Najnowsze wydanie Najnowsze wydanie Najnowsze wydanie miesięcznika BANK dostępne w sklepach i online Sprawdź szczegóły i zapisz się na prenumeratę roczną -20%
search Szukaj
zamknij wyszukiwarkę
  • Rejestracja
  • Logowanie
  • Newsletter
menu
logo BANK.pl
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Forum Bankowe 2026
24-25 lutego 2026 r.
Pozostało:
62dni
16godzin
16minut
Strategiczna Szkoła Polskiego Sektora Bankowości Spółdzielczej 2026
17-18 marca 2026 r.
Pozostało:
83dni
16godzin
16minut
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
zamknij menu
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Cyberbezpieczeństwo | Komentarze ekspertów

RODO a PSD2. Wyzwania dla TPP oraz banków w kontekście otwartej bankowości

18.01.2020 09:00 Michał Nowakowski
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
RODO a PSD2. Wyzwania dla TPP oraz banków w kontekście otwartej bankowości
Fot. Stock.Adobe.com / Sergey Nivens
Prawdziwe otwarcie bankowości nastąpi jedynie wtedy, gdy będziemy mieli bezpieczny, ale i efektywny dostęp do danych. To zaś wymaga tworzenia międzysektorowych regulacji, które zapewnią przepływ informacji i zwiększą ich wartość analityczną.

#MichałNowakowski: W tej chwili mamy pewien zgrzyt pomiędzy rozwiązaniami user-friendly, a pełną – zdaniem prawodawców i regulatorów – przejrzystością i bezpieczeństwem #RODO #PSD2 #OchronaDanych #TPP #OpenBanking @FinregtechPL

W jednym z raportów Banku Rozliczeń Międzynarodowych stwierdzono, że znalezienie równowagi pomiędzy regulacjami sektorowymi jak PSD2 − a prawem ochrony danych osobowych będzie warunkiem sukcesu (lub porażki) Open Bankingu. Chciałbym więc przybliżyć nieco kwestię „wykorzystania” danych osobowych klientów w przypadku usługi dostępu do informacji o rachunku i inicjowania transakcji płatniczych.

Zacznę od możliwości wykorzystania danych zbieranych przez dostawcę usługi dostępu do rachunku. Chciałbym jeszcze w tym miejscu podkreślić, że sam artykuł traktuję jako wstęp do dyskusji nad tym zagadnieniem, które nie jest przecież łatwe, a zarazem istotne dla całego sektora.

Punkt wyjścia

Patrząc przez pryzmat art. 59s ust. 1 pkt 4 ustawy o usługach płatniczych dostawca usługi dostępu do informacji o rachunku (AISP) może uzyskać dostęp wyłącznie do informacji dotyczących wyznaczonych rachunków płatniczych i związany z nimi transakcji płatniczych.

Dodatkowo mamy pkt 5, który stanowi, że AISP nie może żądać szczególnie chronionych danych dotyczących płatności powiązanych z rachunkami płatniczymi – zakres tych danych określa pkt 26c) słowniczka do uUP, czyli de facto indywidualne dane uwierzytelniające. Mamy więc zakres „dozwolonych” danych.

Z kolei art. 59 ust. 1 pkt 6 wskazuje, że AISP nie może używać, uzyskiwać ani przechowywać danych do celów innych niż wykonanie usługi na podstawie:

− umowy z użytkownikiem lub

− zgody użytkownika.

Sugerowałoby to, że nie jest możliwe wykorzystanie (przetworzenie, udostępnienie) danych pozyskanych w ramach realizacji usługi AIS do innych – np. analitycznych – celów i w tym miejscu w zasadzie można byłoby zakończyć analizę.

Jeżeli jednak zagłębimy się w szczegóły…

…to możemy dojść do nieco odmiennych wniosków

Umowa może bowiem zawierać dodatkowe postanowienia, które upoważniają do przetworzenia pozyskanych danych dla innych celów niż wykonanie usługi AIS. Warto jednak zastanowić się, jaki „cel” ma usługa AIS?

Patrząc przez pryzmat definicji z art. 3 ust. 6 uUP − to usługa, polegająca na dostarczaniu skonsolidowanych informacji o rachunkach. Czy więc przetworzenie tych danych i pokazanie bardziej zindywidualizowanych informacji będzie jeszcze realizacją tej usługi, czy też będzie już wykraczała poza ramy prawne?

