Najnowsze wydanie Najnowsze wydanie Najnowsze wydanie miesięcznika BANK dostępne w sklepach i online Sprawdź szczegóły i zapisz się na prenumeratę roczną -20%
search Szukaj
zamknij wyszukiwarkę
  • Rejestracja
  • Logowanie
  • Newsletter
menu
logo BANK.pl
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
SafeBank 2025
9 grudnia 2025 r.
Pozostało:
3dni
10godzin
56minut
II Kongres Bankowości Zrównoważonego Rozwoju 2025
10 grudnia 2025 r.
Pozostało:
4dni
10godzin
56minut
Strategiczna Szkoła Polskiego Sektora Bankowości Spółdzielczej 2026
17-18 marca 2026 r.
Pozostało:
101dni
10godzin
56minut
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
zamknij menu
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Bezgotówkowo | Komentarze ekspertów

RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS

21.01.2020 08:00 Michał Nowakowski
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS
Fot. Stock.Adobe.com /pe3check
Kontynuując ciekawy wątek zależności pomiędzy przepisami pakietu PSD2 (oraz implementującej go ustawy o usługach płatniczych) a Rozporządzeniem 2016/679 (RODO), przejdziemy dzisiaj przez zagadnienie "mimowolnego" dostępu do danych osób trzecich w ramach realizacji usługi AIS (dostępu do rachunku).

#MichałNowakowski: Czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? – potencjalnie tak #PSD2 #RODO #AIS #ObrótBezgotówkowy #OpenBanking #AISP @FinregtechPL

Zastanowimy się na dwoma zagadnieniami:

− czy rzeczywiście możliwe jest udostępnienie tych danych (np. informacji o odbiorcy przelewu oraz

− czy dostawca usługi AIS (AISP) może przetwarzać te dane realizując usługę na rzecz użytkownika, choć dzisiaj ograniczę się do zidentyfikowania jakimi danymi mogą dysponować AISP.

Rozporządzenie 2018/389 będzie tutaj punktem wyjścia do określenia − jaki w ogóle jest dozwolony zakres pozyskiwanych przez AISP danych.

Przepis ten stanowi, że banki (ASPSP) przekazują AISP te same informacje na temat wyznaczonych rachunków płatniczych i powiązanych transakcji płatniczych, które udostępniają użytkownikowi usług płatniczych, gdy ten bezpośrednio żąda dostępu do informacji o rachunku, pod warunkiem, że informacje te nie zawierają szczególnie chronionych danych dotyczących płatności (analogiczne ograniczenie przewiduje art. 59s ust. 2 pkt 5) uUP. Dość enigmatyczne.

W tym miejscu chcę zaznaczyć, że omawiane zagadnienie odnosi się do „czystej” usługi AIS, bez dodatkowych zgód na przetwarzanie danych, np. na cele analityczne.

O jakie dane chodzi?

O ile pierwsza część dyspozycji nie budzi wątpliwości – udostępniamy te same dane, które użytkownik widzi w swojej bankowości (elektronicznej), o tyle druga część nie jest już tak oczywista.

Jest to o tyle istotne, że art. 36 ust. 5 lit. b) Rozporządzenia 2018/389 umożliwia AISP dostęp do tych danych (choć w ograniczonej częstotliwości) również bez zgody użytkownika.

Szczególnie chronione dane dotyczące płatności to zgodnie z art. 2 pkt 26c uUP (definicja zawarta w PSD2 jest zasadniczo tożsama) dane, w tym indywidualne dane uwierzytelniające, które mogą być wykorzystywane do dokonywania oszustw, z wyłączeniem imienia i nazwiska lub nazwy właściciela rachunku i numeru rachunku (odnosimy się tutaj m.in. do usługi AIS).

Do uznania, że dane są szczególnie chronione musimy więc mieć spełnioną jedna z dwóch przesłanek:

− są to tzw. IDU, czyli indywidualne dane uwierzytelniające (login, hasło etc.) lub

− są to dane, które mogą posłużyć do dokonania oszustwa.

Spójrzmy jeszcze na art. 10 Rozporządzenia 2018/389, który umożliwia niestosowanie silnego uwierzytelniania klienta, jeżeli użytkownik uzyskuje dostęp salda rachunku i/lub transakcji płatniczych (z ograniczeniem czasowym). Możemy również przyjąć, że dane odbiorcy/nadawcy przelewu nie są takimi danymi, o ile to tylko imię/nazwisko i numer rachunku.

