Zmiany w RODO a banki

RODOW mediach bardzo dużo mówi się ostatnio o tzw. RODO. Jest to ogólne rozporządzenie o ochronie danych, które weszło w życie w maju 2017 roku, jednak stosować będziemy je od zbliżającej się daty 25 maja. Oznacza to, że od tego dnia wszelkie przepisy owego dokumentu będą obowiązywać bezpośrednio i będą miały bezpośredni skutek. Banki, podobnie jak inne instytucje będące administratorem personaliów, powinny dostosować się do nowo obowiązujących przepisów, gdyż w przeciwnym razie mogą się spodziewać wysokich kar finansowych. Sprawdźmy zatem, na jakie zmiany muszą się przygotować organizacje finansowe.

Podstawa prawna do profilowania

Jednym z ważniejszych założeń rozporządzenia jest wprowadzenie do prawa bankowego zapisu o możliwości przetwarzania danych przez banki w sposób całkowicie zautomatyzowany, w tym poprzez profilowanie. Jest to niezwykle istotne, gdyż instytucje finansowe będą mogły przetwarzać dane osobowe swoich klientów w celu oceny zdolności kredytowej poszczególnych kredytobiorców oraz by przeanalizować ryzyko związane z udzieleniem pożyczki.

Dotychczas określanie profilu kredytobiorcy było możliwe jedynie po wyrażeniu na to zgody klienta, natomiast nowe przepisy przewidują możliwość przetwarzania personaliów przez banki na zasadzie zautomatyzowanego procesu podejmowania decyzji, w tym profilowania. Co to dla nas oznacza? Jeżeli bank będzie chciał wykorzystać tę metodę, by ocenić naszą zdolność kredytową, nie musi się powoływać na niezbędność podejmowania decyzji w sposób automatyczny dla zawarcia lub zrealizowania umowy i co najważniejsze, nie ma obowiązku prosić o zgodę kontrahenta na przetwarzanie danych.

Banki i inne instytucje, których działalność opiera się na udzielaniu pożyczek pieniężnych, będą mogły przetwarzać informacje w sposób zautomatyzowany, także poprzez profilowanie, również do celów statystycznych oraz różnego rodzaju analiz. Chodzi oczywiście o analizy, które będą stanowiły realizację zobowiązań wskazanych w odrębnych przepisach, jeśli ich wynikiem nie będą dane osobowe i wynik ten nie posłuży za podstawę zatwierdzania decyzji dotyczących konkretnych osób.

Zbieranie danych biometrycznych

Zgodnie z zapisami w ogólnym rozporządzeniu o danych osobowych, instytucje bankowe będą mogły przetwarzać, dla celów związanych z prowadzoną działalnością, personalia znajdujące się w dokumencie tożsamości osoby fizycznej wraz z danymi biometrycznymi. Dane biometryczne to takie informacje osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych lub fizjologicznych człowieka oraz umożliwiają bądź potwierdzają jednoznaczną identyfikację (może to być wizerunek twarzy albo dane daktyloskopijne).

W jakich sytuacjach bank może wykorzystywać owe dane? Najczęściej niezbędne są podczas świadczenia usług płatniczych przez instytucję finansową i w ramach zabezpieczenia systemów bankowych. Projekt ściśle określa cel przetwarzania danych biometrycznych: identyfikacja i weryfikacja tożsamości oraz uwierzytelnienie czynności dokonywanej przez daną osobę.

Mniejsze obowiązki informacyjne banków

Zgodnie z nowymi rozporządzeniami banki i instytucje finansowe zarówno w przypadku zbierania danych od jednostki, której personalia dotyczą, jak i pozyskiwania informacji osobowych w sposób odmienny niż od osoby, której dane obejmują, nie będą zobligowane do informowania o zautomatyzowanym podejmowaniu decyzji (w tym profilowaniu) oraz o zasadach zautomatyzowanego podejmowania ustaleń i o możliwych konsekwencjach związanych z przetwarzaniem personaliów na temat danej persony.

Reglamentacja obowiązku informacyjnego banków będzie odnosiła się tylko do przypadków przetwarzania danych osobowych na potrzeby zapobiegania praniu pieniędzy i finansowaniu terroryzmu oraz przeciwdziałania przestępstwom.

Bank będzie mógł wydać klientowi oświadczenie w zakresie zgromadzonych danych na temat danej osoby nie częściej niż raz na 3 miesiące. Jeśli klient zażyczy sobie otrzymania informacji szybciej, będzie się musiał liczyć z poniesieniem kosztów za taką usługę.

W sytuacji naruszenia ochrony danych osobowych bank, czyli administrator przechowywanych informacji, ma obowiązek poinformować o tym fakcie osobę, której dane dotyczą. Wyjątek stanowi przypadek, kiedy przekazanie takiej wiadomości mogłoby spowodować naruszenie stabilności funkcjonowania sektora bankowego.

RODO mówi również o prawie do transferowania danych. Zgodnie z ustaleniami tego rozporządzenia, jeśli przetwarzanie personaliów odbywa się w sposób zautomatyzowany, to osoba, której dane dotyczą, ma możliwość otrzymania wszelkich wzmianek na swój temat w powszechnie używanym formacie nadającym się do odczytu maszynowego. Jednostka ta posiada także prawo przesłać te informacje innemu administratorowi, bez komplikacji ze strony administratora, który jako pierwszy przetwarzał dane. Perspektywa przenoszenia danych nie dotyczy migracji informacji stanowiących tajemnicę przedsiębiorstwa.

Dotychczas nie tylko małe firmy, ale też duże przedsiębiorstwa dość lekceważąco podchodziły do tematu ochrony danych osobowych. Powtarzające się przypadki wycieku lub kradzieży informacji niewątpliwie przyczyniły się do powstania rozporządzenia RODO. Groźba wysokich kar w przypadku niedostosowania się do obowiązujących przepisów daje nam pewność, że od maja tego roku informacje na nasz temat będą na pewno szczelnie chronione.

Artykuł został opracowany przez specjalistów z wujeksknerus.pl.

Komentarze