbieranych przez dostawcę usługi dostępu do rachunku. Chciałbym jeszcze w tym miejscu podkreślić, że sam artykuł traktuję jako wstęp do dyskusji nad tym zagadnieniem, które nie jest przecież łatwe, a zarazem istotne dla całego sektora.

Punkt wyjścia

Patrząc przez pryzmat art. 59s ust. 1 pkt 4 ustawy o usługach płatniczych dostawca usługi dostępu do informacji o rachunku (AISP) może uzyskać dostęp wyłącznie do informacji dotyczących wyznaczonych rachunków płatniczych i związany z nimi transakcji płatniczych.

Dodatkowo mamy pkt 5, który stanowi, że AISP nie może żądać szczególnie chronionych danych dotyczących płatności powiązanych z rachunkami płatniczymi – zakres tych danych określa pkt 26c) słowniczka do uUP, czyli de facto indywidualne dane uwierzytelniające. Mamy więc zakres „dozwolonych” danych.

Z kolei art. 59 ust. 1 pkt 6 wskazuje, że AISP nie może używać, uzyskiwać ani przechowywać danych do celów innych niż wykonanie usługi na podstawie:

− umowy z użytkownikiem lub

− zgody użytkownika.

Sugerowałoby to, że nie jest możliwe wykorzystanie (przetworzenie, udostępnienie) danych pozyskanych w ramach realizacji usługi AIS do innych – np. analitycznych – celów i w tym miejscu w zasadzie można byłoby zakończyć analizę.

Jeżeli jednak zagłębimy się w szczegóły…

…to możemy dojść do nieco odmiennych wniosków

Umowa może bowiem zawierać dodatkowe postanowienia, które upoważniają do przetworzenia pozyskanych danych dla innych celów niż wykonanie usługi AIS. Warto jednak zastanowić się, jaki „cel” ma usługa AIS?

Patrząc przez pryzmat definicji z art. 3 ust. 6 uUP − to usługa, polegająca na dostarczaniu skonsolidowanych informacji o rachunkach. Czy więc przetworzenie tych danych i pokazanie bardziej zindywidualizowanych informacji będzie jeszcze realizacją tej usługi, czy też będzie już wykraczała poza ramy prawne?

Wydaje się, że przyjęcie bardziej restrykcyjnego podejścia byłoby tutaj niezgodne z założeniami samej usługi (samą konsolidację informacji raczej trudno też „zmonetyzować”), a także „duchem” Rozporządzenia 2016/679.

Wracając jednak do meritum. Umowa może przewidywać, że AISP po „pokazaniu” ich użytkownikowi będzie z nich korzystał, np. w celach analitycznych.

Jeżeli będzie je przekazywał dalej, to mamy dodatkowe wymagania typowo „RODOwskie” oraz art. 12 ust. 1 pkt 4 umożliwiający przekazanie danych innemu podmiotowi za zgodą użytkownika.

Nie jest to już więc przetwarzanie na potrzeby świadczenia konkretnej usługi, przynajmniej w rozumieniu uUP, bo przecież może to być część „jakiejś” usługi o charakterze płatniczym.

I tutaj dochodzimy do dwóch kwestii:

    czy rzeczywiście można wykorzystać takie dane do innych celów

oraz

    w jakim „reżimie” prawnym musimy się poruszać (RODO versus PSD2)?

Na ratunek art. 94 ust. 2 PSD2?

Wyżej wskazany przepis, o ile mi wiadomo, nie został przeniesiony na grunt uUP w podobnej formie. Przepis ten brzmi następująco:

„Dostawcy usług płatniczych uzyskują dostęp jedynie do danych osobowych niezbędnych do świadczenia swoich usług płatniczych, przetwarzają te dane i zatrzymują je za wyraźną zgodą użytkownika usług płatniczych”.

