Prawne aspekty biometrii: Wykorzystanie biometrii do uwierzytelnienia czynności bankowych

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

Sytuacja prawna danych biometrycznych wykorzystywanych w sektorze bankowym uregulowana jest przez przepisy ustawy Prawo bankowe pozostającej w związku z ustawą o elektronicznych instrumentach płatniczych oraz przez przepisy ustawy o ochronie danych osobowych, w części nieuregulowanej dwoma pierwszymi ustawami, w przypadku maksymalizacji ochrony osiąganej na poziomie tego aktu prawnego.

Obowiązek stosowania ustawy o ochronie danych osobowych wynika z art. 3 ust 2 pkt.1 ww. ustawy, który stanowi, że „ustawę stosuje się również do: (…) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych” oraz „które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Zgodnie natomiast z art. 5 ustawy o ochronie danych osobowych, „jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw”. Jest to równoznaczne z traktowaniem w tym przypadku wybranych przepisów Prawa bankowego jako lex specialis w stosunku do ustawy o ochronie danych osobowych. Do kwestii nieuregulowanych w Prawie bankowym, nieobejmujących większą ochroną danych osobowych lub w przypadkach braku kolizji Prawa bankowego z ustawą o ochronie danych osobowych zastosowanie będą miały przepisy ustawy o ochronie danych osobowych33.

Transakcje finansowe dokonywane przez bank należą do tzw. czynności bankowych. Bez znaczenia wydaje się w tym miejscu podział na czynności bankowe sensu stricto i largo. Dla porządku należy jednak wskazać, że pierwsze z nich, o charakterze podstawowym, uregulowane zostały w art. 5 ust. 1 ustawy Prawo bankowe i mogą być wykonywane jedynie przez banki, natomiast drugie, będące czynnościami bankowymi warunkowymi, wyróżnianymi ze względu na charakter podmiotu dokonującego czynności (bank) określone są w art. 5 ust. 2 tejże ustawy.

Przeprowadzanie transakcji finansowych przez bank, bez względu na charakter – gotówkowy albo bezgotówkowy – jest czynnością bankową i stanowi tzw. bankowe rozliczenie pieniężne. Także dokonywanie przez bank transakcji przy użyciu karty płatniczej jest czynnością bankową. Taka kwalifikacja jest istotna i będzie miała szczególne znaczenie dla stosowania poszczególnych norm Prawa bankowego i udzielenia odpowiedzi na zadane pytania.

W związku z powyższym, wszystkie informacje dotyczące czynności bankowej (w tym dane biometryczne uwierzytelniające transakcję) objęte będą ochroną przewidzianą dla tajemnicy bankowej. W związku z tym, że art. art.104-106b i 106d Prawa bankowego przewidują dalej idącą ochronę, niż ustawa o ochronie danych osobowych34, ostatnia z wymienionych regulacji nie będzie miała w tym przypadku zastosowania.

Przecinając dyskusję nad znaczeniem klauzuli generalnej „dalej idąca ochrona”, w przypadku ww. artykułów i w kontekście przepisów karnych dotyczących tajemnicy bankowej zawartych w art. 171 ust. 5 Prawa bankowego, należy przyjąć, że uregulowania z Prawa bankowego zapewniają szerszą ochronę danych, bez względu na wersję możliwej w tym przypadku koncepcji „dalej idącej ochrony”35.

Podkreślając fakt, że tajemnica bankowa służy ochronie interesów klienta36, które przy ewentualnej kolizji z interesami gospodarczymi banku mają pierwszeństwo37, nie ma przeszkód do tego, aby wykorzystywać dane biometryczne do uwierzytelniania transakcji finansowych. Wszelkie dane (informacje) dotyczące czynności bankowej uzyskane przez bank podczas negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje objęte będą tajemnicą bankową.

Równocześnie należy dodać, że wszelkie dane dostarczane są do banku za zgodą uprawnionego dysponenta i przez niego samego, co legalizuje posiadanie i przetwarzanie danych biometrycznych, jeżeli tylko wskazany jest cel dokonywania przetwarzania. Wniosek taki można powziąć biorąc pod uwagę aksjologiczne i systemowe podstawy prawa cywilnego, unaoczniające się w autonomii woli, będącej fundamentem w zakresie regulacji stosunków zobowiązaniowych banku i klienta. Tak więc dla rozporządzania danymi biometrycznymi i powierzenia ich bankowi klient nie potrzebuje dodatkowego, zawartego w ustawie upoważnienia. Przepisy prawa są konieczne dla należytego zabezpieczenia danych biometrycznych, nałożenia obowiązków i wynikającej stąd odpowiedzialności, czyli dla zapewnienia ochrony klienta, jednak nie dla możliwości wyrażenia przez niego własnej woli w tym zakresie. Ustawa Prawo bankowe wychodzi naprzeciw takim wymogom i reguluje to zagadnienie w sposób kompleksowy.

Jak wspomniano powyżej, pozyskane w taki sposób dane biometryczne, umożliwiające uwierzytelnienie transakcji finansowej, będą chronione w szerszym zakresie niż w ustawie o ochronie danych osobowych dzięki instytucji tajemnicy bankowej. Należy jednak pamiętać, że obowiązek zachowania tajemnicy bankowej nie ma charakteru absolutnego. Ustawodawca określa w Prawie bankowym precyzyjny i zamknięty katalog zwolnień z obowiązku zachowania tajemnicy. Dzięki takiej konstrukcji możliwe jest przekazanie danych innym, ściśle określonym podmiotom (działającym na rzecz klienta i systemu bankowego np. wydawcom biometrycznych kart płatniczych).

Relewantnymi wyłączeniami od zachowania tajemnicy bankowej w zakresie omawianej tematyki dotyczącej danych biometrycznych są sytuacje przewidziane w art. 104 ust 2 pkt 1 i 2 oraz art. 104 ust 3. W ramach tych podstaw bank będzie mógł przekazać dane biometryczne (wzorce biometryczne) innym podmiotom.

Możliwość taka zachodzi gdy:

  • osoba w sposób pisemny upoważni bank do przekazania danych konkretnemu, wskazanemu w upoważnieniu podmiotowi (zgoda),
  • bez ujawnienia informacji objętej tajemnicą bankową – ze względu na istotę i charakter czynności bankowej lub obowiązujące przepisy – nie jest możliwe należyte wykonanie umowy, na podstawie której jest wykonywana ta czynność bankowa lub należyte wykonanie czynności pozostających w związku z zawarciem i wykonaniem tej umowy,
  • następuje ujawnienie informacji objętych tajemnicą bankową przedsiębiorcom lub przedsiębiorcom zagranicznym, którym bank, zgodnie z art. 6a-6d, powierzył wykonywanie, stale lub okresowo, czynności związanych z wykonywaniem działalności bankowej, w zakresie niezbędnym do należytego wykonywania tych czynności (outsourcing).

Warto zauważyć, że 2 i 3 przypadek przekazania danych biometrycznych będących danymi poufnymi nie jest uzależniony od wyrażenia przez klienta zgody (pisemnego upoważnienia) w tym zakresie. Zgoda ma więc charakter pierwotny i co do zasady dotyczyć będzie banku i jego możliwości pozyskania i przetwarzania danych biometrycznych klienta oraz ewentualnego rozszerzenia katalogu podmiotów, niewymienionych expressis verbis w ustawie Prawo bankowe, mogących uzyskać w ten sposób dane objęte ochroną przez tajemnicę bankową.

Należy nadmienić, że przekazanie danych biometrycznych przez bank na rzecz innych podmiotów nie oznacza automatycznego uszczuplenia ochrony prywatności. W przypadku outsourcingu klient jest zabezpieczony bezpośrednio przez postanowienia ustawy. Zarówno insourcer, czyli podmiot zewnętrzny otrzymujący informacje od banku lub wykonujący czynności na rzecz banku, jak i bank udostępniający informacje lub zlecający czynności, nie mogą wyłączyć swojej odpowiedzialności za powstałe szkody lub nienależyte wykonanie umowy38.

Równocześnie za naruszenie obowiązku zachowania tajemnicy bankowej wynikającego z art. 104 ustawy Prawo bankowe (np. ujawnienie podmiotowi nieuprawnionemu, niewymienionemu w wyłączeniu zawartym w art. 104 ust. 2) grożą sankcje karne: stricte personalne (art. 171 ust. 5: grzywna do 1 000 000 zł i kara pozbawienia wolności do lat 3) oraz nadzorcze (nakładane przez KNF na podstawie art. 138 ust. 3, np. odwołanie, zawieszenie członka zarządu, ograniczenie zakresu działalności banku, uchylenie zezwolenia na utworzenie banku).

Wskazane powyżej sankcje mają charakter gwarancyjny, co oznacza, że są one egzekwowane nawet w przypadku, gdy klient nie doznał żadnej szkody w związku z nielegalnym ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI