Co komunikat UODO dotyczący ograniczenia korzystania z danych osobowych oznacza dla sektora bankowego?
„Wymaganie podania imienia ojca przy identyfikacji jest historycznym reliktem. Nie ma potrzeby wykorzystywać do tego danych osobowych osób trzecich, skoro nasze dane osobowe tj. PESEL, imię i nazwisko czy data urodzenia, pozwalają w pełni zidentyfikować tożsamość danej osoby” – czytamy w komunikacie, wystosowanym przez UODO w dniu 22 sierpnia 2024 roku.
Jego autorzy podkreślają, iż praktyka, stosowana w tym zakresie podczas tworzenia nowych aktów normatywnych, powoli, ale sukcesywnie zmienia się w kierunku zgodnym z unijny prawem ochrony danych, na co bez wątpienia miały wpływ wystąpienia UODO, wskazujące, iż w przypadku podawania imienia ojca dochodzi do przetwarzania danych osoby trzeciej.
Do identyfikacji wystarczy tylko PESEL i numer oraz seria dowodu osobistego?
„To nie jest właściwe, skoro do potwierdzenia tożsamości służyć mogą inne identyfikatory przyporządkowane bezpośrednio osobie (jak np. numer PESEL, numer i seria dokumentu tożsamości)” – informuje UODO.
Przedstawiciele biura prasowego Urzędu podkreślają, iż komunikat co do zasady dedykowany był głównie inicjatorom prac legislacyjnych, by w kolejnych aktach prawnych unikali pokusy nakładania na poszczególne podmioty obowiązku gromadzenia nadmiarowych informacji.
„Niekiedy sami projektodawcy odchodzą od tej praktyki, w niektórych przypadkach z kolei uwzględniają oni uwagi, zgłaszane przez Urząd Ochrony Danych Osobowych, które wskazują, że zakres innych danych, którymi w określonej sytuacji dysponuje administrator, jest w zupełności wystarczający do tego, by jednoznacznie daną osobę zidentyfikować” – twierdzi reprezentant biura prasowego UODO.
Podkreśla on, iż stanowisko to co do zasady nie było kierowane wobec podmiotów gospodarczych, w tym banków, które skądinąd w coraz większym stopniu samodzielnie rezygnują ze zbierania i przetwarzania nadmiarowych danych o swych klientach.
Same instytucje finansowe zachęcają by przechodzić do komunikacji elektronicznej, w ramach której mogą w dodatkowy sposób zweryfikować tą osobę – wskazuje przedstawiciel UODO, dodając, iż dość powszechną praktyką jest m.in. stosowanie w korespondencji określonych elementów graficznych, dzięki którym klienci mogą upewnić się, że mają do czynienia z dostawcą usług płatniczych, a nie oszustem.
Czytaj także: Zdaniem UODO podawanie imienia ojca do celów identyfikacji nie jest potrzebne>>>
Bank pyta tylko o to, o co musi zapytać
Sami bankowcy również podkreślają, iż stanowisko prezesa UODO nie stanowi dla nich zaskoczenia.
„Wskazane stanowisko Prezesa Urzędu Ochrony Danych Osobowych kierowane jest przede wszystkim do ustawodawcy, który tworząc przepisy prawa powinien mieć na uwadze zasady wynikające z przepisów o ochronie danych osobowych, w tym zasadę przetwarzania danych osobowych adekwatnych, stosownych oraz niezbędnych do konkretnych celów ich przetwarzania.
Wskazana zasada minimalizacji danych osobowych odnosi się do przetwarzania danych adekwatnych do celu, w jakim są one zbierane” – zaznaczył w odpowiedzi, przesłanej naszemu portalowi Paweł Jurek, rzecznik prasowy Banku Pekao.
Jego zdaniem, stanowisko prezesa UODO nie będzie generować nowych obowiązków po stronie branży bankowej.
„Podmioty takie przetwarzają dane adekwatne do celów oraz w zakresie wskazanym przez przepisy prawa np. ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, która wskazuje, że środki bezpieczeństwa finansowego obejmują m. in. weryfikację tożsamości klienta czy beneficjenta rzeczywistego.
Należy też podkreślić, że bank funkcjonuje, w sposób ustrukturyzowany oraz spełnia wymagania prawne wskazywane m.in. w przepisach o ochronie danych osobowych – zauważył Paweł Jurek.
Analogiczne stanowisko w tej sprawie zajął Piotr Utrata, rzecznik prasowy ING Banku Śląskiego.
„Dane przetwarzamy jako bank w oparciu o przepisy prawa (prawo bankowe oraz ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu). Przepisy mówią o możliwości. Do tego – w oparciu o RODO – powinniśmy oceniać każdorazowo przy projektowaniu wykorzystania takich danych – czy jest to konieczne i niezbędne w danym procesie” – twierdzi rzecznik ING.
Zwraca także uwagę, iż reprezentowana przezeń instytucja na bieżąco przeprowadza ocenę niezbędności i minimalizacji przetwarzanych danych, co gwarantuje realizację tych procesów w zgodzie z przepisami.
Czytaj także: Prezes UODO o stosowaniu przez banki analizy behawioralnej
Korzystanie z danych w świetle AML
Marzena Zielińska, menedżer projektów i regulacji zarządzania ryzykiem w Santander Banku Polska podkreśla, iż stanowisko UODO odnosi się przede wszystkim do podejścia w zakresie identyfikacji osoby, tymczasem dane są gromadzone przez banki także w innych celach, w tym związanych ze stosowaniem środków bezpieczeństwa AML.
„W ocenie Urzędu nieprawidłowym jest posługiwanie się danymi osób trzecich, aby zidentyfikować daną osobę fizyczną, gdy dysponuje się innymi danymi, które bezpośrednio jej dotyczą, np. numerem PESEL. Nie sposób się nie zgodzić – PESEL czy nr dowodu osobistego jest unikalny i pozwala na identyfikację.
Stanowisko jednak np. nie wskazuje, że tych danych w ogóle nie można gromadzić, ani się nimi posługiwać bez względu na okoliczności. Imiona rodziców są np. podane również w dowodzie osobistym, a weryfikacja danych zawartych w takim dokumencie jest wymagana przez przepisy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu i nie ma tam wyłączenia z weryfikacji np. imion rodziców” – wyjaśnia przedstawicielka Santander Banku Polska.
To w jej opinii oznacza, iż bank ma prawo dysponować takimi informacjami, natomiast nie powinien wykorzystywać informacji o osobie trzeciej (np. imienia ojca) do identyfikacji klienta.
Na kluczowe znaczenie przesłanek dla przetwarzania danych osobowych klientów, w tym imion ich rodziców, wskazała też Agnieszka Gorzkowicz, menedżer ds. komunikacji korporacyjnej i z-ca rzecznika prasowego Credit Agricole Bank Polska.
„Organ w swoim stanowisku wypowiada się przede wszystkich o celach identyfikacyjnych i jest to kierunek logiczny z perspektywy RODO. Nie można jednocześnie pominąć wagi uwierzytelnienia osoby, działania odrębnego od identyfikacji, czyli potwierdzenia przez nią samą, np. przy kontakcie z bankami, że jest tą osobą, która została zidentyfikowana, i za którą się podaje.
To otwiera szerszą dyskusję, jaki zakres danych posiadanych przez osobę, czy też wytworzonych specjalnie w tym celu jest wystarczający, a tym samym niezbędny. Jest to w szczególności istotne w kontakcie zdalnym, a dodatkowo trudne przy kontakcie telefonicznym” – stwierdziła przedstawicielka Credit Agricole Bank Polska.
„Zarówno bankom, jak i ich klientom zależy na uwierzytelnieniu, które będzie godziło z sobą zachowanie wysokiego poziomu bezpieczeństwa ze sprawną obsługą w danym kanale, stąd zastosowanie mają zróżnicowane metody autoryzacji.
Należą do nich nierzadko ankiety, bazujące na wiedzy o kliencie posiadanej przez banki i zgodnej ze stanem wiedzy i pamięcią klienta, w zakresie której dane tej kategorii mogą stanowić istotne dopełnienie, przyczyniając się do zwiększenia poziomu bezpieczeństwa danego kontaktu”- dodała.
„Niemniej stanowisko organu w zakresie identyfikacji może być przyczynkiem do rewizji dotychczasowego podejścia, również do procesów uwierzytelnienia, i tam gdzie przetwarzanie nie znajduje usprawiedliwienia, zgodnie z zasadą adekwatności, skutkować zmianą praktyki” – podsumowała Agnieszka Gorzkowicz.
