Bank i Klient: Banki znowu prymusami

BANK 2018/02

Polski sektor bankowy po raz kolejny potwierdził swą pozycję lidera w dziedzinie ochrony danych osobowych. Wraz z końcem minionego roku i zarazem na pięć miesięcy przed rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO) Związek Banków Polskich zakończył prace nad projektem kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez banki i rejestry kredytowe. Ostateczny kształt dokumentu zależeć będzie od Generalnego Inspektora Ochrony Danych Osobowych, który na początku stycznia br. otrzymał projekt do konsultacji.

Jerzy Majka

Podstawowe założenia przygotowywanego od września 2016 r. dokumentu zaprezentowane zostały 11 stycznia br., podczas zorganizowanych przez Generalnego Inspektora Ochrony Danych Osobowych warsztatów pod hasłem „Kodeksy postępowania w świetle RODO”. Seminarium rozpoczęła dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. Wskazała przyczyny, dla których coraz bliższa perspektywa stosowania RODO powinna skłonić poszczególne segmenty rynku do przygotowania własnych kodeksów postępowania. – Ogólne rozporządzenie o ochronie danych za podstawę przyjmuje system identyfikacji ryzyk i dostosowanie środków organizacyjno-technicznych do tych ryzyk, nie precyzując konkretnych instrumentów dla realizacji zasadniczego celu – podkreśliła.

Przy tak wysokim poziomie ogólności prawa nietrudno o poważne rozbieżności interpretacyjne, dlatego twórcy RODO postanowili wprowadzić wsparcie dla administratorów danych poprzez możliwość stworzenia branżowych zbiorów zasad działania w określonych przypadkach. – Opracowanie kodeksu postępowania pozwala zidentyfikować najważniejsze problemy i ułatwia poruszanie się w obszarze ochrony danych. Jest to również forma wyjaśnienia i dostosowania wymogów prawnych do specyfiki poszczególnych sektorów – przypomniała Edyta Bielak-Jomaa. Fakt przyjęcia przez daną branżę kodeksu i stosowania się poszczególnych podmiotów do jego postanowień może również wpłynąć na zmniejszenie wysokości kary nakładanej przez GIODO w przypadku naruszenia ochrony danych.

Przygotowany przez ZBP kodeks dobrych praktyk dla sektora finansowego stanowi pierwszy taki dokument w Polsce, tworzony pod kątem zgodności z nowym prawem wspólnotowym.

Kodeksy: znane nie od dziś, ale niepopularne

– Nowe regulacje unijne w zakresie przetwarzania danych osobowych przypisują kodeksom postępowania szczególne znaczenie, jednak instrument ten nie jest bynajmniej nowością w europejskim systemie ochrony prywatności – przekonywał Piotr Drobek, zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w Biurze GIODO. Analogiczne rozwiązanie uwzględniono w art. 27 Dyrektywy Parlamentu Europejskiego i Rady nr 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, a więc aktu prawnego bezpośrednio poprzedzającego RODO. Przepis ten umożliwia tworzenie kodeksów postępowania zarówno na szczeblu krajowym, jak i wspólnotowym. Określa również ścieżkę ich zatwierdzania przez organy nadzorcze poszczególnych państw, a w przypadku dokumentów rangi wspólnotowej przez unijną grupę roboczą do spraw ochrony osób fizycznych w zakresie przetwarzania danych osobowych.

Przedstawiciel GIODO nadmienił jednak, iż przyjmowanie kodeksów postępowania nie było dotychczas powszechną praktyką. Na szczeblu unijnym udało się wprowadzić w życie zaledwie kilka takich zbiorów zasad – jednym z obszarów, nad którym toczyły się prace w ostatnim czasie były rozwiązania chmurowe. Również i w Polsce organizacje zrzeszające przedsiębiorców nie kwapiły się do tworzenia sektorowych kodeksów postępowania. Instrument taki nie został zresztą przewidziany wprost we wciąż obowiązującej ustawie o ochronie danych osobowych. Pośrednią podstawą dla budowania zbiorów dobrych praktyk był art. 12 ust. 6 ustawy, określający „inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych” jako jedną z powinności GIODO.

Sytuacja ma zmienić się wraz z rozpoczęciem stosowania RODO. – W nowym stanie prawnym kodeksy postępowania nie będą miały charakteru czysto wizerunkowego – zauważyła dr Edyta Bielak-Jomaa. Zgodnie z art. 40–41 rozporządzenia przyjęty przez organ nadzoru zbiór zasad musi z jednej strony gwarantować pełną zgodność z RODO, z drugiej jednak nie może być jedynie powtórzeniem zapisów prawa wspólnotowego. Przykładowymi obszarami, które mogą być doprecyzowane przez kodeksy postępowania są choćby zapewnienie prawa do przenoszenia danych, prawa do zapomnienia czy też niełatwy i budzący wiele wątpliwości obszar anonimizacji i pseudonimizacji danych. Ogólne rozporządzenie o ochronie danych przewiduje również trzy kategorie kodeksów postępowania – obok dokumentów krajowych i unijnych zbiory norm mogą także regulować zasady międzynarodowych transferów danych.

