Forum Bezpieczeństwa Banków: RODO trzy lata po zmianach
Debata ekspercka, poświęcona wyzwaniom z zakresu ochrony danych osobowych, poprzedzona została wystąpieniem prof. Wojciecha Wiewiórowskiego, Europejskiego Inspektora Ochrony Danych.
Urząd ten co do zasady zajmuje się kwestiami przetwarzania danych w w agendach i biurach UE, a jego kompetencje nie kolidują z uprawnieniami organów ochrony danych w poszczególnych państwach Wspólnoty.
Kryzys unaocznił znaczenie gospodarki cyfrowej i działań, podejmowanych w sieci dla naszego życia codziennego
Prelegent wskazał między innymi na zależności pomiędzy obszarem właściwym dla RODO a innymi aktami prawnymi regulującymi podobne kwestie, takimi jak tajemnica bankowa, czy też regułami odnoszącymi się do takich spraw jak autentykacja biometryczna, które nie wywodzą się z wyżej wymienionych przepisów.
COVID to najpoważniejsze wyzwanie jakie stanęło przed każdym z nas. Kryzys unaocznił znaczenie gospodarki cyfrowej i działań, podejmowanych w sieci dla naszego życia codziennego – zauważył Europejski Inspektor Ochrony Danych.
Poważnym wyzwaniem z punktu widzenia przetwarzania danych było przejście na pracę zdalną, co skutkowało nie tylko koniecznością wypracowania nowych form zabezpieczenia informacji, ale też w znaczący sposób zmieniło funkcjonowanie wszelkiego rodzaju forów wymiany doświadczeń pomiędzy podmiotami uczestniczącymi w procesach ochrony danych.
Czy czeka nas większa harmonizacja ochrony danych?
– Przestały istnieć fora stałej współpracy w postaci spotkań, meetingów, grup eksperckich itp. Przeszliśmy do sytuacji, gdzie wszystko odbywa się z formalnymi dokumentami, co ma znaczenie dla transparentności obrad, ale te obrady toczą się w całkiem innym środowisku – dodał prelegent.
W dalszej części swego wystąpienia nawiązał on m.in. do ubiegłorocznego orzeczenia TSUE, które w jednoznaczny sposób określiło wyłączną odpowiedzialność administratorów danych za to, w jaki sposób te zasoby są przetwarzane i udostępniane.
– Dla banków to akurat nie powinno być zaskoczeniem – dodał prof. Wiewiórowski. I dodał, że na szczeblu unijnym podnoszona jest kwestia większej harmonizacji działań nadzorczych w obszarze ochrony danych, a rynek finansowy może być pierwszym, na którym do takiego zharmonizowania może dojść.
Odrębnym obszarem, nad którym pracują wspólnotowi decydenci, jest tzw. Artificial Intelligence Act, czyli próba stworzenia uregulowań dla sfery sztucznej inteligencji.
Jak poinformował prof. Wiewiórowski, rozważany jest system, w którym tylko niewielka, ściśle określona grupa działań w tym zakresie będzie zakazana, ograniczana lub podlegająca marginalnym regulacjom.
Kiedy korzystać z danych biometrycznych
Problematyka ochrony tak wrażliwych zasobów jak dane osobowe w praktyce bankowej była poruszana także podczas debaty, moderowanej przez Magdę Matuszewską, dyrektor ds. ochrony Danych w Banku Handlowym w Warszawie.
z kluczowych zagadnień była oczywiście autentykacja biometryczna. Dorota Echaust-Przybytniak, inspektor ochrony danych osobowych w Pekao Banku Hipotecznym, zwróciła uwagę na rozliczne korzyści płynące z uwierzytelniania bez dodatkowych instrumentów, jak karta, token czy kod PIN.
Wygoda, jaka wiąże się z biometrią nie powinna jednak przesłonić kwestii ochrony prywatności, należy wszak pamiętać iż cechy biometryczne zaliczane są do danych wrażliwych, a to oznacza, iż można je przetwarzać tylko w ściśle określonych przypadkach, wskazanych w RODO.