Umożliwiałby on tym samym przetwarzanie pobranych danych do celów innych niż usługa AIS pod warunkiem uzyskania wyraźnej zgody użytkownika.

Problemem, na który można tutaj natrafić jest kwestia oceny − czym jest ta wyraźna zgoda, bo chyba nie do końca chodzi o „wyraźną zgodę” z art. 9 ust. 2 lit a Rozporządzenia 2016/679 (zgoda dla danych szczególnie chronionych).

Wydaje się jednak, że po prostu chodzi o wyróżnienie dwóch rodzajów zgód, których musi udzielić użytkownik usługi AIS – jednej na realizację tej usługi i drugiej na udostępnienie i przetwarzanie zebranych danych „poza AIS”.

Posiłkować się możemy tutaj także art. 59s ust. 1 pkt 1, który wskazuje, że zgoda na realizację usługi AIS musi być świadczona wyłącznie na podstawie zgody użytkownika wyrażonej w sposób niebudzący wątpliwości.

A jeżeli nie mamy transpozycji?

Możemy przyjąć, że podobne zasady zastosujemy w przypadku konstrukcji umownej zakładającej wykorzystanie tych danych. W takim wypadku wydaje się jednak, że zgoda na udostępnienie i przetwarzanie danych odbywałaby się na podstawie art. 6 ust. 1 lit. a Rozporządzenia 2016/679 (a może i lit. b?).

W takim wypadku, w kontekście wyrażanej zgody, mamy warunki z art. 7 powyższego Rozporządzenia, co z resztą znacznie komplikuje sprawę.

Komplikuje, bo wymogi w zakresie uzyskiwania zgód „RODO-wskich” są dość restrykcyjne i niezbyt user-friendly. W samej treści powinniśmy wyraźnie określić cel przetwarzania (co należy skorelować z zakresem umowy zawieranej z użytkownikiem).

W praktyce więc, w przypadku świadczenia usługi AIS, przy okienku z udzielaniem zgody powinniśmy mieć dwa thickbox’y:

− zgoda na realizację usługi; ta nie może budzić wątpliwości i ciężar udowodnienia, że użytkownik o niej wiedział będzie ciążyć na dostawcy; warto zwrócić uwagę na opinię EBA w sprawie „przyszłości” usług bankowych online) oraz

− zgoda na „inne” przetwarzanie danych; tutaj z zachowaniem zasad określonych w art. 7 Rozporządzenia 2016/679.

Nie jest więc tak źle

Więc można. Nie znaczy to jednak, że jest to rozwiązanie bezsporne i efektywne. Od jakiegoś czasu toczy się dyskusja nad „lepszym” ukształtowaniu przepisów, które bardziej „otworzą” bankowość.

W tej chwili mamy pewien „zgrzyt” pomiędzy rozwiązaniami user-friendly a pełną – zdaniem prawodawców i regulatorów – przejrzystością i bezpieczeństwem. Wiele zależy więc od tego czy uda się osiągnąć niezbędną równowagę.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Tagi
AIS/Account Information ServicesAISP / Account Information Service ProviderBank Rozliczeń Międzynarodowych/BISBankowość otwartaEuropean Banking Authority / EBAFinregtechPlGDPR / RODOMichał NowakowskiPayment Services Directive 2 / Dyrektywa PSD2Third Party Providers / TPP
Autor Michał Nowakowski
Źródło

Polecamy

Spotkanie świąteczne środowiska bankowego – 4 grudnia ‘25. Tadeusz Białek. Źródło: ZBP
Wydarzenia
Spotkanie świąteczne środowiska bankowego, 4 grudnia ‘25
globus na tle tablicy wskaźników
Z rynku finansowego
Allianz Trade o polityce pieniężnej na rynkach wschodzących
budynek Sejmu, flaga, drzewa
Z rynku finansowego
Sejm za utworzeniem Funduszu Bezpieczeństwa i Obronności w ramach KPO
Świąteczny Portfel Polaków 2025
Z rynku finansowego
Świąteczny Portfel Polaków 2025: planujemy większe wydatki, choć realne koszty spadły

