Raport specjalny. Bezpieczeństwo banków: Kwestie bezpieczeństwa nie zostały należycie zdefiniowane
Obowiązek stosowania RODO od 25 maja br. będzie mieć istotny wpływ na funkcjonowanie wielu obszarów bankowego biznesu, w tym na gromadzenie i przetwarzanie danych w celu zagwarantowania bezpieczeństwa obrotu gospodarczego na rynku finansowym oraz ochrony samych banków i ich klientów przed działaniami przestępczymi. W jaki sposób te kluczowe dla sektora kwestie zostały ujęte w przepisach rozporządzenia?
– Może to zabrzmieć zaskakująco, ale kwestia ta w ogóle nie znalazła wyrażanego rozstrzygnięcia na gruncie ogólnego rozporządzenia o ochronie danych. Związek Banków Polskich zwracał uwagę na ten problem jeszcze w toku prac nad rozporządzeniem w samym Parlamencie Europejskim. Niestety ustawodawca wspólnotowy zdecydował się na powielenie rozwiązań zawartych w dyrektywie odnośnie ochrony danych osobowych z 1995 r., która również nie adresowała w należytym stopniu problematyki przetwarzania danych w celu zwiększenia bezpieczeństwa obrotu gospodarczego. Jedynie w motywach rozporządzenia znaleźć można informację, iż aspekty bezpieczeństwa mogą odgrywać istotną rolę w przetwarzaniu danych osobowych, jednak zapisy te nie adresują jednoznacznie w samych przepisach tej problematyki. Nie brakuje jednakże przypadków, kiedy przepisy sektorowe są zbyt ogólne albo wręcz nie odnoszą się wprost do sytuacji, w których istnieje konieczność gromadzenia danych osobowych na przykład w celu przeciwdziałania wyłudzeniom. Doskonałym przykładem może być zbieranie przez instytucje finansowe informacji o osobach figurujących jako tzw. słupy lub organizatorach wyłudzeń kredytów. Dla każdego jest zrozumiałe, że żaden bank nie będzie spełniał obowiązku informacyjnego wobec oszusta, jednak bazując wyłącznie na RODO, można dojść i do tak kuriozalnego wniosku, o ile ustawodawca krajowy nie skorzysta z opcji ograniczenia lub wyłączenia obowiązków informacyjnych (na podstawie art. 23 RODO). To chyba najlepszy dowód na to, że w sferze bezpieczeństwa RODO nie jest właściwie dopracowanym aktem prawnym, który mógłby samoistnie dać instytucjom finansowym pełne podstawy do przetwarzania, w ramach bieżących procesów, danych osobowych niezbędnych dla utrzymania poziomu bezpieczeństwa wymaganego chociażby przez inne regulacje. Dlatego ZBP zabiegał o to, by wszystkie niezbędne regulacje w tym obszarze znalazły się w przepisach rangi krajowej.
Jednym z takich zagadnień jest prowadzenie międzybankowych baz danych gromadzących informacje o przestępstwach kredytowych i innych czynach dokonywanych na szkodę banków i ich klientów. Stosowna propozycja uregulowania tego obszaru poprzez wyłączenie obowiązku informacyjnego wobec danych o przestępcach, przetwarzanych w międzybankowych bazach danych została zgłoszona przez ZBP i została uwzględniona na etapie prac rządowych w projekcie ustawy. Istotnym wsparciem w tym obszarze mogą być również przewidziane w ogólnym rozporządzeniu o ochronie danych kodeksy postępowania, które umożliwiają doprecyzowanie przepisów zawartych w tym akcie prawnym. Związek Banków Polskich jako pierwsza instytucja branżowa w Polsce przygotował projekt takowego zbioru zasad, który obecnie zgodnie z wymogami RODO poddany jest opiniowaniu Generalnego Inspektora Ochrony Danych Osobowych.
Wspomniał pan o systemach wymiany informacji. W jaki sposób RODO może wpłynąć na funkcjonowanie takich podmiotów jak BIK czy biura informacji gospodarczej?
– Również i w tym przypadku nowe prawo wspólnotowe nie uwzględnia wprost specyfiki przetwarzania danych w rejestrach kredytowych. W treści rozporządzenia zabrakło chociażby jednoznacznego odniesienia do wykorzystania w tego typu podmiotach całkiem nowej instytucji, jaką jest profilowanie, które przecież stanowić będzie kluczowy czy nawet krytyczny element infrastruktury rejestrów. Przepis w RODO dotyczący profilowania jest skonstruowany w sposób negatywny, zakłada on, iż podmiot danych co do zasady ma prawo nie podlegać procesom opartym na profilowaniu, chyba że wyraźny przepis prawa państwa członkowskiego na to pozwala. Dlatego konieczne było ujęcie tej problematyki na gruncie przygotowywanych właśnie zmian w przepisach szczebla krajowego – chociaż aktualnie trwa jeszcze proces uzgodnień – w przeciwnym bowiem razie istniało realne ryzyko, że klient niezadowolony z negatywnego scoringu złoży sprzeciw i będzie się domagać usunięcia danych z BIK, a biuro, kierując się wprost zapisami RODO, byłoby w takiej sytuacji zmuszone do wykonania tego żądania.
Nie brakuje jednakże przypadków, kiedy przepisy sektorowe są zbyt ogólne albo wręcz nie odnoszą się wprost do sytuacji, w których istnieje konieczność gromadzenia danych osobowych na przykład w celu przeciwdziałania wyłudzeniom. Doskonałym przykładem może być zbieranie przez instytucje finansowe informacji o osobach figurujących jako tzw. słupy.
Banki monitorują zachowania klientów w sieci również w celu zabezpieczenia ich samych przed aktywnością cyberprzestępców. Czy i jak tego rodzaju działania będą mogły być kontynuowane pod rządami RODO?
– Ta kwestia przewijała się w pracach grupy roboczej ZBP do spraw wdrożenia RODO. Generalnie banki podchodzić będą do tego rodzaju działań bardzo ostrożnie, a to z uwagi na wysokie sankcje karne przewidziane w rozporządzeniu. Wsparcie identyfikacji użytkownika za pomocą kanałów zdalnych z wykorzystaniem technik wizualizacji (np. identyfikacja za pomocą obrazu) czy geolokalizacji będzie kontynuowane. Podstawą dla przetwarzania danych w takich celach będzie co do zasady zgoda uzyskana od podmiotu danych. Chodzi o to, by choć w minimalnym stopniu zweryfikować świadomość klienta odnośnie określonych form monitorowania jego aktywności przez bank. Równocześnie rozważana jest możliwość wykorzystania instytucji profilowania w celu poprawy jakości obsługi klienta, poprzez wykorzystanie np. pozyskanych informacji geolokalizacyjnych do określania preferencji danego użytkownika. Koncepcja ta wychodzi od definicji profilowania określonej w RODO, w myśl której pod tym pojęciem rozumiane jest każde przetwarzanie danych, którego wynikiem jest ocena aktywności osoby, której dane dotyczą. Niektóre instytucje, nie tylko zresztą w sektorze bankowym, już obecnie rozważają, jak w zgodzie z RODO w pełni wykorzystać możliwości, jakie dają urządzenia mobilne.
Niemal równolegle z RODO banki będą obowiązane stosować dyrektywę PSD2, której cele są w jakimś stopniu przeciwstawne zwiększaniu prywatności i ochrony danych. Który z aktów prawnych będzie mieć pierwszeństwo w przypadku ewentualnej kolizji przepisów?
– Dyrektywa PSD2 stanowi w swoich szczegółowych rozwiązaniach dotyczących np. third party providers (TPP) lex specialis w stosunku do ogólnego rozporządzenia o ochronie danych. W konsekwencji jakiekolwiek próby ograniczenia zagrożeń wynikających z PSD2 poprzez odwołanie do RODO w wielu przypadkach mogłyby zakończyć się niepowodzeniem. Zresztą w samej treści RODO kilkukrotnie znaleźć można zapisy zezwalające na stosowanie procesów, które są przewidziane lub dopuszczone przez prawo unijne lub prawo państwa członkowskiego. W tej kategorii mieści się również PSD2, będąca regulacją o charakterze szczególnym, do której dodatkowo wydano szczegółowe wytyczne w postaci RTS. Wniosek jest prosty: należy przyjąć te regulacje i się do nich dostosować. Wychodzi temu naprzeciw projekt Polish API, który stara się wystandaryzować podejście do kwestii określonych w dyrektywie.
Czy RODO może stać się szansą na zwiększenie świadomości klienta odnośnie ochrony danych?
– Od lat obserwuje się tendencję do zwiększania świadomości klientów poprzez rozbudowę obowiązków informacyjnych. Takie rozwiązania znalazły się m.in. w dyrektywach o kredycie konsumenckim, hipotecznym czy PAD, a ostatnio także i w RODO. Przykładem rozrostu obowiązków informacyjnych względem klienta są regulacje odnośnie kredytu konsumenckiego: pierwotna dyrektywa sprowadzała te wymogi do kilku punktów, obecnie jest ich ponad dwadzieścia. W mojej ocenie ten kierunek nie jest właściwy, ponieważ powoduje nadmierne rozbudowanie dokumentacji co z kolei generuje u konsumentów niechęć do zapoznania się z dokumentem nadmiernie rozbudowanym wyłącznie wskutek kolejnych wymogów regulacyjnych. Niestety, również twórcy RODO poszli w kierunku ponad dwukrotnego zwiększenia zakresu informacji przekazywanych klientowi. W konsekwencji przekaz, który dotychczas był w miarę przejrzysty, sprowadzał się bowiem do danych administratora oraz celu i okresu przetwarzania, teraz został wzbogacony o dodatkowe okoliczności, które w mojej ocenie nie będą przez klientów właściwie identyfikowane. Dodatkowo bank nie ma możliwości ująć tych informacji w innej formie, nawet bardziej zrozumiałej i rozumiane (np. informacja o zautomatyzowanym podejmowaniu decyzji) dla przeciętnego nabywcy, gdyż informacje muszą być podane w postaci ściśle określonej przez prawo.
Absolutną nowością na gruncie RODO jest zasada privacy by design. Czy tego typu podejście będzie w stanie wpłynąć na jakość dostarczanych technologii również pod kątem bezpieczeństwa?
– Jest to faktycznie nowa instytucja, której do tej pory nie było w regulacjach dotyczących ochrony prywatności. W mojej ocenie przepis jest konstrukcyjnie ciekawy, wyraża ideę, która jest zrozumiała: żeby nie gromadzić danych na zapas, ograniczyć przetwarzanie informacji do tych zasobów, które są faktycznie niezbędne. Pamiętać jednak trzeba, że przepis ten, podobnie zresztą jak całe RODO, bazuje na dość wysokim poziomie ogólności, a do tego odwołuje się do kryteriów o charakterze ocennym. W takich przypadkach kluczową kwestią pozostaje praktyka stosowania danej regulacji przez odpowiednie organy. Również i w przypadku privacy by design adekwatna ocena skuteczności tego instrumentu będzie możliwa dopiero po ukształtowaniu się wykładni organu nadzorczego oraz sądów.
(Wywiad nie był autoryzowany)