Najnowsze wydanie Najnowsze wydanie Najnowsze wydanie miesięcznika BANK dostępne w sklepach i online Sprawdź szczegóły i zapisz się na prenumeratę roczną -20%
search Szukaj
zamknij wyszukiwarkę
  • Rejestracja
  • Logowanie
  • Newsletter
menu
logo BANK.pl
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Strategiczna Szkoła Polskiego Sektora Bankowości Spółdzielczej 2026
17-18 marca 2026 r.
Pozostało:
92dni
14godzin
7minut
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
zamknij menu
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Bezgotówkowo | Komentarze ekspertów

RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS

21.01.2020 08:00 Michał Nowakowski
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS
Fot. Stock.Adobe.com /pe3check
Kontynuując ciekawy wątek zależności pomiędzy przepisami pakietu PSD2 (oraz implementującej go ustawy o usługach płatniczych) a Rozporządzeniem 2016/679 (RODO), przejdziemy dzisiaj przez zagadnienie "mimowolnego" dostępu do danych osób trzecich w ramach realizacji usługi AIS (dostępu do rachunku).

#MichałNowakowski: Czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? – potencjalnie tak #PSD2 #RODO #AIS #ObrótBezgotówkowy #OpenBanking #AISP @FinregtechPL

Zastanowimy się na dwoma zagadnieniami:

− czy rzeczywiście możliwe jest udostępnienie tych danych (np. informacji o odbiorcy przelewu oraz

− czy dostawca usługi AIS (AISP) może przetwarzać te dane realizując usługę na rzecz użytkownika, choć dzisiaj ograniczę się do zidentyfikowania jakimi danymi mogą dysponować AISP.

Rozporządzenie 2018/389 będzie tutaj punktem wyjścia do określenia − jaki w ogóle jest dozwolony zakres pozyskiwanych przez AISP danych.

Przepis ten stanowi, że banki (ASPSP) przekazują AISP te same informacje na temat wyznaczonych rachunków płatniczych i powiązanych transakcji płatniczych, które udostępniają użytkownikowi usług płatniczych, gdy ten bezpośrednio żąda dostępu do informacji o rachunku, pod warunkiem, że informacje te nie zawierają szczególnie chronionych danych dotyczących płatności (analogiczne ograniczenie przewiduje art. 59s ust. 2 pkt 5) uUP. Dość enigmatyczne.

W tym miejscu chcę zaznaczyć, że omawiane zagadnienie odnosi się do „czystej” usługi AIS, bez dodatkowych zgód na przetwarzanie danych, np. na cele analityczne.

O jakie dane chodzi?

O ile pierwsza część dyspozycji nie budzi wątpliwości – udostępniamy te same dane, które użytkownik widzi w swojej bankowości (elektronicznej), o tyle druga część nie jest już tak oczywista.

Jest to o tyle istotne, że art. 36 ust. 5 lit. b) Rozporządzenia 2018/389 umożliwia AISP dostęp do tych danych (choć w ograniczonej częstotliwości) również bez zgody użytkownika.

Szczególnie chronione dane dotyczące płatności to zgodnie z art. 2 pkt 26c uUP (definicja zawarta w PSD2 jest zasadniczo tożsama) dane, w tym indywidualne dane uwierzytelniające, które mogą być wykorzystywane do dokonywania oszustw, z wyłączeniem imienia i nazwiska lub nazwy właściciela rachunku i numeru rachunku (odnosimy się tutaj m.in. do usługi AIS).

Do uznania, że dane są szczególnie chronione musimy więc mieć spełnioną jedna z dwóch przesłanek:

− są to tzw. IDU, czyli indywidualne dane uwierzytelniające (login, hasło etc.) lub

− są to dane, które mogą posłużyć do dokonania oszustwa.

Spójrzmy jeszcze na art. 10 Rozporządzenia 2018/389, który umożliwia niestosowanie silnego uwierzytelniania klienta, jeżeli użytkownik uzyskuje dostęp salda rachunku i/lub transakcji płatniczych (z ograniczeniem czasowym). Możemy również przyjąć, że dane odbiorcy/nadawcy przelewu nie są takimi danymi, o ile to tylko imię/nazwisko i numer rachunku.

Warto zwrócić uwagę, że KNF przykłada bardzo dużą wagę do ochrony tego typu danych, w tym w szczególności do ich klasyfikacji (warto zajrzeć tutaj – pkt 2).

Jakie dane mamy na przelewie?