Najnowsze

Citi Handlowy logo przed budynkiem
Z rynku finansowego
Bank Handlowy z zezwoleniem KNF na podział i sprzedaż działalności detalicznej
smartfony, banknoty
Bezgotówkowo
Express Elixir: 7 listopada ’25 przetworzono 2,58 mln przelewów natychmiastowych o wartości 1,76 mld zł
TechEU, grafika
Gospodarka
KPK UE: TechEU to przełomowa inicjatywa, wzmocnienie dla innowacji w Unii Europejskiej
prezes Banku Pekao Cezary Stypułkowski
Gospodarka
125 mln euro kredytu dla Pekao Leasing na rozwój MMŚP od Banku Rozwoju Rady Europy
grafika, przelewy natychmiastowe w euro
Bezgotówkowo
PKO BP udostępnił przelewy natychmiastowe w euro dzięki Euro Express Elixir
Adam Glapiński, grudzień 2025
Z rynku finansowego
Prezes NBP: stopa na poziomie 4 proc. jest dobrym poziomem i może pozostać dłużej
ZPF: IV Kongres Instytucji Finansowych – 11 grudnia 2025
Z rynku finansowego
ZPF zaprasza na IV. Kongres Instytucji Finansowych – 11 grudnia 2025
napis OFE, tło banknoty
Z rynku finansowego
Aktywa OFE w listopadzie ’25 zmalały m/m o 0,1 proc. do 281,5 mld zł

Zobacz także

szkolenie Digital Banking Academy: „Digitalizacja procesów biznesowych – dobre praktyki”, 10 grudnia 2025 r.
Z rynku finansowego
Zapraszamy na szkolenie Digital Banking Academy: „Digitalizacja procesów biznesowych – dobre praktyki”, 10 grudnia 2025 r.
laptop, na ekranie napis FAKE
Cyberbezpieczeństwo
Visa proponuje 5 sposobów na zachowanie bezpieczeństwa w mediach społecznościowych
cyfryzacja, wirtualny ekran finansowy
Technologie i innowacje
Nowy pakiet cyfrowy Komisji Europejskiej szansą na przyspieszenie innowacji, również w bankowości
Zobacz wszystkie z tej kategorii
logo Bank
  • O nas
  • Reklama
  • Kontakt
  • Newsletter
logo Bank Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
logo Miesięcznika Bank Ikona facebook Ikona LinkedIn Ikona twitter
© Copyright 2025 Centrum Procesów Bankowych i Informacji
  • Polityka prywatności
  • Pliki cookie
  • Bankiwpolsce.pl
Strona korzysta z plików cookie
Na stronie stosujemy pliki cookie w celu zapewnienie prawidłowego działania, ułatwienia korzystania, a także w celach statystycznych i marketingowych. Wybierając „Zaakceptuj wszystkie” wyrażasz zgodę na stosowanie wszystkich plików cookie. Jeśli chcesz wyrazić zgodę na stosowanie tylko niektórych plików cookie, wybierz „Ustawienia”, skonfiguruj preferencje i wybierz przycisk „Zapisz”. Pamiętaj, że możesz zmienić swoje ustawienia w każdym czasie klikając przycisk „Pliki cookie” w stopce portalu. Szczegółowe informacje o sposobie, w jaki  używamy plików cookie oraz przetwarzamy Twoje dane, a także o przysługujących Ci prawach, odnajdziesz w Polityce prywatności.

Niezbędne: Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.

Funkcjonalne: Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.

Analityczne: Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp.

Marketingowe: Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców
i reklamodawców strony trzeciej.
Niezbędne Zawsze aktywne
Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.
Funkcjonalne
Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.
Analityczne
Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketingowe
Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców i reklamodawców strony trzeciej.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Ustawienia
{title} {title} {title}