Najnowsze wydanie tło Najnowsze wydanie miesięcznika BANK
Czytaj więcej
  • Rejestracja
  • Logowanie
  • Newsletter
menu
search
zamknij wyszukiwarkę
logo BANK.pl
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
  • Aktualności
  • Konferencje
  • Miesięcznik
  • Edukacja finansowa
  • ESG
  • WIBOR
  • Firma
  • Blogi
  • O nas
zamknij menu
  • Aktualności
  • Konferencje
  • Miesięcznik
  • Edukacja finansowa
  • ESG
  • WIBOR
  • Firma
  • Blogi
  • O nas
Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Bezgotówkowo | Komentarze ekspertów

RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS

21.01.2020 08:00 Michał Nowakowski
RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS
Fot. Stock.Adobe.com /pe3check
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Kontynuując ciekawy wątek zależności pomiędzy przepisami pakietu PSD2 (oraz implementującej go ustawy o usługach płatniczych) a Rozporządzeniem 2016/679 (RODO), przejdziemy dzisiaj przez zagadnienie "mimowolnego" dostępu do danych osób trzecich w ramach realizacji usługi AIS (dostępu do rachunku).

#MichałNowakowski: Czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? – potencjalnie tak #PSD2 #RODO #AIS #ObrótBezgotówkowy #OpenBanking #AISP @FinregtechPL

Zastanowimy się na dwoma zagadnieniami:

− czy rzeczywiście możliwe jest udostępnienie tych danych (np. informacji o odbiorcy przelewu oraz

− czy dostawca usługi AIS (AISP) może przetwarzać te dane realizując usługę na rzecz użytkownika, choć dzisiaj ograniczę się do zidentyfikowania jakimi danymi mogą dysponować AISP.

Rozporządzenie 2018/389 będzie tutaj punktem wyjścia do określenia − jaki w ogóle jest dozwolony zakres pozyskiwanych przez AISP danych.

Przepis ten stanowi, że banki (ASPSP) przekazują AISP te same informacje na temat wyznaczonych rachunków płatniczych i powiązanych transakcji płatniczych, które udostępniają użytkownikowi usług płatniczych, gdy ten bezpośrednio żąda dostępu do informacji o rachunku, pod warunkiem, że informacje te nie zawierają szczególnie chronionych danych dotyczących płatności (analogiczne ograniczenie przewiduje art. 59s ust. 2 pkt 5) uUP. Dość enigmatyczne.

W tym miejscu chcę zaznaczyć, że omawiane zagadnienie odnosi się do „czystej” usługi AIS, bez dodatkowych zgód na przetwarzanie danych, np. na cele analityczne.

O jakie dane chodzi?

O ile pierwsza część dyspozycji nie budzi wątpliwości – udostępniamy te same dane, które użytkownik widzi w swojej bankowości (elektronicznej), o tyle druga część nie jest już tak oczywista.

Jest to o tyle istotne, że art. 36 ust. 5 lit. b) Rozporządzenia 2018/389 umożliwia AISP dostęp do tych danych (choć w ograniczonej częstotliwości) również bez zgody użytkownika.

Szczególnie chronione dane dotyczące płatności to zgodnie z art. 2 pkt 26c uUP (definicja zawarta w PSD2 jest zasadniczo tożsama) dane, w tym indywidualne dane uwierzytelniające, które mogą być wykorzystywane do dokonywania oszustw, z wyłączeniem imienia i nazwiska lub nazwy właściciela rachunku i numeru rachunku (odnosimy się tutaj m.in. do usługi AIS).

Inne artykuły tego autora:

  • ChatGPT 4.0 to nie rewolucja, to wezwanie do działania
  • Nowy sposób onboardingu klienta z użyciem mObywatela? Nie tak szybko
  • O sztucznej inteligencji, definicjach i przyszłości biznesu AI

Do uznania, że dane są szczególnie chronione musimy więc mieć spełnioną jedna z dwóch przesłanek:

− są to tzw. IDU, czyli indywidualne dane uwierzytelniające (login, hasło etc.) lub

− są to dane, które mogą posłużyć do dokonania oszustwa.

Spójrzmy jeszcze na art. 10 Rozporządzenia 2018/389, który umożliwia niestosowanie silnego uwierzytelniania klienta, jeżeli użytkownik uzyskuje dostęp salda rachunku i/lub transakcji płatniczych (z ograniczeniem czasowym). Możemy również przyjąć, że dane odbiorcy/nadawcy przelewu nie są takimi danymi, o ile to tylko imię/nazwisko i numer rachunku.

Warto zwrócić uwagę, że KNF przykłada bardzo dużą wagę do ochrony tego typu danych, w tym w szczególności do ich klasyfikacji (warto zajrzeć tutaj – pkt 2).

Jakie dane mamy na przelewie?

Wesprzyjmy się Rozporządzeniem 2015/847, które określa jakie dane towarzyszą przelewom i dla uproszczenia przyjmijmy, że mamy transfer wewnątrz UE. W takiej sytuacji wystarczy, że dostawca płatnika i odbiorcy zapewnią, że transferowi środków towarzyszy numer rachunku (IBAN) oraz – o ile dostępny – numer identyfikujący transakcję.

W praktyce często banki podają jednak również inne dane, jak adres nadawcy i odbiorcy transakcji i to też jest zgodne z powyższym rozporządzeniem (art. 4), które takie dane przewiduje jako zasadę ogólną (sam numer IBAN jest dozwolonym odstępstwem).

Czy na tej podstawie można dokonać oszustwa?

