Raport Specjalny Bezpieczeństwo Banków: Zapóźnienie technologiczne nie może być ceną za bezpieczeństwo
Przyjęcie projektu tzw. ustaw sektorowych, dostosowujących polski porządek prawny do wymogów ogólnego rozporządzenia o ochronie danych, to kolejny krok na drodze ku pełnej harmonizacji polskiego prawa z unijnym. Co nowe regulacje oznaczać będą dla banków?
– Zapisy projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO, mające znaczenie dla sektora bankowego podzielić można na dwie kategorie. Pierwszą z nich stanowią oczywiście propozycje zmian w samym Prawie bankowym, obejmujące w szczególności obszar profilowania. Przypomnijmy, że zgodnie z RODO profilowanie na zasadach ogólnych możliwe jest w trzech przypadkach: jeżeli jest konieczne dla wykonania umowy zawartej z klientem, jeśli klient wyrazi na to zgodę oraz gdy przepisy prawa przewidują wyraźnie taką możliwość. Profilowanie automatyczne, bez udziału czynnika ludzkiego, realizowane będzie na podstawie przepisów Prawa bankowego. Warto podkreślić, iż klienci banków uzyskają w takich przypadkach prawo do uzyskania tzw. interwencji ludzkiej ze strony administratora. Konsumenci usług finansowych nierzadko mają poważny problem z uzyskaniem informacji, na podstawie jakich danych została dokonana zautomatyzowana ocena zdolności kredytowej oraz skąd owe dane były pozyskane. W nowym stanie prawnym banki będą mieć wprost obowiązek współpracy z klientami w tym obszarze.
Na funkcjonowanie banków będą miały również wpływ przepisy ogólne, mające zastosowanie w takim samym stopniu do wszystkich segmentów rynku, a nierzadko również i jednostek administracji publicznej. Wyjściem naprzeciw postulatom zgłaszanym przez te podmioty jest chociażby wprowadzenie funkcji zastępcy inspektora ochrony danych. Każdy bank, jako olbrzymi podmiot przetwarzający gigantyczne zasoby informacji, pewnie ma takowego inspektora, pojawiał się natomiast problem, kto mógłby czasowo piastować to stanowisko w sytuacjach awaryjnych. Pośrednim efektem RODO będzie również rozszerzenie definicji groźby bezprawnej, określonej w art. 115 Kodeksu karnego. W obecnym stanie prawnym taki charakter ma jedynie groźba spowodowania postępowania karnego lub rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub osoby jemu najbliższej. W konsekwencji niemożliwe jest ściganie takich ewidentnych nadużyć, jak szantażowanie administratorów danych doniesieniem do UODO w celu uzyskania od nich korzyści majątkowej. Po zmianach w definicji groźby bezprawnej podmioty stosujące tego rodzaju taktykę będą podlegać odpowiedzialności karnej na równi z innymi szantażystami, co powinno skutkować znaczącym zwiększeniem bezpieczeństwa obrotu gospodarczego.
Kluczowym wyzwaniem dla współczesnej gospodarki jest zdalna weryfikacja tożsamości, wykorzystująca automatyczne metody przetwarzania różnych danych osobowych, w tym wrażliwych. W jaki sposób ta kwestia została uregulowana w projekcie?
– Odpowiem krótko: w pełni świadomie odstąpiliśmy od wprowadzania odrębnych uregulowań dla tego obszaru w prawie krajowym. Powód jest prosty: 13 stycznia 2018 r. weszły w życie przepisy dyrektywy PSD2, która w wyczerpujący sposób odnosi się właśnie do problematyki uwierzytelniania klientów instytucji finansowych. Przepisy te wskazują, że właściwie skonstruowany model autentykacji powinien wykorzystywać elementy należące do dwóch spośród trzech kategorii: to, co mam (karta lub token), to, co wiem (hasło) i to, kim jestem (dane biometryczne). Takie rozwiązanie w pełni odpowiada wymogom RODO, jako że rozporządzenie nie przewiduje w tym przypadku żadnych konkretnych uregulowań, pozostawiając swobodę ich wyboru administratorom danych. Dlatego bank, zakład ubezpieczeń czy też każdy inny podmiot funkcjonujący w dowolnej branży może udostępniać informacje telefonicznie pod warunkiem wdrożenia tzw. silnego uwierzytelniania, pozwalającego uzyskać prawdopodobieństwo graniczące z pewnością, że po drugiej stronie faktycznie znajduje się osoba, której dane dotyczą.
Wspomniał pan o wykorzystywaniu danych biometrycznych w autentykacji. Czy wejście w życie ustawy dostosowującej polskie prawo do RODO zmieni coś w tym zakresie?
– We wstępnej fazie prac nad projektem faktycznie zamierzaliśmy uregulować wprost wykorzystywanie danych biometrycznych klientów, ostatecznie jednak wycofaliśmy się z tego rozwiązania. Doszliśmy do wniosku, że nie ma takiej potrzeby, jako że samo RODO zezwala na wykorzystywanie danych biometrycznych, będących danymi wrażliwymi, na podstawie zgody. W konsekwencji każdy klient banku czy innej instytucji może wyrazić zgodę na wykorzystanie tego kanału uwierzytelniania. Problem z biometrią pojawia się na etapie stosunku pracy, ponieważ stosunek podległości służbowej w ocenie niektórych organów, w tym UODO, ogranicza swobodę w wyrażeniu zgody. Dlatego nowelizacja kodeksu pracy zawarta w projekcie tzw. ustawy sektorowej wyraźnie reguluje ten obszar, przyznając pracodawcom prawo do wprowadzenia biometrii. W przypadku banków przepisy te będą mieć szczególne zastosowanie, z uwagi na konieczność jednoznacznej weryfikacji dostępu do określonych obszarów funkcjonowania banku, jak skarbiec czy zasoby IT. Osobiście mogę tylko dodać, iż jestem zwolennikiem biometrii, jest to metoda, która rozwija się szybko i najpewniej już niedługo będzie wykorzystywana powszechnie w gospodarce.