Warto zwrócić uwagę, że KNF przykłada bardzo dużą wagę do ochrony tego typu danych, w tym w szczególności do ich klasyfikacji (warto zajrzeć tutaj – pkt 2).

Jakie dane mamy na przelewie?

Wesprzyjmy się Rozporządzeniem 2015/847, które określa jakie dane towarzyszą przelewom i dla uproszczenia przyjmijmy, że mamy transfer wewnątrz UE. W takiej sytuacji wystarczy, że dostawca płatnika i odbiorcy zapewnią, że transferowi środków towarzyszy numer rachunku (IBAN) oraz – o ile dostępny – numer identyfikujący transakcję.

W praktyce często banki podają jednak również inne dane, jak adres nadawcy i odbiorcy transakcji i to też jest zgodne z powyższym rozporządzeniem (art. 4), które takie dane przewiduje jako zasadę ogólną (sam numer IBAN jest dozwolonym odstępstwem).

Czy na tej podstawie można dokonać oszustwa?

To jest właśnie kluczowe pytanie. W przypadku danych szczególnie chronionych mowa jest o takich danych, na podstawie których można dokonać oszustwa i choć brakuje tutaj doprecyzowania czy chodzi o oszustwa „płatnicze”, to przyjąć należy taką (zawężającą) interpretację.

Nie wydaje się jednak, że chodzi wyłącznie o nieautoryzowane transakcje w rozumieniu Wytycznych EBA w sprawie raportowania fraudów, ale również inne oszustwa, które w jakiś sposób dotykają sfery płatniczej (np. w związku z uzyskaniem dostępu do rachunku strony trzeciej i przykładowo wykorzystaniu danych osobowych w ten sposób pozyskanych).

I teraz pojawia się największa wątpliwość – czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? W dobie coraz to bardziej wyszukanych metod wyłudzania środków czy danych – potencjalnie tak.

Jeżeli oszust będzie wiedział o regularnych przelewach od odbiorcy do płatnika i dodatkowo będzie dysponował pewnymi wrażliwymi danymi, to przygotowanie ataku socjotechnicznego i/lub phisingowego może być znacznie ułatwione.

Potwierdza to podejście Komisji Nadzoru Finansowego wyrażone w rekomendacji ws. bezpieczeństwa transakcji płatniczych w Internecie (potocznie SecurePay).

Znajdujemy tam definicję tzw. wrażliwych danych płatniczych, które KNF interpretuje jako „dane, które w przypadku wejścia w ich posiadanie przez osoby nieuprawnione mogą być wykorzystane w celu dokonania nadużycia, w tym dane umożliwiające zainicjowanie transakcji płatniczej, dane wykorzystywane do uwierzytelnienia, dane wykorzystywane do zamawiania przez klientów instrumentów płatniczych lub narzędzi uwierzytelniających.

W takim wypadku musielibyśmy przyjąć, że „komplet” takich unikalnych danych może posłużyć przestępstwu, choć oczywiście wiele zależy od okoliczności danego zdarzenia.

Czy ma to jednak sens?

Takie podejście wydaje się jednak nieco na wyrost (abstrahując od możliwości przetwarzania takich danych na podstawie art. 6 ust. 2 lit c) RODO, choć jeżeli patrzymy na to systemowo, to rzeczywiście takie podejście mogłoby zostać uznane za prawidłowe.

W tym miejscu należy jednak wrócić do definicji usługi AIS. Jeżeli polega ona na dostarczaniu skonsolidowanych informacji o rachunku i powiązanych transakcjach, to czy te wrażliwe dane powinny się tam znaleźć? Może problemem jest sama definicja usługi AIS?

Z drugiej strony takie podejście znacznie ograniczałoby atrakcyjność samej usługi dla użytkownika (tym bardziej, że ma przecież prawo do wyrażenia zgody na przetwarzania „jego” danych). No właśnie − jego.

