Zmiany w sektorze bankowym w kontekście przetwarzania i ochrony danych osobowych

ZMIANY W SEKTORZE BANKOWYM W KONTEKŚCIE PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH

Jak wiadomo zmiany w przepisach obowiązujące od 4 maja 2019 r. (ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE)  (ogólne rozporządzenie o ochronie danych, RODO) a dotyczące przetwarzania i ochrony danych osobowych, dotknęły również sektor bankowy. Warto się przyjrzeć tym zmianom ponieważ dotyczą one klientów korzystających z szerokiej gamy produktów bankowych i w związku z tym, niekiedy obligatoryjnie, zobowiązanych udostępnić bankom szerszy zakres swoich danych osobowych niż tylko wynikający z konieczności zawarcia z bankiem umowy.

OCENA ZDOLNOŚCI KREDYTOWEJ

Profilowanie

Jedną z nowości w prawie bankowym jest pojawienie się definicji profilowania – definicji obowiązującej wg przepisów ogólnego rozporządzenia o ochronie danych. Czym więc jest profilowanie? Zgodnie z art. 4 pkt 4) oznacza ono „…dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się

Profilowanie składa się więc z trzech elementów:

 musi być zautomatyzowaną formą przetwarzania – ocena danej osoby generowana jest „automatycznie” przez system;

 musi być prowadzone odnośnie danych osobowych; oraz

 celem profilowania musi być ocena niektórych czynników osobowych osoby fizycznej.

Banki dysponują dużą ilością danych o klientach  - posiadając dostęp do historii rachunku są w stanie ustalić preferencje czy styl życia klienta, nawet informacje o jego stanie zdrowia. Nierzadko banki stosują algorytmy i modele scoringowe, które w sposób zautomatyzowany, na podstawie określonych danych o osobie przyporządkowują ją do określonej kategorii i np. „decydują” o warunkach kredytu lub o odrzuceniu wniosku kredytowego. To jest właśnie profilowanie.

Podstawą przetwarzania danych w postaci profilowania jest art. 105a ust. 1a-1c dający bankom oraz innym instytucjom prawo, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, podejmowania decyzj w oparciu wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych – również stanowiących tajemnicę bankową –pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana wsposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.

Ustawodawca wprost zaaprobował możliwość podejmowania decyzji, opierając się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych (w tym profilowaniu), jednak wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Ustawodawca nakłada na bank obowiązek wyjasnienia wnioksodawcy podstaw takiej decyzji, obowiązek umożliwienia interwencji “ludzkiej” (a więc z pominięciem automatycznego przetwarzania) w celu ponownego podjęcia decyzji o przyznaniu kredytu (pożyczki) oraz daje prawo wnioskodawcy do wyrażenia własnego stanowiska w sytuacji odmowy przyznania kredytu.

Bank w tym celu powinien wykorzystywać tylko dane niezbędne. Te dane to dane dotyczące osoby fizycznej (wnioskodawcy) oraz dane dotyczace zobowiązania.

Ustawodawca wśród danych dotyczacych osobowy fizycznej wymienia: imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, wiek, płeć, obywatelstwo, tytuł prawny do zajmowanego lokalu. formę zatrudnienia) sytuację finansową, w tym dochody i wydatki, sytuację finasnsową. Dane dotyczące zobowiązań to źródło zobowiązania (umowa, poręczenie, weksel) oraz jego kwotę i walutę, numer i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, nazwę i adres siedziby lub oddziału banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, datę powstania zobowiązania, warunki spłaty zobowiązania, ustanowione zabezpieczenia prawne, przebieg realizacji zobowiązania, stan zadłużenia z tytułu zobowiązania, datę wygaśnięcia zobowiązania, przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki. Zakres danych jakie banki mogą temat gromadzić na temat swoich klientów (zarowno pochodzących od nich jak i z innych źródeł) jest szeroki. Warto przy okazji pamiętać, że do tego aby bank je mógł gromadzić nie potrzebuje od nas zgody.

Bank nie może m. in. profilować kredytobiorców wykorzystując do tego informacje o stanie zdrowia lub dane dotyczące światopoglądu czyli nie może wykorzystywać danych szczególnych kategorii (danych wrażliwych).

Pisemne uzasadnienie oceny zdolności kredytowej przez bank

Kluczową dla klientów banków zmianą jest dodany w ustawie Prawo bankowe art. 70a – przepis ten obliguje bank na wniosek osoby fizycznej (i nie tylko), ubiegającej się o kredyt do przekazania, w formie pisemnej, wyjaśnienia dotyczącego dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Klienci zainteresowani przyczynami, dla których bank odmawiał przyznania kredytu do tej pory byli odprawiani z kwitkiem i takiej informacji nie otrzymywali, nie wiedzieli więc do końca jakie są konkretne przyczny odmowy przyznania kredytu czy pożyczki. Od 4 maja 2019 roku bank jest zobowiązany udzielić takich informacji na piśmie. 

Wyjaśnienie obejmować musi informacje na temat czynników, w tym danych osobowych wnioskującego,  które miały wpływ na dokonaną ocenę zdolności kredytowej. Jakie to dane osobowe? Na przykład wysokość innych zobowiązań, ich ilość, wysokość wynagrodzenia czy wpływów na rachunek bankowy, charakter zatrudnienia i stanowisko.

W przypadku przedsiębiorców (również osób fizycznych prowadzących działalność gospoadrczą) bank ma prawo od nich żądać opłaty za sporządzenie wyjaśnienia, która winna być “odpowiednia” do wyskości kredytu.

Regulacje te znajdują odpowiednie zastosowanie w przypadku udzielaniu kredytów w oparciu o przepisy ustawy o kredycie konsumenckim.