Przykładowymi obszarami, które mogą być doprecyzowane przez kodeksy postępowania są choćby zapewnienie prawa do przenoszenia danych, prawa do zapomnienia czy też niełatwy i budzący wiele wątpliwości obszar anonimizacji i pseudonimizacji danych.

Nie tylko dla banków

Przygotowany przez ZBP kodeks dobrych praktyk dla sektora finansowego stanowi pierwszy taki dokument w Polsce, stworzony pod kątem zgodności z nowym prawem wspólnotowym. Dr Tadeusz Białek, dyrektor Zespołu Prawno–Legislacyjnego ZBP, przypomniał, iż w tworzeniu opracowania uczestniczyła działająca w ramach ZBP grupa interdyscyplinarna ds. RODO, w której skład wchodzili przedstawiciele wszystkich departamentów bankowych odpowiedzialnych za wdrożenie nowego prawa. – Projekt kodeksu, przekazany do GIODO 10 stycznia br., liczy sobie, razem z załącznikami, 52 strony – podkreślił. Zgodnie z wytycznymi ogólnego rozporządzenia o ochronie danych, twórcy kierowali się przede wszystkim względami praktycznymi. – Dokument jest wręcz naszpikowany przykładami konkretnych sytuacji, spotykanych w sektorze bankowym – zauważył dr Tadeusz Białek.

Adresatami opracowania są nie tylko banki, ale również rejestry kredytowe funkcjonujące na podstawie art. 105 ust. 4 Prawa bankowego, będące członkami Związku Banków Polskich. Instytucje te będą zobligowane do stosowania postanowień kodeksu, dopuszcza się natomiast przystąpienie do niego na zasadach dobrowolności również innych podmiotów, np. przedsiębiorstw funkcjonujących w jednej grupie kapitałowej z bankami oraz firm świadczących usługi wymagające przetwarzania danych osobowych na rzecz sektora bankowego. W tym ostatnim przypadku dobre praktyki określone przez ZBP będą mieć, rzecz jasna, zastosowanie wyłącznie do świadczenia usług na rzecz banków i rejestrów kredytowych. Zgodnie z postanowieniami RODO, kodeks nie obejmuje przetwarzania lub gromadzenia danych pracowników i współpracowników banków oraz kandydatów na te stanowiska. Doprecyzowuje natomiast zasady postępowania wobec danych byłych, obecnych i przyszłych klientów banków i rejestrów kredytowych, a także osób niebędących klientami, których dane przetwarzane są przez te instytucje w ramach prowadzonej działalności lub też w związku z realizacją obowiązków i uprawnień wyznaczonych przez odpowiednie przepisy prawa. Z tego względu twórcy opracowania pominęli takie obszary wskazane w RODO, jak ochrona danych osobowych dzieci czy kontakty z krajami trzecimi, które co do zasady nie dotyczą relacji na linii bank-klient. Szczególny nacisk został natomiast położony na zagadnienia kluczowe z punktu widzenia bankowego biznesu, w rodzaju profilowania czy scoringu kredytowego.

Język zrozumiały dla Kowalskiego

Pierwszy rozdział dokumentu przypomina podstawowe zasady ochrony danych osobowych, określone przez współczesne prawo wspólnotowe i krajowe. W dalszej części znajdziemy zalecenia odnośnie postępowania w takich obszarach, jak:

  • podstawy prawne przetwarzania danych osobowych,
  • warunki pozyskiwania zgody na przetwarzanie danych osobowych,
  • prawa osoby, której dane dotyczą,
  • przechowywanie i usuwanie danych osobowych,
  • profilowanie oraz zautomatyzowane przetwarzanie danych osobowych osób fizycznych,
  • powierzenie przetwarzania – klauzule umów z dostawcami,
  • powiadomienia o naruszeniu ochrony danych osobowych,
  • ocena skutków przetwarzania danych.

Najwięcej miejsca poświęcono problematyce ochrony praw osoby, której dane dotyczą. Dyrektor Zespołu Prawno-Legislacyjnego ZBP przypomniał, iż obszar ten obejmuje aż 2/3 całego kodeksu. Doprecyzowane zostały m.in. tak żywotne dla banków kwestie, jak ograniczenie prawa do usunięcia danych w przypadkach określonych przez Prawo bankowe. Kodeks dobrych praktyk dla sektora finansowego zawiera również wzorce formularzy przydatnych w realizacji niektórych obowiązków wyznaczonych przez nowe przepisy. Znajdziemy tu choćby wzór powiadomienia organu nadzoru i osoby, której dane dotyczą w przypadku ich naruszenia, czy też zakres niezbędnych informacji przekazywanych klientom zgodnie z RODO. Dr Tadeusz Białek zwrócił również uwagę na edukacyjny charakter dokumentu. – Postanowienia kodeksu odzwierciedlają terminologię RODO, jednak zostały sformułowane w sposób przejrzysty i zrozumiały nie tylko dla prawników. Także bankowi pracownicy obsługi klienta, a także sami klienci, są w stanie zrozumieć poszczególne zapisy tego dokumentu – podkreślił.

Udostępnij artykuł: