Rewolucja czy ewolucja?
Dla nas, bankowców, tajemnica bankowa jest wartością fundamentalną - tę odwieczną regułę prezes Związku Banków Polskich Krzysztof Pietraszkiewicz przywołał rozpoczynając konferencję poświęconą nowym regulacjom wspólnotowym w zakresie przetwarzania danych osobowych i ich skutkom dla europejskiej bankowości. Zarówno zagwarantowana prawem ochrona danych osobowych, jak również reguły dotyczące tajemnicy bankowej pozwalają realizować ten sam cel - zwiększenie ochrony obywateli przed internetowymi fraudami i kradzieżami tożsamości. Jakie działania powinny podjąć banki w obliczu dokonującej się gruntownej transformacji unijnych reguł ochrony danych osobowych? Które z rozwiązań określonych w procedowanym właśnie rozporządzeniu General Data Protection Regulation mogą stanowić największe wyzwanie - a które, wręcz przeciwnie, ułatwią gromadzenie i wymianę danych osobowych? Na te pytania szukano odpowiedzi podczas seminarium zatytułowanego "Nowa regulacja przetwarzania danych osobowych - General Data Protection Regulation - skutki w sektorze finansowym", które odbyło się 10 marca br. w Klubie Bankowca.
Rozpoczynając konferencję, prezes ZBP wskazał na inicjatorów tego przedsięwzięcia: dr Tadeusza Białka – dyrektora Zespołu Prawno-Legislacyjnego ZBP oraz Piotra Gałązkę – dyrektora Przedstawicielstwa ZBP w Brukseli. Odnosząc się do tematyki wydarzenia, Krzysztof Pietraszkiewicz przypomniał okoliczności, w jakich wchodzić będzie w życie tak istotna dla współczesnego sektora finansowego oraz jego klientów regulacja, jaką jest GDPR. Ów „szok regulacyjny”, obejmujący praktycznie wszystkie aspekty prowadzenia biznesu, nie bez kozery porównywany bywa do tsunami – nawet jeśli nie wywołuje tak niszczących skutków, to z pewnością powoduje poważne zaniepokojenie nie tylko samych bankowców, ale również i klientów. – Jeśli dostawca usług zmienia reguły zbyt często – może to stanowić przyczynę zaniepokojenia klientów, nawet jeśli zmiany są efektem odgórnych wymagań – podkreślił prezes ZBP, apelując równocześnie, by każdej istotniejszej zmianie regulacyjnej towarzyszyła odpowiednia akcja informacyjna.
Jedną z istotniejszych nowości, jakie znajdą się w rozporządzeniu GDPR, będzie kompleksowe rozstrzygnięcie kwestii „prawa do bycia zapomnianym”, czyli usunięcia własnych danych osobowych ze zbioru. Prezes Pietraszkiewicz ostrzegł przed możliwością nadużywania tego jakże istotnego prawa przez nierzetelnych klientów. – Bardzo często obserwuję, że najchętniej zapomnianymi chcieliby być ci co mają niespłacone zobowiązania wobec instytucji finansowych – podkreślił. Z drugiej strony, ochrona danych osobowych nie może utrudniać przenoszenia zbiorów danych na żądanie klienta z jednego systemu do drugiego. – Uczyńmy wszystko, żeby wdrażanie tych rozwiązań odbyło się bez zakłóceń, żeby dobrze służyły one zarówno naszym klientom, jak również stabilności gospodarki – zaapelował do obecnych na seminarium prezes Związku Banków Polskich.
Pierwszą sesję wydarzenia zdominowała tematyka przygotowywanego właśnie unijnego rozporządzenia GDPR. Jakie kwestie budziły największe kontrowersje podczas dialogu trójstronnego, towarzyszącego wypracowywaniu treści nowej regulacji, na czym polegać mają główne zmiany w stosunku do obecnie obowiązujących przepisów i jakie nowe obowiązki obejmą administratorów danych osobowych – o tym mówili: Paulo Silva – przedstawiciel Dyrekcji Generalnej Komisji Europejskiej ds. Sprawiedliwości i Konsumentów, Aleksandra Chmielewska – ekspert Ministerstwa Cyfryzacji oraz Piotr Gałązka, gospodarz tej części seminarium. Czy nowe przepisy okażą się dla polskiego sektora finansowego przede wszystkim wyzwaniem, czy też uproszczą i doprecyzują problematyczne dotychczas obszary – o tym dyskutowano w drugiej sesji, moderowanej przez dr Tadeusza Białka. Monika Krasińska, dyrektor Departamentu Orzecznictwa, Legislacji i Skarg w biurze Generalnego Inspektora Ochrony Danych Osobowych, oceniła nowe regulacje jako harmonizację porządków prawnych, obowiązujących obecnie w poszczególnych państwach członkowskich. Ale to nie będzie jedyny efekt GDPR; rozporządzenie to spowoduje konieczność zredefiniowania wielu ważnych pojęć z zakresu ochrony danych osobowych. Przykładem może być unormowanie tak ważnego obszaru, jakim są dane biometryczne – wśród których znajdują się również informacje sklasyfikowane jako tzw. dane wrażliwe. Skoro tak – to już dziś należałoby rozważyć określenie przesłanek przemawiających za gromadzeniem i przetwarzaniem takich informacji wprost w przepisach rangi ustawowej, na przykład w Prawie bankowym. Istotnej zmianie ulegnie również model współpracy GIODO z wewnętrznymi inspektorami danych osobowych, którzy w myśl rozporządzenia GDPR przejmą sporą część dotychczasowych kompetencji urzędu. Niezwykle brzemienną w skutkach zmianą będą nowe zasady odpowiedzialności za naruszenie ochrony danych osobowych; dotychczas groziły za to jedynie sankcje administracyjne nakładane przez GIODO, po wejściu w życie rozporządzenia GDPR osoby, których dane były bezprawnie przetwarzane, będą miały uproszczona drogę dochodzenia odszkodowań.
Dr Paweł Litwiński, reprezentujący Kancelarię Radców Prawnych i Adwokatów Barta Litwiński, odniósł się do wybranych wyzwań związanych z wypełnianiem postanowień nowej regulacji. Jednym z nich jest diametralna zmiana samej filozofii prawa; dotychczas w polskich przepisach ochrona danych osobowych traktowana była jako element prawa administracyjnego, rozporządzenie GDPR wprowadzi natomiast odrębny tryb postępowania. Istotna konsekwencją wejścia w życie unijnych przepisów będzie również szereg nowych obowiązków informacyjnych, towarzyszących uzyskaniu zgody na przetwarzanie danych osobowych od klienta. W treści klauzuli informacyjnej będzie musiała pojawić się podstawa prawna, w oparciu o którą dokonywane jest przetwarzanie danych. Trzeba będzie również określić „prawnie usprawiedliwiony cel”, uzasadniający gromadzenie danych osobowych – takim celem mogą być na przykład działania marketingowe czy też weryfikacja zdolności kredytowej. Wśród innych informacji, jakie obowiązkowo otrzyma klient, będą również zasady odwołania zgody na przetwarzanie danych czy też przypomnienie o możliwości złożenia skargi do organu nadzorczego. Gruntowne zmiany obejmą prawo do bycia zapomnianym – zgodnie z rozporządzeniem GDPR obejmie ono zarówno odnośniki w wyszukiwarkach internetowych, jak również same źródła. Z prawa do bycia zapomnianym nie będzie można skorzystać wówczas, kiedy przetwarzanie danych wiąże się z prawem do dochodzenia roszczeń – dzięki temu nowe regulacje nie sparaliżują pracy rejestrów kredytowych czy biur informacji gospodarczej.
Agnieszka Marzec, radca prawny Biura Informacji Kredytowej, skoncentrowała się na fundamentalnym dla analizy danych kredytowych problemie profilowania danych osobowych. Prelegentka wskazała na ryzyka nieścisłości interpretacyjnych w tej dziedzinie. Czy negatywna decyzja kredytowa będzie mogła być wygenerowana w oparciu o zautomatyzowany scoring, skoro ustawa wprost zakazuje takich praktyk – a wyjątek stanowi decyzja „będąca warunkiem zawarcia umowy między osobą, której dane dotyczą a administratorem danych”? Zdaniem przedstawicielki BIK, takie rozumienie jest wynikiem nieścisłego tłumaczenia oryginalnej wersji GDPR na język polski – w oryginalnej wersji nie ma bowiem mowy o „zawarciu umowy” a jedynie o podjęciu współpracy z klientem w celu podpisania takowej. Problemy mogą pojawić się również w związku ze zobowiązaniem administratora danych do „ujawnienia trybu działania” systemu profilującego dane. W jaki sposób poinformować o trybie działania systemu, by uniknąć ujawnienia tajemnicy przedsiębiorstwa – kwestia ta będzie zapewne źródłem różnorakich interpretacji prawnych. Następnie głos zabrał dr Arwid Mednis, reprezentujący Uniwersytet Warszawski oraz kancelarię Wierzbowski Eversheds. W swym wystąpieniu poświęcił on sporo czasu zagadnieniu data protection impact assessment. Nowością, na którą również zwrócił uwagę prelegent, będzie konieczność ustawienia ochrony prywatności jako funkcji domyślnej – zarówno we wszelkich urządzeniach (np. smartfony) jak i w internetowych serwisach transakcyjnych. Wydarzenie zakończyła prezentacja Karoliny Słowińskiej, reprezentującej partnera wydarzenia – firmę Iron Mountain Polska Sp z o.o.
Karol Jerzy Mórawski