 

PRZETWARZANIE I WYMIANA INFORMACJI OBJĘTYCH TAJEMNICĄ BANKOWĄ W CELU ZAPOBIEGANIA PRZESTĘPSTWOM

Zgodnie ze znowelizowanymi przepisami prawa bankowego od 4 maja 2019 roku banki oraz inne instytucje ustawowo uprawnione do udzielania kredytów zyskują prawo przewtarzania i wzajemnej wymiany dotyczące informacji (i danych osobowych):

-        jeżeli zajdzie uzasadnione podejrzenie, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 299 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych narachunku środków, co do których zachodzi takie podejrzenie,

-        w razie uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.

Ustawodawca zastrzega, że wszelkie dane i informacje (w tym dotyczące wyroków skazujących) mogą być przetwarzane przez sektor bankowy tylko w zakresie niezbędnym do zapobiegania przestępstwom.

Nowo dodany przepis art 106e Prawa bankowego ogranicza w zakresie zapobiegania przestępczości (w tym również związanej z praniem brudnych pieniędzy) stosowanie art. 15 Ogólnego Rozporządzenia czyli ogranicza prawo dostępu do danych osobowych. Jeżeli stanie się to niezędne ze względu na zwalczanie takowej przestępczości osoba, której dane dotyczą nie będzie mogła skorzystać z prawa wynikającego z tego przepisu i nie uzyska od banku oraz innej instytucji informacji czy ta przetwarza jej dane osobowe oraz w jakim zakresie to robi.

Wydaje się, że podmiot sektora bankowego zwolniony będzie również z obowiązku informacyjnego (zwłaszcza w oparciu o art. 14 ust. 1 i 2 RODO).

 

Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu

Zmiany dotknęły także ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W art 34. znajdował się ust. 6, zgodnie z którym przetwarzanie informacji (w tym danych osobowych) w ramach środków bezpieczeństwa finansowego stosowanych przez instytucje finansowe (w tym banki) odbywało się bez wiedzy osób, których te informacje dotyczą. Przepis ten z dniem 4 maja 2019 roku uchylono.

W art. 66 ustawy wprowadzono zmianę dotyczącą stosowania przepisów o ochronie danych osobowych przy prowadzeniu Centralnego Rejestru Beneficjentów Rzeczywistych czyli systemu teleinformatycznego służącego przetwarzaniu informacji o beneficjentach rzeczywistych spółek: jawnych, komandytowych, komandytowo-akcyjnych, spółek z o. o. oraz akcyjnych poza spółkami publicznymi wrozumieniu ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych. Administratorem danych zgromadzonych w tym rejestrze jest Minister Finansów. Zmiana polega na wyłączeniu stosowania przepisu art. 15 ust lit c) do przetwarzania danych w rejestrze. Oznacza ona, iż osoba której dane dotyczą, jeśli skorzysta z prawa dostępu do swoich danych, nie otrzyma informacji o odbiorcach tych danych lub kategoriach odbiorców, którym dane zostały lub zostana ujawnione zwłaszcza o odbiorcach w państwach trzecich i organizacjach międzynarodowych (np. Interpol).

WYMOGI DOTYCZĄCE OSÓB PEŁNIĄCYCH FUNKCJE KLUCZOWE W BANKACH

Przepisy ustawy z 21 lutego 2019 r. regulują także gromadzenie danych osobowych o kandydatach na członkó zarządów lub rad nadzorczych oraz osób ubiegających się o pełnienie innej kluczowej funkcji w banku. Osoby te są zobowiązane przedłożyć na żądanie banku:

-        dokumenty lub oświadczeń dotyczących: zmiany imienia, nazwiska lub obywatelstwa oraz sytuacji materialnej i stanu majątku;

-        informacje niezbędne do oceny czy kandydat daje rękojmię kwalifikacji na dane stanowisko dotyczących: adresu zamieszkania lub pobytu, wykształcenia, zawodu, umiejętności i doświadczenia zawodowego, w tym dotychczasowego przebiegu pracy zawodowej, ukończonych szkoleń zawodowych, miejsca i stanowiska pracy oraz funkcji pełnionych w organach podmiotów sektora finansowego,

-        informacje dotyczace postępowań karnych i postępowań w sprawach o przestępstwa skarbowe prowadzonych przeciwko kandydatowi na członka zarządu lub rady nadzorczej lub osobie ubiegającej się o pełnienie innej kluczowej funkcji w banku,

-        informacje dotyczące nałożonych sankcji administracyjnych oraz sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku,

-        informacje o postępowaniach sądowych, które mogą mieć negatywny wpływ na reputację kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku, oraz postępowań administracyjnych, dyscyplinarnych lub egzekucyjnych, w których występował lub występuje jako strona,

-        informacje o stopniu znajomości języka polskiego oraz języków obcych,

-        informacje o sposobie działania w życiu, środowisku i kontaktach zawodowych oraz sposobie zachowania się wobec osób pokrzywdzonych przez jego działania.

Kandydaci na członków zarządów czy rad nadzorczych banków (oraz innych kluczowych funkcji) są więc zobowiązani do udostepnienia na swój temat bardzo wielu informacji i to w oparciu o przepisy prawa i ich zgoda na przewtarzanie danych w tym wypadku nie jest wymagana.

Ustawodwaca ustala również okres przechowywania tych danych – bank jako ich administrator przechowuje je przez okres 25 lat.

Regulacje te znajdują odpowiednie zastosowanie do banków spółdzielczych.

 

Zmiany w przepisach dotykają więc klientów banków (całego sektora finansowego) i mają wpływ na bezpieczeństwo ich danych oraz, przede wszystkim, na realizację praw tych osób, które niejednokrotnie zostały przepisami szczególnymi ograniczone.


Zobacz nasze pozostałe posty z tamatu RODO: