Raport specjalny – „Ranking największych banków w Polsce”: RODO należy czytać i rozumieć w całości
Stanisław Brzeg-Wieluński: RODO przestaje być tylko szumnie zapowiadaną na łamach mediów rewolucją i staje się obowiązującą regulacją. W jakim stopniu polski system prawny jest dostosowany na przyjęcie rozporządzenia tak ważnego i przełomowego dla obszaru przetwarzania danych?
– Prace nad dostosowaniem polskiego porządku prawnego do wymogów stawianych przez ogólne rozporządzenie o ochronie danych przebiegają dwutorowo. Podstawowym aktem prawa krajowego, regulującym zasady przetwarzania danych osobowych i ochrony prywatności, będzie ustawa z 10 maja 2018 r. o ochronie danych osobowych. Po jej przyjęciu przez Senat RP 16 maja br. została skierowana do podpisu przez Prezydenta RP. Chciałbym podkreślić, że ustawa przewiduje również zmiany w kilkudziesięciu obowiązujących aktach prawnych, wśród nich również i takich, które mają zastosowanie do działalności sektora finansowego.
Dokument, który 16 maja został przyjęty przez Komitet do spraw Europejskich Rady Ministrów, dokona zmian w około stu pięćdziesięciu ustawach, również takich jak prawo bankowe czy ustawa o działalności ubezpieczeniowej.
Równocześnie trwają prace nad projektem drugiej ustawy, określanej poprzednio jako przepisy wprowadzające, a obecnie jako regulacje zapewniające skuteczne stosowanie RODO. Dokument ten, który 16 maja został przyjęty przez Komitet do spraw Europejskich Rady Ministrów, dokona zmian w około stu pięćdziesięciu ustawach, również takich jak prawo bankowe czy ustawa o działalności ubezpieczeniowej. Staramy się, by na przełomie maja i czerwca dokument ten stanął na Komitecie Stałym Rady Ministrów. Przypomnę, iż w przypadku tego drugiego projektu skala zaproponowanych zmian ma charakter absolutnie bezprecedensowy; sam projekt ustawy wraz z uzasadnieniem liczy setki stron. Biorąc pod uwagę wspomniane czynniki, staje się oczywiste, iż ustawa zapewniająca skuteczne stosowanie RODO nie wejdzie w życie z dniem 25 maja. Jej regulacje nie są jednak niezbędne do stosowania ogólnego rozporządzenia o ochronie danych. Przypomnę również to, o czym już wspomniałem wcześniej: jeżeli w toku prac legislacyjnych uznaliśmy, że w danym obszarze nie jest możliwe praktyczne stosowanie RODO bez wprowadzenia określonych regulacji rangi krajowej, wówczas kwestie te zostały uwzględnione w przepisach zmieniających, zawartych w ustawie o ochronie danych osobowych.
Karol Jerzy Mórawski: Sytuacja ta budzi wiele obaw. Niektóre banki zadają pytanie, czy nie będą zaskakiwane na przykład sprzeciwami wobec przetwarzania danych na potrzeby analizy zdolności kredytowej?
– Takie obawy są bezpodstawne. Przewidziane w art. 21 RODO prawo do sprzeciwu dotyczy tylko i wyłącznie dwóch przypadków. W pierwszej kolejności sprzeciw może zostać podniesiony w sytuacji, kiedy dane przetwarzane są na podstawie tzw. interesu publicznego, co w przypadku banków raczej nie ma zastosowania. Drugą przyczyną skutecznego złożenia sprzeciwu jest tzw. przesłanka prawnie usprawiedliwionego celu. W przypadku relacji z klientami podstawową przesłanką przetwarzania danych jest z kolei zgoda lub zawierana z nimi umowa. Instytucje finansowe dokonują przecież oceny zdolności kredytowej albo na podstawie zgody, albo na podstawie umowy zawieranej z klientem, a w takich przypadkach przewidziane w art. 21 prawo sprzeciwu nie będzie przysługiwać.
Chciałbym przy tej okazji zwrócić uwagę na znacznie szerszy problem: nierzadko przepisy RODO czytane są w oderwaniu od całej treści rozporządzenia, w tym również ograniczeń, które są zawarte w tym akcie prawnym. Nierzadko w samym RODO znaleźć można wskazówki, kiedy dany przepis nie znajduje zastosowania. Celem naszych prac, prowadzonych podczas spotkań zespołu roboczego, powołanego przed Komitetem ds. Europejskich, było między innymi wyczyszczenie projektu ustawy zapewniającej skuteczne stosowanie RODO z zapisów dublujących ograniczenia przewidziane na podstawie prawa unijnego.
SBW: Mówimy faktycznie o imponującym zakresie zmian, czy już dziś można powiedzieć, co było największym wyzwaniem w tym niełatwym procesie?
– Jeśli chodzi o kwestie organizacyjne, największym wyzwaniem pozostaje bez wątpienia skala zmian, niemal niespotykana dotychczas w polskim procesie legislacyjnym. Nie ma zresztą się czym chwalić, że wdrożenie prawa unijnego wymaga zmiany tak ogromnej ilości przepisów. Jest to jednak wynik obecnej, polskiej kultury prawnej kształtującej się od kilkudziesięciu lat. Wdrażając RODO musimy zmienić dużą liczbę aktów prawnych, co skądinąd potwierdza opinię o olbrzymim rozdrobnieniu legislacyjnym w Polsce. W takiej sytuacji nawet najprostsze, mechaniczne czynności stają się czasochłonnym zadaniem. Podam tylko jeden, prosty przykład: przed posiedzeniem Rady Ministrów projekt jest przygotowywany w kilkudziesięciu egzemplarzach. A to przecież tylko jeden z jakże licznych etapów prac legislacyjnych. Na samym etapie rządowym dokument jest rozpatrywany także i przez Komitet ds. Europejskich, Komitet ds. Cyfryzacji, czy Komitet Stały Rady Ministrów. Dodatkowo, na każdym z tych etapów wysuwane są liczne uwagi i propozycje, które również należy odnotować w toku procedowania projektu. W obliczu tak rozległych zmian szczególnego wymiaru nabiera też ujednolicenie przepisów – otrzymujemy wkłady od różnych resortów i powinniśmy im zapewnić jednolitość legislacyjną, tak, aby były spójne. To też było olbrzymie wyzwanie.