Skoro o bezpieczeństwie mowa, pojawia się pytanie o przyszłość sektorowych zespołów ds. cyberbezpieczeństwa. Obecnie brakuje aktów wykonawczych determinujących ich funkcjonowanie, odpowiedniej delegacji nie zawiera również procedowany projekt. W jaki sposób rząd planuje uregulować ten ważny segment?
– Zapisy na ten temat nie znalazły się w przedłożeniu przyjętym obecnie przez rząd dlatego, że problematyka systemu cyberbezpieczeństwa nie ma aż tak wiele wspólnego z RODO. Funkcjonowanie takich zespołów uregulowane zostało przez ustawę o krajowym systemie cyberbezpieczeństwa, która wdraża dyrektywę NIS. Z punktu widzenia ochrony prywatności i danych osobowych najistotniejsze było, aby przepisy implementujące postanowienia dyrektywy NIS oraz te dostosowujące polski porządek prawny do RODO były ze sobą spójne, żeby nie dochodziło do kolizji różnych norm, co zawsze stanowi poważne obciążenie nie tylko dla gospodarki, ale również dla administracji publicznej czy wreszcie wymiaru sprawiedliwości. Podkreślę jeszcze raz: nie chciałbym, żeby łączono krajowy system cyberbezpieczeństwa z RODO, ponieważ cyberataki nie zawsze muszą wiązać się z naruszeniem prywatności, chociaż bez wątpienia mogą.
Ważnym wyzwaniem w obszarze cyberbezpieczeństwa jest również możliwość skutecznego rozsyłania alertów i informacji o różnych zagrożeniach, co z reguły wiąże się z wykorzystaniem danych osobowych. Jak ten proces będzie przebiegać pod rządami nowego prawa?
– W momencie, kiedy przekazywanie danych pomiędzy różnymi podmiotami, np. bankami a operatorami telekomunikacyjnymi, ma na celu ochronę żywotnych interesów osób, których dane dotyczą, wówczas jest to możliwe dzięki art. 6 ust. 1 lit. D RODO. Pod pojęciem „żywotnych interesów” rozumieć należy ochronę życia, zdrowia czy przeciwdziałanie klęskom żywiołowym. Przeciwdziałanie przestępczości generalnie nie zalicza się do tej kategorii, chyba że mamy do czynienia z cyberatakiem na wielką skalę, który może wpłynąć na powyższe dobra. Warto przy okazji przypomnieć, iż RODO wprowadza obowiązek współpracy międzysektorowej celem realizacji prawa do przeniesienia danych. Klient ma prawo żądać, aby zasób danych jego dotyczących i przetwarzanych automatycznie przenieść do innego wskazanego przez siebie podmiotu, np. telekomu czy nawet jednostki administracji publicznej. Pomiędzy nimi powinny istnieć kompatybilne interfejsy, niezbędne jest co najmniej stosowanie standardowych formatów przesyłanych danych, pozwalających na ich odczyt przez odbiorcę.
Dyrektywa PSD2 przewiduje standaryzację formatów przekazywania danych, określoną w postaci regulacyjnych standardów technicznych. Czy w przypadku RODO przewiduje się wprowadzenie podobnej unifikacji?
– Obecnie nie przewiduje się wprowadzenia analogicznego instrumentu ani na poziomie unijnym, ani też krajowym. Stosowny dokument mogłaby opracować Europejska Rada Ochrony Danych, jednak według mojej wiedzy nie ma tego w planach. Z kolei na szczeblu krajowym inicjatywa mogłaby wyjść od organu nadzorczego, czyli UODO. Również i w tym przypadku nic mi nie wiadomo, by urząd podejmował jakiekolwiek inicjatywy celem unifikacji formatów danych podlegających przeniesieniu. Pozostaje zatem wykorzystywanie w tym celu ogólnodostępnych formatów, będących standardem na rynku, takich jak Word, Excel czy PDF.
Na zakończenie wybiegnijmy trochę w przyszłość. Jak szybko powinniśmy się spodziewać rewolucji, jaką przyniesie sztuczna inteligencja?
– W ludzkim mózgu znajduje się około 100 mld neuronów, komputery będą w stanie osiągnąć porównywalną moc za jakieś 10 lat. W efekcie zaczną być tworzone rozwiązania technologiczne, przypominające w swym funkcjonowaniu tradycyjną analitykę dokonywaną przez ludzi. Trzeba pamiętać o tym, że sztuczna inteligencja to nie jest daleka przyszłość. Każda instytucja w Polsce korzystająca z programu pocztowego Outlook wykorzystuje w pewnym zakresie sztuczną inteligencję, bo ten program właśnie na niej przecież bazuje. RODO w moim odczuciu nie ogranicza sztucznej inteligencji, musimy do tej kwestii bardzo racjonalnie podejść, tak, by wiedzieć, na którym etapie należy powiedzieć stop. Ale nie chciałbym, aby owo słowo „stop” wybrzmiało jako pierwsze. Musimy bardzo uważnie obserwować kierunek rozwoju nowych technologii, by jak najlepiej chronić naszą prywatność. Niemniej, skrajne asekuranctwo może oznaczać, że już za dwa-trzy lata będziemy mieć kolosalny dystans choćby wobec Chin, które wyrastają na globalnego pioniera w dziedzinie sztucznej inteligencji.