Prezes UODO o stosowaniu przez banki analizy behawioralnej
Na pytanie – czy w obecnym stanie prawnym banki mogą stosować analizę behawioralną Mirosław Wróblewski stwierdził, że mogą jej używać w przypadku wyraźnej zgody wyrażonej przez klienta.
Zaznaczył przy tym, że bank musi w takim przypadku zastosować odpowiednie zabezpieczenia chroniące prawa i wolności swojego klienta w odniesieniu do jego wrażliwych danych osobowych, danych biometrycznych.
„Natomiast w przypadku braku wyraźnej zgody klienta istnieje bardzo poważna wątpliwość, która była analizowana także przez organy nadzorcze w innych krajach Unii Europejskiej” – mówił prezes UODO.
Jak wskazywał – organy nadzorcze w szeregu krajów UE zastanawiają się czy możliwe jest stosowanie przesłanki tak zwanego ważnego interesu publicznego.
W przypadku analizy behawioralnej chodzi także o ochronę klienta przed oszustwami.
„Dominujące stanowisko, które także podziela polski organ nadzorczy jest takie, że ponieważ obecnie obowiązujące przepisy ustawy o płatnościach nie precyzują jakie dane mogą być przetwarzane, w jakich okolicznościach i w jakim zakresie, to nie jest to wystarczająca podstawa do przetwarzania takich danych” – stwierdził.
Interes publiczny i ochrona danych osobowych
„Niemniej jednak chciałbym podkreślić, że współpracujemy ze Związkiem Banków Polskich. Zostaliśmy zaproszeni na specjalne warsztaty dotyczące analizy behawioralnej i stosowanych praktycznych narzędzi przez banki. Będziemy się z tym na pewno także od strony technicznej szczegółowo zapoznawać, tak aby móc być może wykorzystywać także te argumenty i podnieść te wątpliwości na poziomie europejskim, na przykład podczas prac Europejskiej Rady Ochrony Danych Osobowych w zakresie wytycznych dotyczących analizy behawioralnej” – dodał Mirosław Wróblewski.
Na nasze pytanie jakie niebezpieczeństwa dla klienta rodzi fakt, że bank wie w jaki sposób klient posługuje się myszką, czy z jaką siłą i jak szybko pisze na klawiaturze komputera lub na smartfonie – prezes UODO odpowiedział:
„Oczywiście my mówimy o dwóch stronach medalu. Z jednej strony rzeczywiście te narzędzia służą zapewnieniu bezpieczeństwa klientom, chronią także banki przed odpowiedzialnością za ewentualne wyłudzenia i oszustwa. Z drugiej jednak strony mamy obowiązujące dzisiaj przepisy rozporządzenia ogólnego o ochronie danych osobowych, które wyraźnie wskazują, że dane biometryczne nie mogą być co do zasady przetwarzane.”
Wyjątkiem może być już wcześniej wspomniany ważny interes publiczny, ale jak wynika z wypowiedzi Mirosława Wróblewskiego – nie ma w tym zakresie wyraźnej podstawy prawnej.
Przesuwający się punkt równowagi
W jego opinii warto poszukiwać rozwiązań, które pozwolą na wyważenie z jednej strony kwestii prywatności i ochrony danych osobowych, a z drugiej strony bezpieczeństwa klientów i bezpieczeństwa interesów banków. Jak stwierdził – chodzi o znalezienie odpowiedniego punktu równowagi.
Na koniec rozmowy zapytaliśmy czy jego zdaniem, wobec coraz częstszych i coraz bardziej wyrafinowanych ataków na banki i ich klientów, europejskie organy nadzorcze zmienią podejście do stosowania przez banki analizy behawioralnej.
„Ten punkt równowagi powinien być cały czas analizowany, bo on się zmienia wraz z rozwojem technologii, wraz z rozwojem zagrożeń. To prawda, że Polska jest niestety dobrym laboratorium. Liczba ataków cybernetycznych na nasz kraj jest szczególnie wysoka, jeżeli chodzi o Unię Europejską. Jesteśmy krajem przyfrontowym. Nasi obywatele są szczególnie podatni na tego typu ataki”- powiedział.
Jak zauważył – rozwiązania, które pozwolą na ochronę danych osobowych i jednocześnie spowodują zmniejszenie podatności klientów na zagrożenia są bardzo potrzebne. Zaznaczył jednak, że edukacja klientów podnosząca ich odporność na cyberataki jest poważnym wyzwaniem dla banków i dla mediów.
„Bo jak widać rozwiązania techniczne wprowadzane przez banki same nie są w stanie przeciwdziałać wszystkim zagrożeniom” – podsumował Mirosław Wróblewski.