Konieczne jest też uwzględnienie fundamentalnej dla RODO zasady proporcjonalności, co oznacza, iż dane mogą być procesowane jedynie w takim zakresie, w jakim jest to niezbędne dla realizacji danego celu.
Jak należy rozumieć ową zasadę? Do kwestii tej nawiązał prof. Arwid Mednis, ekspert ds. ochrony danych reprezentujący Uniwersytet Warszawski.
Odwołał się on do wyroku, wydanego w ubiegłym roku przez sąd administracyjny, rozpatrujący odwołanie jednej z gdańskich szkół podstawowych od decyzji UODO, nakładającej karę pieniężną z powodu wykorzystania czytnika linii papilarnych do identyfikacji uczniów w stołówce szkolnej.
– Ten wyrok jest dobrze przemyślany i udokumentowany, z powołaniem na literaturę, co nie jest typowe, wiele wyroków w tym obszarze nie jest tak dobrze udokumentowanych -dodał prof. Mednis.
W przeciwieństwie do stanowiska UODO, zgodnie z którym jeśli ten sam cel da się osiągnąć w inny sposób, wówczas bezwzględnie należy się powstrzymać od przetwarzania danych biometrycznych, sąd ocenił, iż wykorzystanie biometrii w tym przypadku było właściwe.
Zawarta w RODO zasada minimalizmu wskazuje wszak, iż zbieranie danych nie może być nadmierne, zaś jeśli w danym przypadku użycie czytnika cech biometrycznych zapewnia większą skuteczność, wówczas jego wykorzystanie uznać należy za właściwe, pomimo istnienia innych, acz mniej precyzyjnych form.
Środki adekwatne do zagrożeń
Co należy robić, jeśli mimo wszelkich starań dojdzie do wycieku? Katarzyna Midor-Saduś, inspektor ochrony danych osobowych w Banku Pekao przypomniała, że w przypadku wystąpienia incydentu związanego z danymi osobowymi kluczowe znaczenie ma analiza zdarzeń.
Należy wówczas wykazać, że środki zastosowane przez organizację były adekwatne do zagrożeń. A to oznacza, iż monitoring ryzyka powinien mieć charakter ustawiczny.
Ważnym zadaniem z punktu widzenia RODO jest budowa świadomości zarówno samych klientów jak i pracowników banków, żeby osoba zgłaszająca problem miała możliwość trafić na kompetentnego w tej materii doradcę, która rozumie problem i odpowiednio nań zareaguje.
W dobie cloud computingu na pierwszy plan wysuwa się też możliwość przeniesienia danych do innego systemu. Zdaniem przedstawicielki Pekao jest to wielkie wyzwanie technologiczne, które odnosi się nie tylko do RODO, ale i innych regulacji.
O tym, jakich przepisów możemy spodziewać się już niebawem, wspomniał prof. Wojciech Wiewiórowski. Mówił on między innymi o propozycji wprowadzenia Digital Services Act, czyli pakietu regulującego sferę usług cyfrowych, jako że dotychczasowy dorobek prawny w tej materii liczy sobie już dwie dekady.
Poznać klienta po sposobie trzymania telefonu?
Sesję zakończyły dwa wystąpienia eksperckie. Adam Rafajeński, Cyber Practice Director w firmie Deloitte, mówił o roli tzw. białego wywiadu w powstrzymywaniu ataków na instytucje sektora finansowego, zaś dr Mariusz Cholewa, prezes zarządu Biura Informacji Kredytowej, poświęcił swą prezentację kwestiom z zakresu biometrii behawioralnej.
Zwrócił on uwagę, iż rozwiązania z tego zakresu, tak jak system przygotowywany przez BIK, mogą być przezroczyste zarówno dla klientów, jak i cyberprzestępców, co zwiększa skuteczność stosowanych środków ochronnych. To wszystko możliwe jest dzięki monitorowaniu zachowań klienta podczas korzystania z urządzeń elektronicznych, takich jak tryb korzystania z klawiatury, dotykania ekranu smartfona czy trzymania myszki.
– To pozwala zbudować model i porównać, czy osoba, które się loguje do konta odpowiada temu profilowi – dodał prezes BIK.