Wesprzyjmy się Rozporządzeniem 2015/847, które określa jakie dane towarzyszą przelewom i dla uproszczenia przyjmijmy, że mamy transfer wewnątrz UE. W takiej sytuacji wystarczy, że dostawca płatnika i odbiorcy zapewnią, że transferowi środków towarzyszy numer rachunku (IBAN) oraz – o ile dostępny – numer identyfikujący transakcję.

W praktyce często banki podają jednak również inne dane, jak adres nadawcy i odbiorcy transakcji i to też jest zgodne z powyższym rozporządzeniem (art. 4), które takie dane przewiduje jako zasadę ogólną (sam numer IBAN jest dozwolonym odstępstwem).

Czy na tej podstawie można dokonać oszustwa?

To jest właśnie kluczowe pytanie. W przypadku danych szczególnie chronionych mowa jest o takich danych, na podstawie których można dokonać oszustwa i choć brakuje tutaj doprecyzowania czy chodzi o oszustwa „płatnicze”, to przyjąć należy taką (zawężającą) interpretację.

Nie wydaje się jednak, że chodzi wyłącznie o nieautoryzowane transakcje w rozumieniu Wytycznych EBA w sprawie raportowania fraudów, ale również inne oszustwa, które w jakiś sposób dotykają sfery płatniczej (np. w związku z uzyskaniem dostępu do rachunku strony trzeciej i przykładowo wykorzystaniu danych osobowych w ten sposób pozyskanych).

I teraz pojawia się największa wątpliwość – czy dane dotyczące miejsca zamieszkania czy kwoty przelewu oraz jego przedmiotu mogą posłużyć do oszustwa? W dobie coraz to bardziej wyszukanych metod wyłudzania środków czy danych – potencjalnie tak.

Jeżeli oszust będzie wiedział o regularnych przelewach od odbiorcy do płatnika i dodatkowo będzie dysponował pewnymi wrażliwymi danymi, to przygotowanie ataku socjotechnicznego i/lub phisingowego może być znacznie ułatwione.

Potwierdza to podejście Komisji Nadzoru Finansowego wyrażone w rekomendacji ws. bezpieczeństwa transakcji płatniczych w Internecie (potocznie SecurePay).

Znajdujemy tam definicję tzw. wrażliwych danych płatniczych, które KNF interpretuje jako „dane, które w przypadku wejścia w ich posiadanie przez osoby nieuprawnione mogą być wykorzystane w celu dokonania nadużycia, w tym dane umożliwiające zainicjowanie transakcji płatniczej, dane wykorzystywane do uwierzytelnienia, dane wykorzystywane do zamawiania przez klientów instrumentów płatniczych lub narzędzi uwierzytelniających.

W takim wypadku musielibyśmy przyjąć, że „komplet” takich unikalnych danych może posłużyć przestępstwu, choć oczywiście wiele zależy od okoliczności danego zdarzenia.

Czy ma to jednak sens?

Takie podejście wydaje się jednak nieco na wyrost (abstrahując od możliwości przetwarzania takich danych na podstawie art. 6 ust. 2 lit c) RODO, choć jeżeli patrzymy na to systemowo, to rzeczywiście takie podejście mogłoby zostać uznane za prawidłowe.

W tym miejscu należy jednak wrócić do definicji usługi AIS. Jeżeli polega ona na dostarczaniu skonsolidowanych informacji o rachunku i powiązanych transakcjach, to czy te wrażliwe dane powinny się tam znaleźć? Może problemem jest sama definicja usługi AIS?

Z drugiej strony takie podejście znacznie ograniczałoby atrakcyjność samej usługi dla użytkownika (tym bardziej, że ma przecież prawo do wyrażenia zgody na przetwarzania „jego” danych). No właśnie − jego.

Jeżeli w danych przelewu mamy już te wrażliwe dane dotyczące osoby trzeciej, to pojawia się pytanie o możliwość przetwarzania tych danych.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Tagi
AIS/Account Information ServicesAISP / Account Information Service ProviderEuropean Banking Authority / EBAFinregtechPlGDPR / RODOIBANKomisja Nadzoru Finansowego / KNFMichał NowakowskiOpen BankingPayment Services Directive 2 / Dyrektywa PSD2
Autor Michał Nowakowski
Źródło
Partner działu
Fundacja Polska Bezgotówkowa

Polecamy

Z rynku finansowego
Komisja Europejska chce wzmocnienia ESMA
kalkulator z napisem 2026, banknoty 500 zł
Wydarzenia
Relacja z Webinaru PAB WIB przedstawiającego wpływ czynników regulacyjnych i fiskalnych na wyniki finansowe banków w III kwartale 2025 roku oraz na wyniki w roku następnym
Kadry
Zmiana na stanowisku wiceprezesa ING Banku Śląskiego
Logo PGZ
Z rynku finansowego
BOŚ i PGZ podpisały list intencyjny o współpracy

Najnowsze

9 grudnia 2025 roku PKO Bank Polski i Policja podpisały porozumienie, w ramach którego planują szkolenia, spotkania i warsztaty o cyberbezpieczeństwie
Cyberbezpieczeństwo
Współpraca PKO BP i Policji na rzecz skutecznej ochrony seniorów i młodzieży przed cyberoszustami
Prośba o przelew BLIK dostępna w bankach spółdzielczych Grupy BPS
Bankowość spółdzielcza
Usługa Prośba o przelew BLIK dostępna w bankach spółdzielczych Grupy BPS
reklama wizerunkowa Banku Pekao na jednym z samolotów narodowego przewoźnika, Boeingu 737 MAX 8. Samolot PLL LOT w barwach Banku Pekao S.A
Bezgotówkowo
Klienci Banku Pekao mogą skorzystać z 10-proc. rabatu na bilety PLL LOT
bank spóldzielczy napis na budynku
Bankowość spółdzielcza
Posiedzenie Rady Konsultacyjnej Sektora Bankowości Spółdzielczej
Cykl edukacyjny Porozmawiajmy o dostępności - inauguracja 2025. Źródło: ZBP
ESG
Sektor bankowy podsumował działania dot. wdrożenia Europejskiego Aktu o Dostępności
Donald Tusk, premier RP
Gospodarka
Zamiast CPK – Port Polska, start budowy w ciągu kilku miesięcy
KNF
Z rynku finansowego
UKNF przedstawił swoje priorytety nadzorcze na 2026 rok
Bank
Z rynku finansowego
Wyższy CIT obniży o 1/3 zyski banków przyszłym roku

Zobacz także

reklama wizerunkowa Banku Pekao na jednym z samolotów narodowego przewoźnika, Boeingu 737 MAX 8. Samolot PLL LOT w barwach Banku Pekao S.A
Bezgotówkowo
Klienci Banku Pekao mogą skorzystać z 10-proc. rabatu na bilety PLL LOT
Jak Polacy korzystają z limitów kart kredytowych - banki a instytucje pożyczkowe
Bezgotówkowo
Co wpływa na decyzje przedsiębiorców dotyczące wyboru agenta rozliczeniowego?
smartfony, banknoty
Bezgotówkowo
Express Elixir: 7 listopada ’25 przetworzono 2,58 mln przelewów natychmiastowych o wartości 1,76 mld zł
Zobacz wszystkie z tej kategorii
logo Bank
  • O nas
  • Reklama
  • Kontakt
  • Newsletter
logo Bank Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
logo Miesięcznika Bank Ikona facebook Ikona LinkedIn Ikona twitter
© Copyright 2025 Centrum Procesów Bankowych i Informacji
  • Polityka prywatności
  • Pliki cookie
  • Bankiwpolsce.pl
Strona korzysta z plików cookie
Na stronie stosujemy pliki cookie w celu zapewnienie prawidłowego działania, ułatwienia korzystania, a także w celach statystycznych i marketingowych. Wybierając „Zaakceptuj wszystkie” wyrażasz zgodę na stosowanie wszystkich plików cookie. Jeśli chcesz wyrazić zgodę na stosowanie tylko niektórych plików cookie, wybierz „Ustawienia”, skonfiguruj preferencje i wybierz przycisk „Zapisz”. Pamiętaj, że możesz zmienić swoje ustawienia w każdym czasie klikając przycisk „Pliki cookie” w stopce portalu. Szczegółowe informacje o sposobie, w jaki  używamy plików cookie oraz przetwarzamy Twoje dane, a także o przysługujących Ci prawach, odnajdziesz w Polityce prywatności.

Niezbędne: Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.

Funkcjonalne: Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.

Analityczne: Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp.

Marketingowe: Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców
i reklamodawców strony trzeciej.
Niezbędne Zawsze aktywne
Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.
Funkcjonalne
Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.
Analityczne
Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketingowe
Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców i reklamodawców strony trzeciej.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Ustawienia
{title} {title} {title}