RODO w bankowości
Coraz częściej zastanawiamy się, kto lub co zbiera on nas największą ilość informacji. Niewątpliwie w życiu codziennym prym wiodą 4 sektory gospodarki, które z uwagi na skalę przetwarzanych o nas danych, powinny budzić naszą czujność. To operatorzy usług IT i telekomunikacyjni, sektor ubezpieczeń, ochrony zdrowia oraz banki. Dziś o tych ostatnich. Co zmieni dla nich RODO i czy te zmiany mają szansę służyć klientom?
Wycofane czy tylko odwleczone zmiany przepisów?
Plany związane z tym jak przepisy krajowe w sektorze bankowym dostosowane miały zostać do RODO były dość duże. Jeszcze we wrześniu 2017 r. w projekcie ustawy wprowadzającej przepisy u.o.d.o. dość istotną część stanowiły koncepcje nowelizacji ustawy prawo bankowe. Jednym z pomysłów dotyczących zatrudniania przez banki osób, które miałyby posiadać dostęp do danych osobowych klientów była możliwość żądania od pracownika danych biometrycznych, jeśli miałoby to służyć kontroli dostępu do informacji i pomieszczeń. Dane biometryczne zbierane od klientów służyć miały identyfikacji, weryfikacji lub uwierzytelnienia czynności dokonywanej przez osobę fizyczną. Drugą najistotniejszą zmianą miało być prawne usankcjonowanie zautomatyzowanego przetwarzania danych, w tym profilowania klientów. Bank miałby możliwość takiego działania w celu oceny zdolności kredytowej. Gdyby proponowane nowelizacje przetrwały aż do ostatecznej wersji ustawy banki mogłyby również powoływać instytucje, których celem byłoby między innymi profilowanie klientów. Kolejnym planowanym ukłonem w stronę tego sektora była przewidywana możliwość odstąpienia od realizacji obowiązków informacyjnych przewidzianych w art. 13 i 14 RODO w zakresie informowania o profilowaniu i zasadach zautoryzowanego podejmowania decyzji (w tym profilowania) oraz, co chyba najistotniejsze wyłączenie obowiązku zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych, jeżeli takie zawiadomienie spowodować mogłoby naruszenie stabilności sektora bankowego. Wszystkie te propozycje nie przetrwały do maja 2018 r. i nie znalazły się w ostatecznej wersji u.o.d.o. z dnia 10 maja 2018 r. Być może, ktoś na ostatniej prostej stwierdził, że zbyt daleko odbiegały od „ducha RODO”. Nie sposób nie odnieść wrażenia, że przy okazji implementacji unijnego rozporządzenia, poprzez odpowiedni lobbing, bankowcy próbowali wykroić i dla siebie kawałek tortu.
Profilowanie
To tym szczególnym rodzajem przetwarzania sektor bankowy zainteresowany jest najbardziej. Widać to po przywołanych powyżej próbach modyfikacji przepisów i widać to po podsuwanych nam ofertach. Czy tego chcemy czy nie składając wniosek o kredyt, masa informacji jakie we wniosku przekazujemy, służyć ma podjęciu przez bank decyzji wywołującej dla nas skutki prawne. Nie ma się co oszukiwać – banki wykorzystują w tym celu algorytmy, które odpowiednio nasze dane analizują i „wypluwają” określony wynik. Jednym z elementów jakie algorytm pewnie bierze pod uwagę może być również „aktywność” naszej karty płatniczej obsługującej ROR. Odejście od proponowanej nowelizacji przepisów oznacza to, że banki, chcąc wykorzystać tę metodę w procesie oceny zdolności kredytowej, będą musiały zbierać zgody od klientów na takie działanie lub znaleźć inną przesłankę prawną (np. niezbędność do zawarcia umowy). RODO daje nam jednak prawo (art. 22), by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje (…) skutki prawne lub w podobny sposób istotnie (…) wpływa. Co to oznacza? Że w teorii będziemy mieć prawno żądania interwencji w postaci tzw. „czynnika ludzkiego”. Dlaczego w teorii, bo może się to okazać jednym z większych mitów RODO – decyzja zostanie podjęta ponownie ale już nie przez algorytm a odpowiednio upoważnionego pracownika. W teorii.