To jest właśnie kluczowe pytanie. W przypadku danych szczególnie chronionych mowa jest o takich danych, na podstawie których można dokonać oszustwa i choć brakuje tutaj doprecyzowania czy chodzi o oszustwa „płatnicze”, to przyjąć należy taką (zawężającą) interpretację.

Nie wydaje się jednak, że chodzi wyłącznie o nieautoryzowane transakcje w rozumieniu Wytycznych EBA w sprawie raportowania fraudów, ale również inne oszustwa, które w jakiś sposób dotykają sfery płatniczej (np. w związku z uzyskaniem dostępu do rachunku strony trzeciej i przykładowo wykorzystaniu danych osobowych w ten sposób pozyskanych).

Inne artykuły od FinregtechPl:

  • Europejska Rada Ochrony Danych o współadministrowaniu i ochronie danych osobowych
  • 14 września 2020 r. czyli pierwszy rok Open Bankingu ‒ o tym, co było i co może być
  • Czy kancelaria reprezentująca klienta może być też administratorem danych? ‒ projekt wytycznych EDPB

I teraz pojawia się największa wątpliwość – czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? W dobie coraz to bardziej wyszukanych metod wyłudzania środków czy danych – potencjalnie tak.

Jeżeli oszust będzie wiedział o regularnych przelewach od odbiorcy do płatnika i dodatkowo będzie dysponował pewnymi wrażliwymi danymi, to przygotowanie ataku socjotechnicznego i/lub phisingowego może być znacznie ułatwione.

Potwierdza to podejście Komisji Nadzoru Finansowego wyrażone w rekomendacji ws. bezpieczeństwa transakcji płatniczych w Internecie (potocznie SecurePay).

Znajdujemy tam definicję tzw. wrażliwych danych płatniczych, które KNF interpretuje jako „dane, które w przypadku wejścia w ich posiadanie przez osoby nieuprawnione mogą być wykorzystane w celu dokonania nadużycia, w tym dane umożliwiające zainicjowanie transakcji płatniczej, dane wykorzystywane do uwierzytelnienia, dane wykorzystywane do zamawiania przez klientów instrumentów płatniczych lub narzędzi uwierzytelniających.

W takim wypadku musielibyśmy przyjąć, że „komplet” takich unikalnych danych może posłużyć przestępstwu, choć oczywiście wiele zależy od okoliczności danego zdarzenia.

Czy ma to jednak sens?

Takie podejście wydaje się jednak nieco na wyrost (abstrahując od możliwości przetwarzania takich danych na podstawie art. 6 ust. 2 lit c) RODO, choć jeżeli patrzymy na to systemowo, to rzeczywiście takie podejście mogłoby zostać uznane za prawidłowe.

W tym miejscu należy jednak wrócić do definicji usługi AIS. Jeżeli polega ona na dostarczaniu skonsolidowanych informacji o rachunku i powiązanych transakcjach, to czy te wrażliwe dane powinny się tam znaleźć? Może problemem jest sama definicja usługi AIS?

Z drugiej strony takie podejście znacznie ograniczałoby atrakcyjność samej usługi dla użytkownika (tym bardziej, że ma przecież prawo do wyrażenia zgody na przetwarzania „jego” danych). No właśnie − jego.

Jeżeli w danych przelewu mamy już te wrażliwe dane dotyczące osoby trzeciej, to pojawia się pytanie o możliwość przetwarzania tych danych.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Tagi
AIS/Account Information ServicesAISP / Account Information Service ProviderEuropean Banking Authority / EBAFinregtechPlGDPR / RODOIBANKomisja Nadzoru Finansowego / KNFMichał NowakowskiOpen BankingPayment Services Directive 2 / Dyrektywa PSD2
Autor Michał Nowakowski

Zobacz także

Marcin Deręgowski
Rzeszów coraz bardziej cyfrowy
wirtualny ekran z napisem Visa
Visa Flexible Credential wchodzi na rynek amerykański
Web Summit. Frank Cooper III, Chief Marketing Officer, Visa.
Visa uznaje twórców cyfrowych za małe firmy
ZOBACZ WSZYSTKIE Z TEJ KATEGORII
Partner działu Bezgotówkowo
Fundacja Polska Bezgotówkowa
logo Bank
  • O nas
  • Reklama
  • Kontakt
  • Archiwum
  • Newsletter
logo Bank Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
logo Miesięcznika Bank Ikona facebook Ikona LinkedIn Ikona twitter
© Copyright 2024 Centrum Procesów Bankowych i Informacji
  • Polityka prywatności
  • Pliki cookie
  • Bankiwpolsce.pl
Strona korzysta z plików cookie
Na stronie stosujemy pliki cookie w celu zapewnienie prawidłowego działania, ułatwienia korzystania, a także w celach statystycznych i marketingowych. Wybierając „Zaakceptuj wszystkie” wyrażasz zgodę na stosowanie wszystkich plików cookie. Jeśli chcesz wyrazić zgodę na stosowanie tylko niektórych plików cookie, wybierz „Ustawienia”, skonfiguruj preferencje i wybierz przycisk „Zapisz”. Pamiętaj, że możesz zmienić swoje ustawienia w każdym czasie klikając przycisk „Pliki cookie” w stopce portalu. Szczegółowe informacje o sposobie, w jaki  używamy plików cookie oraz przetwarzamy Twoje dane, a także o przysługujących Ci prawach, odnajdziesz w Polityce prywatności.

Niezbędne: Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.

Funkcjonalne: Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.

Analityczne: Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp.

Marketingowe: Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców
i reklamodawców strony trzeciej.
Niezbędne Zawsze aktywne
Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.
Funkcjonalne
Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.
Analityczne
Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketingowe
Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców i reklamodawców strony trzeciej.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Ustawienia
{title} {title} {title}