Jeżeli w danych przelewu mamy już te wrażliwe dane dotyczące osoby trzeciej, to pojawia się pytanie o możliwość przetwarzania tych danych.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Tagi
AIS/Account Information ServicesAISP / Account Information Service ProviderEuropean Banking Authority / EBAFinregtechPlGDPR / RODOIBANKomisja Nadzoru Finansowego / KNFMichał NowakowskiOpen BankingPayment Services Directive 2 / Dyrektywa PSD2
Autor Michał Nowakowski
Źródło
Partner działu
Fundacja Polska Bezgotówkowa

Polecamy

Spotkanie świąteczne środowiska bankowego – 4 grudnia ‘25. Tadeusz Białek. Źródło: ZBP
Wydarzenia
Spotkanie świąteczne środowiska bankowego, 4 grudnia ‘25
globus na tle tablicy wskaźników
Z rynku finansowego
Allianz Trade o polityce pieniężnej na rynkach wschodzących
budynek Sejmu, flaga, drzewa
Z rynku finansowego
Sejm za utworzeniem Funduszu Bezpieczeństwa i Obronności w ramach KPO
Świąteczny Portfel Polaków 2025
Z rynku finansowego
Świąteczny Portfel Polaków 2025: planujemy większe wydatki, choć realne koszty spadły

Najnowsze

prezes Banku Pekao Cezary Stypułkowski
Gospodarka
125 mln euro kredytu dla Pekao Leasing na rozwój MMŚP od Banku Rozwoju Rady Europy
grafika, przelewy natychmiastowe w euro
Bezgotówkowo
PKO BP udostępnił przelewy natychmiastowe w euro dzięki Euro Express Elixir
Adam Glapiński, grudzień 2025
Z rynku finansowego
Prezes NBP: stopa na poziomie 4 proc. jest dobrym poziomem i może pozostać dłużej
ZPF: IV Kongres Instytucji Finansowych – 11 grudnia 2025
Z rynku finansowego
ZPF zaprasza na IV. Kongres Instytucji Finansowych – 11 grudnia 2025
napis OFE, tło banknoty
Z rynku finansowego
Aktywa OFE w listopadzie ’25 zmalały m/m o 0,1 proc. do 281,5 mld zł
Fitch Ratings napis na budynku
Gospodarka
Fitch utrzymał prognozę PKB Polski w 2026 roku na 3,2 proc., widzi jeszcze jedno cięcie stóp
wirtualny wykres na tle banknotów
Gospodarka
Wynik netto przedsiębiorstw niefinansowych wyniósł 153,2 mld zł w I-III kw. 2025 roku, dane GUS
Mikołaj Sobierajski, analityk rynku akcji w XTB.
Z rynku finansowego
Rynek kapitałowy wycenia wielkość obniżek stóp procentowych w 2026 roku

Zobacz także

grafika, przelewy natychmiastowe w euro
Bezgotówkowo
PKO BP udostępnił przelewy natychmiastowe w euro dzięki Euro Express Elixir
smartfon z aplikacją TOM, logo BLIK
Bezgotówkowo
Kodami BLIK można już płacić na terminalach aplikacyjnych eService tom
laptop, smartfon z napisem BLIK
Bezgotówkowo
BLIK Płacę Później dostępny dla klientów na platformie PPRO
Zobacz wszystkie z tej kategorii
logo Bank
  • O nas
  • Reklama
  • Kontakt
  • Newsletter
logo Bank Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
logo Miesięcznika Bank Ikona facebook Ikona LinkedIn Ikona twitter
© Copyright 2025 Centrum Procesów Bankowych i Informacji
  • Polityka prywatności
  • Pliki cookie
  • Bankiwpolsce.pl
Strona korzysta z plików cookie
Na stronie stosujemy pliki cookie w celu zapewnienie prawidłowego działania, ułatwienia korzystania, a także w celach statystycznych i marketingowych. Wybierając „Zaakceptuj wszystkie” wyrażasz zgodę na stosowanie wszystkich plików cookie. Jeśli chcesz wyrazić zgodę na stosowanie tylko niektórych plików cookie, wybierz „Ustawienia”, skonfiguruj preferencje i wybierz przycisk „Zapisz”. Pamiętaj, że możesz zmienić swoje ustawienia w każdym czasie klikając przycisk „Pliki cookie” w stopce portalu. Szczegółowe informacje o sposobie, w jaki  używamy plików cookie oraz przetwarzamy Twoje dane, a także o przysługujących Ci prawach, odnajdziesz w Polityce prywatności.

Niezbędne: Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.

Funkcjonalne: Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.

Analityczne: Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp.

Marketingowe: Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców
i reklamodawców strony trzeciej.
Niezbędne Zawsze aktywne
Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.
Funkcjonalne
Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.
Analityczne
Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketingowe
Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców i reklamodawców strony trzeciej.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Ustawienia
{title} {title} {title}