KJM: Wróćmy do nowej ustawy o ochronie danych osobowych. Które zapisy tego aktu prawnego będą mieć największe znaczenie dla sektora bankowego?
– Na pierwszym miejscu wskazałbym zmiany w prawie pracy dotyczące stosowania monitoringu. Regulacje te bardzo wyraźnie wskazują, w jakich obszarach monitorowanie w ogóle nie będzie możliwe. Jak nietrudno się domyślić, na liście tej znalazły się toalety, przebieralnie, szatnie, ale również lokale i obszary gastronomiczne. Jeżeli zatem bank łączy swą przestrzeń z jakąkolwiek przestrzenią gastronomiczną, wówczas ona nie będzie mogła podlegać monitorowaniu. Kolejna zmiana obejmie zasady wykorzystywania monitoringu przez administratorów danych. Co do zasady możliwość taka istnieć będzie jedynie w przypadkach, kiedy w szczególności byłoby to konieczne dla zapewnienia bezpieczeństwa osób, mienia bądź tajemnic prawnie chronionych. Przed rozpoczęciem korzystania z rejestrowania konieczne będzie zatem dokonanie zmian w układzie zbiorowym, o ile w danym banku takowy funkcjonuje, a w pozostałych przypadkach w regulaminie pracy, poprzez uwzględnienie w nim korzystania z monitoringu wizyjnego.
Ustawa o ochronie danych osobowych wprowadza też maksymalny, trzymiesięczny termin przechowywania nagrań; wyjątkiem będą sytuacje, kiedy taki materiał byłby konieczny dla ochrony przed roszczeniami, które powstają w toku prowadzonego postępowania. Należy jednak wziąć pod uwagę, iż wówczas postępowanie musi faktycznie się toczyć, nie wystarczą podejrzenia, że dany pracownik może pozwać instytucję na przykład o mobbing. Ponadto obszar monitorowany musi być bardzo wyraźnie oznaczony. Chciałbym jednak podkreślić, że RODO, a w ślad za nim również polska ustawa o ochronie danych osobowych, rozumie pod pojęciem „monitoring” znacznie więcej aniżeli tylko rejestrowanie obrazu przez systemy CCTV. Myślę tu chociażby o korzystaniu z GPS-a w urządzeniach służbowych, dostępie do SMS-ów wysyłanych i odbieranych przez pracowników czy kontroli aktywności pracowników w internecie. Także i te kwestie będą musiały być uregulowane w regulaminie pracy lub układzie zbiorowym, niezbędne będzie wcześniejsze poinformowanie pracowników o tym fakcie.
Kolejne zmiany przepisów branżowych wprowadzane wraz z przepisami o ochronie danych osobowych dotyczą już stricte bankowego biznesu. Zgodnie z treścią obecnego projektu przepisów zapewniających stosowanie RODO, instytucje finansowe mogłyby liczyć na przykład na doprecyzowanie art. 105a Prawa bankowego w zakresie przetwarzania danych osobowych koniecznych do oceny zdolności kredytowej i analizy ryzyka, dzięki czemu uzyskają uprawnienie do przetwarzania danych osobowych dla celów statystycznych i analiz. Musimy jednak pamiętać, ze jesteśmy ciągle na etapie, na którym projekt się zmienia.
SBW: Obszarem szczególnie interesującym bankowców jest również profilowanie. Czy ta kwestia została uwzględniona w procedowanych obecnie projektach zmian prawnych?
– Na chwilę obecną projekt ustawy przyjęty przez Komitet ds. Europejskich nie zawiera rozwiązań w tym zakresie, ponieważ takowe nie zostały opracowane przez resort finansów, odpowiedzialny za przygotowanie poprawek dotyczących między innymi funkcjonowania sektora bankowego. Oczywiście prace nad wspomnianym dokumentem cały czas trwają, niewykluczone zatem, że w ostatecznej wersji skierowanej pod obrady parlamentu pojawi się uregulowanie tego zagadnienia. Podobnie zresztą na chwilę obecną nie przewiduje się zmian dotyczących autentykacji biometrycznej. Dlaczego tak się stało? Co do zasady bank i tak będzie mógł skorzystać z biometrycznych kanałów uwierzytelniających na podstawie RODO. Ta forma weryfikacji tożsamości zapewnia bardzo dużą gwarancję wiarygodności, zatem odpowiada w pełni kryteriom wyznaczonym przez rozporządzenie. Rzecz w tym, że w obliczu braku przepisów odrębnych zapewnienie dostępu do bankowości biometrycznej będzie się odbywać na podstawie udzielonej przez klienta zgody. W konsekwencji instytucje finansowe będą musiały dostarczać również inne kanały uwierzytelniania aniżeli tylko te biometryczne, tak, by klienci odmawiający z jednej strony nie czuli presji odnośnie udzielenia zgody na przetwarzanie danych biometrycznych, z drugiej zaś nie zostali odcięci od usług bankowych.
(Rozmowa odbyła się 11 maja br.)
Zdjęcia Wojciech Łączyński