Wydaje się, że przyjęcie bardziej restrykcyjnego podejścia byłoby tutaj niezgodne z założeniami samej usługi (samą konsolidację informacji raczej trudno też „zmonetyzować”), a także „duchem” Rozporządzenia 2016/679.

Wracając jednak do meritum. Umowa może przewidywać, że AISP po „pokazaniu” ich użytkownikowi będzie z nich korzystał, np. w celach analitycznych.

Jeżeli będzie je przekazywał dalej, to mamy dodatkowe wymagania typowo „RODOwskie” oraz art. 12 ust. 1 pkt 4 umożliwiający przekazanie danych innemu podmiotowi za zgodą użytkownika.

Nie jest to już więc przetwarzanie na potrzeby świadczenia konkretnej usługi, przynajmniej w rozumieniu uUP, bo przecież może to być część „jakiejś” usługi o charakterze płatniczym.

I tutaj dochodzimy do dwóch kwestii:

    czy rzeczywiście można wykorzystać takie dane do innych celów

oraz

    w jakim „reżimie” prawnym musimy się poruszać (RODO versus PSD2)?

Na ratunek art. 94 ust. 2 PSD2?

Wyżej wskazany przepis, o ile mi wiadomo, nie został przeniesiony na grunt uUP w podobnej formie. Przepis ten brzmi następująco:

„Dostawcy usług płatniczych uzyskują dostęp jedynie do danych osobowych niezbędnych do świadczenia swoich usług płatniczych, przetwarzają te dane i zatrzymują je za wyraźną zgodą użytkownika usług płatniczych”.

Umożliwiałby on tym samym przetwarzanie pobranych danych do celów innych niż usługa AIS pod warunkiem uzyskania wyraźnej zgody użytkownika.

Problemem, na który można tutaj natrafić jest kwestia oceny − czym jest ta wyraźna zgoda, bo chyba nie do końca chodzi o „wyraźną zgodę” z art. 9 ust. 2 lit a Rozporządzenia 2016/679 (zgoda dla danych szczególnie chronionych).

Wydaje się jednak, że po prostu chodzi o wyróżnienie dwóch rodzajów zgód, których musi udzielić użytkownik usługi AIS – jednej na realizację tej usługi i drugiej na udostępnienie i przetwarzanie zebranych danych „poza AIS”.

Posiłkować się możemy tutaj także art. 59s ust. 1 pkt 1, który wskazuje, że zgoda na realizację usługi AIS musi być świadczona wyłącznie na podstawie zgody użytkownika wyrażonej w sposób niebudzący wątpliwości.

A jeżeli nie mamy transpozycji?

Możemy przyjąć, że podobne zasady zastosujemy w przypadku konstrukcji umownej zakładającej wykorzystanie tych danych. W takim wypadku wydaje się jednak, że zgoda na udostępnienie i przetwarzanie danych odbywałaby się na podstawie art. 6 ust. 1 lit. a Rozporządzenia 2016/679 (a może i lit. b?).

W takim wypadku, w kontekście wyrażanej zgody, mamy warunki z art. 7 powyższego Rozporządzenia, co z resztą znacznie komplikuje sprawę.

Komplikuje, bo wymogi w zakresie uzyskiwania zgód „RODO-wskich” są dość restrykcyjne i niezbyt user-friendly. W samej treści powinniśmy wyraźnie określić cel przetwarzania (co należy skorelować z zakresem umowy zawieranej z użytkownikiem).

W praktyce więc, w przypadku świadczenia usługi AIS, przy okienku z udzielaniem zgody powinniśmy mieć dwa thickbox’y:

− zgoda na realizację usługi; ta nie może budzić wątpliwości i ciężar udowodnienia, że użytkownik o niej wiedział będzie ciążyć na dostawcy; warto zwrócić uwagę na opinię EBA w sprawie „przyszłości” usług bankowych online) oraz

− zgoda na „inne” przetwarzanie danych; tutaj z zachowaniem zasad określonych w art. 7 Rozporządzenia 2016/679.

Nie jest więc tak źle

Więc można. Nie znaczy to jednak, że jest to rozwiązanie bezsporne i efektywne. Od jakiegoś czasu toczy się dyskusja nad „lepszym” ukształtowaniu przepisów, które bardziej „otworzą” bankowość.