Przenoszenie danych
Przenoszenie danych to też nasze prawo wynikające z RODO (art. 20) i takiemu żądaniu będą musiały zadośćuczynić również banki. Będę miał oczekiwać żeby w trybie natychmiastowym przekazać mi wszystkie moje dane osobowe. Może okazać się jednym z większych wyzwań dla sektora operującego czasem na niejednolitych systemach informatycznych. Czego może dotyczyć takie żądanie? Np. historii rachunku. Nie będzie to jednak jednoznaczne z przeniesieniem usługi czyli np. kredytu, pożyczki czy też prowadzonego rachunku bieżącego.
RODO owszem wiąże się dla sektora bankowego z wieloma wyzwaniami, ale też branża ta, jak prawie żadna inna, może liczyć, po pierwsze na odpowiednie zasoby i środki do wdrożenia koniecznych zmian, oraz po drugie na wsparcie prawne wyspecjalizowanych kancelarii, w kontakcie z którymi klient raczej nie stoi na uprzywilejowanej pozycji. Odpowiedzią na wyzwania jakie czekają banki jest niewątpliwie mechanizm przewidziany w art. 40 RODO a więc kodeks postępowania.
Kodeks postępowania
Sektor bankowy tworzy kodeks dobrych praktyk. I co ważne nie dzieje się to „za zamkniętymi drzwiami”. Na podstawie informacji podanej na stronie Związku Banków Polskich już pod koniec ubiegłego roku ZBP sfinalizował prace nad kodeksem. Ma mieć on zastosowanie do banków krajowych oraz rejestrów kredytowych działających na terytorium Rzeczpospolitej Polskiej, będących członkami Związku Banków Polskich. Kodeks zatwierdza Prezes Urzędu Ochrony Danych Osobowych. Ale zanim trafi na jego biurko, autorzy kodeksu muszą zapytać o zdanie „zainteresowane podmioty” (art. 27 ust. 2 u.o.d.o z dnia 10 maja 2018 r.). Jednym z podmiotów, do których trafił opracowany projekt kodeksu jest Fundacja Panoptykon, która udostępniła na swojej stronie jego treść i zachęca do wyrażania opinii (https://panoptykon.org/wiadomosc/ocen-branzowy-kodeks-postepowania). Czy kodeks pomoże bankom czy ich klientom? To na tę chwilę ciężko ocenić. Analizując jednak jego zapisy nawet pobieżnie widać, że stara się dotknąć tematów dla banków trudnych, które w praktyce mogą nastręczać problemów lub budzić wątpliwości interpretacyjne. Np. profilowanie – w projekcie wskazano jednoznacznie, że: zawarcie umowy, a tym samym przyjęcie regulaminu korzystania z systemu bankowości elektronicznej lub aplikacji mobilnej wykorzystującej profilowanie będzie stanowić podstawę prawną profilowania danych Klientów w celu świadczenia im usług/funkcjonalności opartych na profilowaniu danych oraz w celu przygotowywania oraz prezentowania im dopasowanych/zindywidualizowanych ofert marketingowych.
Jak widać więc część z zapisów projektu wydaje się niestety nawiązywać do nowelizacji przepisów prawa bankowego, jakie przewidywane były jeszcze we wrześniu 2017 r.
Kiedyś, trochę z przymrużeniem oka, znajomy ksiądz wyjaśniał mi jak istotne dla odtworzenia historii i wydarzeń na danym obszarze są księgi parafialne. Ich zawartość stawiał nawet wyżej niż informacji znajdujących się w posiadaniu banków, dotyczących np. historii kredytowej. Czy miał rację ciężko ocenić. Niewątpliwie jednak sektor bankowy ma kilka cech tzw. „wielkiego brata”, który wie o nas wiele, czasem nawet zbyt dużo i potrafi wyprowadzić z tego wnioski, do których być może sami byśmy nie doszli. Nie jestem pewien, czy RODO w tych relacjach istotnie coś zmieni.
