Holenderskie banki z licencją na udostępnianie danych o oszustach

Holenderskie banki z licencją na udostępnianie danych o oszustach
Fot. stock.adobe.com / MKavalenkau
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Ponad 160 instytucji finansowych otrzymało licencję Holenderskiego Urzędu Ochrony Danych na rejestrowanie i udostępnianie między sobą danych oszustów na ściśle określonych warunkach. W zamian muszą przestrzegać przepisów nowego protokołu ochrony danych, by prawa obywateli były lepiej chronione ze względu na przepisy dotyczące prywatności RODO, pisze Szymon Stellmaszyk, Doradca Zarządu ZBP w Zespole ds. współpracy międzynarodowej.

Zapewnienie bezpieczeństwa i integralności sektora finansowego oraz zwalczanie przestępczości są ważne nie tylko dla instytucji finansowych, ale także samych klientów. Kontrolowane i uczciwe operacje biznesowe mają tu kluczowe znaczenie.

Regulatorzy oczekują, że instytucje będą podejmowały w tym celu działania ochronne. Banki, ubezpieczyciele i instytucje hipoteczne są przecież regularnie konfrontowane z działaniami przestępców.

Oszuści korzystają często z usług wielu instytucji. Jednym ze środków przeciwdziałania temu zjawisku jest system ostrzegania o incydentach.

Jeśli bank przyjmuje nowego klienta, może sprawdzać, czy taka osoba jest zarejestrowana na listach innych instytucji finansowych

System holenderski oferuje instytucjom finansowym rejestrację i wymianę danych o takich zdarzeniach. Wzajemne ostrzeganie poprzez wymianę informacji wymaga uzyskania krajowej licencji i przestrzegania Protokołu Systemu Ostrzegania o Incydentach Instytucji Finansowych (PIFI), który został zatwierdzony na pięć lat, do 2026 roku.

Banki mogą sprawdzać kto może być zagrożeniem

PIFI umożliwia bankom sprawdzenie, czy (potencjalni) klienci lub (byli) pracownicy stanowią dla nich zagrożenie. Np., jeśli jakaś osoba wcześniej popełniła oszustwo w jednej instytucji, można uniemożliwić jej próbę podobnego działania w innej.

Jeśli bank przyjmuje nowego klienta, może sprawdzać, czy taka osoba jest zarejestrowana na listach innych instytucji finansowych. Klienci instytucji finansowych mają z kolei prawo wiedzieć, czy są zarejestrowani i mogą sprzeciwić się, jeśli uważają, że ich rejestracja jest nieprawidłowa.

W Protokole Systemu Ostrzegania o Incydencie Instytucji Finansowych wyróżnia się rejestry incydentów poszczególnych instytucji i stowarzyszeń branżowych oraz zewnętrzny rejestr referencyjny powiązany z każdym rejestrem incydentów. W tym drugim zawarte są wyłącznie dane referencyjne z odpowiedniej instytucji finansowej.

Instytucja finansowa rejestruje zachowanie osób we własnym rejestrze zdarzeń, które doprowadziło lub może prowadzić do niekorzystnej sytuacji instytucji finansowych, ich klientów lub pracowników lub, które może zagrozić uczciwości instytucji finansowych. Takie dane mogą być wymieniane z innymi instytucjami.

Nie ma centralnej bazy

Z kolei dane referencyjne są rejestrowane przez instytucję finansową w zewnętrznym rejestrze referencyjnym powiązanym z jej własnym rejestrem incydentów, do którego inne instytucje finansowe mogą mieć wgląd.  

Dostęp do danych uzyskuje się za pośrednictwem odpowiedniej aplikacji. W przypadku ubezpieczycieli jest ona zarządzana przez Fundację Centralnego Systemu Informatycznego (CIS), a dla pozostałych uczestników sektora przez Fundację Biura Rejestracji Kredytów (BKR).

W przypadku każdego pytania instytucje muszą indywidualnie analizować, czy konieczne jest przekazanie lub wystąpienie o takie dane

Podstawową zasadą jest to, że w Systemie Ostrzegania mogą brać udział instytucje finansowe, które są członkami odpowiednich stowarzyszeń handlowych, tj. Holenderskiego Stowarzyszenia Bankowego (NVB), Stowarzyszenia Ubezpieczycieli, Stowarzyszenia Firm Finansujących w Holandii (VFN), Fundacji Zapobiegania Nadużyciom Kredytów Hipotecznych (SFH) i Ubezpieczycieli Opieki Zdrowotnej (ZN).  

​​W ramach wprowadzonych rozwiązań to instytucje finansowe samodzielnie zarządzają swoimi danymi pozostając za nie odpowiedzialnymi.

Nie powstaje więc centralna baza danych, ani „czarna lista”, w której można wyszukiwać szczegóły dotyczące incydentów. W przypadku każdego pytania instytucje muszą indywidualnie analizować, czy konieczne jest przekazanie lub wystąpienie o takie dane.

Nieprawidłowe korzystanie z systemu może powodować wykluczenie z niego i brak dostępu do bazy danych innych instytucji finansowych.

Protokół Incydentu Systemu Ostrzegania Instytucji Finansowych (PIFI)

Źródło: aleBank.pl