RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS

21.01.2020 08:00 Michał Nowakowski

Udostępnij

RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS

Fot. Stock.Adobe.com /pe3check

Kontynuując ciekawy wątek zależności pomiędzy przepisami pakietu PSD2 (oraz implementującej go ustawy o usługach płatniczych) a Rozporządzeniem 2016/679 (RODO), przejdziemy dzisiaj przez zagadnienie "mimowolnego" dostępu do danych osób trzecich w ramach realizacji usługi AIS (dostępu do rachunku).

#MichałNowakowski: Czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? – potencjalnie tak #PSD2 #RODO #AIS #ObrótBezgotówkowy #OpenBanking #AISP @FinregtechPL

Zastanowimy się na dwoma zagadnieniami:

− czy rzeczywiście możliwe jest udostępnienie tych danych (np. informacji o odbiorcy przelewu oraz

− czy dostawca usługi AIS (AISP) może przetwarzać te dane realizując usługę na rzecz użytkownika, choć dzisiaj ograniczę się do zidentyfikowania jakimi danymi mogą dysponować AISP.

Rozporządzenie 2018/389 będzie tutaj punktem wyjścia do określenia − jaki w ogóle jest dozwolony zakres pozyskiwanych przez AISP danych.

Przepis ten stanowi, że banki (ASPSP) przekazują AISP te same informacje na temat wyznaczonych rachunków płatniczych i powiązanych transakcji płatniczych, które udostępniają użytkownikowi usług płatniczych, gdy ten bezpośrednio żąda dostępu do informacji o rachunku, pod warunkiem, że informacje te nie zawierają szczególnie chronionych danych dotyczących płatności (analogiczne ograniczenie przewiduje art. 59s ust. 2 pkt 5) uUP. Dość enigmatyczne.

W tym miejscu chcę zaznaczyć, że omawiane zagadnienie odnosi się do „czystej” usługi AIS, bez dodatkowych zgód na przetwarzanie danych, np. na cele analityczne.

O jakie dane chodzi?

O ile pierwsza część dyspozycji nie budzi wątpliwości – udostępniamy te same dane, które użytkownik widzi w swojej bankowości (elektronicznej), o tyle druga część nie jest już tak oczywista.

Jest to o tyle istotne, że art. 36 ust. 5 lit. b) Rozporządzenia 2018/389 umożliwia AISP dostęp do tych danych (choć w ograniczonej częstotliwości) również bez zgody użytkownika.

Szczególnie chronione dane dotyczące płatności to zgodnie z art. 2 pkt 26c uUP (definicja zawarta w PSD2 jest zasadniczo tożsama) dane, w tym indywidualne dane uwierzytelniające, które mogą być wykorzystywane do dokonywania oszustw, z wyłączeniem imienia i nazwiska lub nazwy właściciela rachunku i numeru rachunku (odnosimy się tutaj m.in. do usługi AIS).

Do uznania, że dane są szczególnie chronione musimy więc mieć spełnioną jedna z dwóch przesłanek:

− są to tzw. IDU, czyli indywidualne dane uwierzytelniające (login, hasło etc.) lub

− są to dane, które mogą posłużyć do dokonania oszustwa.

Spójrzmy jeszcze na art. 10 Rozporządzenia 2018/389, który umożliwia niestosowanie silnego uwierzytelniania klienta, jeżeli użytkownik uzyskuje dostęp salda rachunku i/lub transakcji płatniczych (z ograniczeniem czasowym). Możemy również przyjąć, że dane odbiorcy/nadawcy przelewu nie są takimi danymi, o ile to tylko imię/nazwisko i numer rachunku.

Warto zwrócić uwagę, że KNF przykłada bardzo dużą wagę do ochrony tego typu danych, w tym w szczególności do ich klasyfikacji (warto zajrzeć tutaj – pkt 2).

Jakie dane mamy na przelewie?

Wesprzyjmy się Rozporządzeniem 2015/847, które określa jakie dane towarzyszą przelewom i dla uproszczenia przyjmijmy, że mamy transfer wewnątrz UE. W takiej sytuacji wystarczy, że dostawca płatnika i odbiorcy zapewnią, że transferowi środków towarzyszy numer rachunku (IBAN) oraz – o ile dostępny – numer identyfikujący transakcję.

W praktyce często banki podają jednak również inne dane, jak adres nadawcy i odbiorcy transakcji i to też jest zgodne z powyższym rozporządzeniem (art. 4), które takie dane przewiduje jako zasadę ogólną (sam numer IBAN jest dozwolonym odstępstwem).

Czy na tej podstawie można dokonać oszustwa?

To jest właśnie kluczowe pytanie. W przypadku danych szczególnie chronionych mowa jest o takich danych, na podstawie których można dokonać oszustwa i choć brakuje tutaj doprecyzowania czy chodzi o oszustwa „płatnicze”, to przyjąć należy taką (zawężającą) interpretację.

Nie wydaje się jednak, że chodzi wyłącznie o nieautoryzowane transakcje w rozumieniu Wytycznych EBA w sprawie raportowania fraudów, ale również inne oszustwa, które w jakiś sposób dotykają sfery płatniczej (np. w związku z uzyskaniem dostępu do rachunku strony trzeciej i przykładowo wykorzystaniu danych osobowych w ten sposób pozyskanych).

I teraz pojawia się największa wątpliwość – czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? W dobie coraz to bardziej wyszukanych metod wyłudzania środków czy danych – potencjalnie tak.

Jeżeli oszust będzie wiedział o regularnych przelewach od odbiorcy do płatnika i dodatkowo będzie dysponował pewnymi wrażliwymi danymi, to przygotowanie ataku socjotechnicznego i/lub phisingowego może być znacznie ułatwione.

Potwierdza to podejście Komisji Nadzoru Finansowego wyrażone w rekomendacji ws. bezpieczeństwa transakcji płatniczych w Internecie (potocznie SecurePay).

Znajdujemy tam definicję tzw. wrażliwych danych płatniczych, które KNF interpretuje jako „dane, które w przypadku wejścia w ich posiadanie przez osoby nieuprawnione mogą być wykorzystane w celu dokonania nadużycia, w tym dane umożliwiające zainicjowanie transakcji płatniczej, dane wykorzystywane do uwierzytelnienia, dane wykorzystywane do zamawiania przez klientów instrumentów płatniczych lub narzędzi uwierzytelniających.

W takim wypadku musielibyśmy przyjąć, że „komplet” takich unikalnych danych może posłużyć przestępstwu, choć oczywiście wiele zależy od okoliczności danego zdarzenia.

Czy ma to jednak sens?

Takie podejście wydaje się jednak nieco na wyrost (abstrahując od możliwości przetwarzania takich danych na podstawie art. 6 ust. 2 lit c) RODO, choć jeżeli patrzymy na to systemowo, to rzeczywiście takie podejście mogłoby zostać uznane za prawidłowe.

W tym miejscu należy jednak wrócić do definicji usługi AIS. Jeżeli polega ona na dostarczaniu skonsolidowanych informacji o rachunku i powiązanych transakcjach, to czy te wrażliwe dane powinny się tam znaleźć? Może problemem jest sama definicja usługi AIS?

Z drugiej strony takie podejście znacznie ograniczałoby atrakcyjność samej usługi dla użytkownika (tym bardziej, że ma przecież prawo do wyrażenia zgody na przetwarzania „jego” danych). No właśnie − jego.

Jeżeli w danych przelewu mamy już te wrażliwe dane dotyczące osoby trzeciej, to pojawia się pytanie o możliwość przetwarzania tych danych.