W tej chwili mamy pewien „zgrzyt” pomiędzy rozwiązaniami user-friendly a pełną – zdaniem prawodawców i regulatorów – przejrzystością i bezpieczeństwem. Wiele zależy więc od tego czy uda się osiągnąć niezbędną równowagę.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Tagi
AIS/Account Information ServicesAISP / Account Information Service ProviderBank Rozliczeń Międzynarodowych/BISBankowość otwartaEuropean Banking Authority / EBAFinregtechPlGDPR / RODOMichał NowakowskiPayment Services Directive 2 / Dyrektywa PSD2Third Party Providers / TPP
Autor Michał Nowakowski
Źródło

Polecamy

Multimedia
Wspieranie zrównoważonego rozwoju gospodarczego Polski misją BGK
Bogdan Benczak, prezes PZU
Kadry
Bogdan Benczak uzyskał zgodę KNF na pełnienie funkcji prezesa zarządu PZU
Jan Dziekoński, Head of Market Insights, RynekPierwotny.pl,
Nieruchomości
Będzie przecena mieszkań na rynku pierwotnym w przyszłym roku?
Marcin Zarzecki, RPP
Kadry
Prezydent RP powołał nowego członka Rady Polityki Pieniężnej

Najnowsze

Od lewej: Erika Vovere, Marek Radzikowski, Jakob Hansson. Źródło: PKO BP
Z rynku finansowego
PKO Bank Polski otworzył przedstawicielstwa w Szwecji i na Litwie
puzzle, logo UE, element z polską flagą
Gospodarka
Ministerstwo Finansów o przystąpieniu Polski do strefy euro
Bank Pekao, PZU logo
Z rynku finansowego
Prezesi PZU i Pekao: kontynuujemy prace na reorganizacją grupy, kluczowa jest legislacja
Krzysztof Gawkowski, wicepremier i wiceminister cyfryzacji.
Technologie i innowacje
UE przyspiesza rozwój sztucznej inteligencji i infrastruktury cyfrowej – powstanie 19 fabryk AI, w tym dwie w Polsce
kobieta z torebkami z zakupami
Gospodarka
Sprzedaż detaliczna w listopadzie ’25 wzrosła o 3,1% r/r, ale spadła m/m
Z rynku finansowego
Bankierzy skazani w Niemczech za aferę Cum-Ex
NBP
Z rynku finansowego
Trzej członkowie zarządu NBP ponownie z nadzorami nad departamentami banku centralnego
biurowce
Nieruchomości
Konwersje na polskim rynku nieruchomości komercyjnych – inwestorzy wolą mieszkania zamiast biur

Zobacz także

Visa
Technologie i innowacje
AI zmienia oblicze globalnej walki z oszustwami – czy banki nadążą za tymi zmianami?
smartfon z BLIKIEM
Cyberbezpieczeństwo
AI chroni, BLIK dominuje w świątecznych zakupach Polaków
cyberprzestępca, komputer, sieć SM
Cyberbezpieczeństwo
Do kampanii „Bankowcy dla CyberEdukacji” 2025 realizowanej przez ZBP i Policję dołączyła Meta
Zobacz wszystkie z tej kategorii
logo Bank
  • O nas
  • Reklama
  • Kontakt
  • Newsletter
logo Bank Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
logo Miesięcznika Bank Ikona facebook Ikona LinkedIn Ikona twitter
© Copyright 2025 Centrum Procesów Bankowych i Informacji
  • Polityka prywatności
  • Pliki cookie
  • Bankiwpolsce.pl
Strona korzysta z plików cookie
Na stronie stosujemy pliki cookie w celu zapewnienie prawidłowego działania, ułatwienia korzystania, a także w celach statystycznych i marketingowych. Wybierając „Zaakceptuj wszystkie” wyrażasz zgodę na stosowanie wszystkich plików cookie. Jeśli chcesz wyrazić zgodę na stosowanie tylko niektórych plików cookie, wybierz „Ustawienia”, skonfiguruj preferencje i wybierz przycisk „Zapisz”. Pamiętaj, że możesz zmienić swoje ustawienia w każdym czasie klikając przycisk „Pliki cookie” w stopce portalu. Szczegółowe informacje o sposobie, w jaki  używamy plików cookie oraz przetwarzamy Twoje dane, a także o przysługujących Ci prawach, odnajdziesz w Polityce prywatności.

Niezbędne: Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.

Funkcjonalne: Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.

Analityczne: Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp.

Marketingowe: Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców
i reklamodawców strony trzeciej.
Niezbędne Zawsze aktywne
Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.
Funkcjonalne
Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.
Analityczne
Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketingowe
Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców i reklamodawców strony trzeciej.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Ustawienia
{title} {title} {title}