Punkty widzenia
RODO: Niejednoznaczne przepisy dotyczące przenoszenia danych
Europejska reforma prawa Ochrony Danych Osobowych (RODO - General Data Protection Regulation)
Ogólne Rozporządzenia o Ochronie Danych Osobowych w UE (RODO) znacząco wpłynie na zakres obowiązków podmiotów przetwarzających dane osobowe i wymusi liczne zmiany w polityce ich ochrony. Jednym z istotnych aspektów zmian jest zwiększenie wpływu obywateli na zarzadzanie swoimi danymi. Od momentu rozpoczęcia stosowania Rozporządzenia, klient banku, instytucji płatniczej, czy instytucji pożyczkowej zyska uprawnienie do żądania przeniesienia jego danych – tj. do ich otrzymania od dotychczasowego administratora i przekazania ich innemu podmiotowi.
Wynika to z treści art. 20, stanowiącego, iż osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu pierwotnie dostarczono te dane. Uprawnienie to może być przez daną osobę zrealizowane, jeżeli przetwarzanie odbywa się na podstawie zgody wyrażonej przez tę osobę, odbywa się w celu wykonania umowy lub jeżeli przetwarzanie odbywa się w sposób zautomatyzowany. Osoba, której dane dotyczą, ma również prawo żądać, aby dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, jednak tylko o tyle - o ile jest to technicznie możliwe.
Kolejny kosztowny obowiązek regulacyjny?
Wprawdzie wykonanie nałożonego Rozporządzeniem obowiązku uzależnione jest częściowo od uwarunkowań technicznych, nie określono jednak, do kogo należeć ma ocena tego, czy przekazanie danych jest technicznie wykonalne, czy też nie. Rozporządzenie nie rozstrzyga także, czy chodzi tu o subiektywne możliwości techniczne danej instytucji, czy też o pewien standard usług, które powinien oferować każdy bank, instytucja płatnicza lub instytucja pożyczkowa. Omawiany przepis nie precyzuje również - pomiędzy jakimi administratorami powinno dochodzić do przekazywania danych. Nie można zatem wykluczyć sytuacji, w której klient zażąda, aby jego dane zostały przekazane przez instytucję płatniczą czy instytucję pożyczkową np. do urzędu, czy operatora komórkowego. W efekcie, oprócz wątpliwości interpretacyjnych, omawiany art. 20 spowodować może powstanie po stronie podmiotu zobowiązanego do jego stosowania - kolejnego kosztownego obowiązku dotyczącego danych osobowych klientów.
W związku z tym, iż uprawnienia związane z przenoszeniem danych będą mogły być wykonywane przez klienta bez uszczerbku dla art. 17 Rozporządzenia, regulującego prawo do usunięcia danych (tj. „prawo do bycia zapomnianym”) - klient będzie mógł zdecydować, czy przekazanie jego danych do innej instytucji nastąpi łącznie z ich usunięciem przez obecnego administratora, czy też nie. Uprawnienie do usunięcia danych przysługiwać będzie w szczególności w przypadku, gdy przetwarzanie następują na podstawie zgody, dane osobowe nie są już niezbędne do celów, w których zostały zebrane, dane są przetwarzane niezgodnie z prawem lub wniesiono sprzeciw wobec przetwarzania.
Ochrona danych a Dyrektywa PSD2
Innym istotnym aspektem zastosowania art. 20 Rozporządzenia jest jego relacja do nowego rodzaju instytucji płatniczych, opierających zasadniczą część swoich usług na przetwarzaniu danych klientów. Mowa tu o TPP (ang. Third Party Providers) – czyli dostawcach usług płatniczych, którzy na mocy nowej Dyrektywy PSD2[1] oferować będą usługi płatnicze polegające na inicjowaniu płatności – PIS (ang. payment initiation service)[2] oraz zapewnianiu dostępu do informacji o rachunku – AIS (ang. account information service)[3]. W szczególności usługa AIS swym charakterem zbliżona jest raczej do usług, których przedmiotem jest przetwarzanie danych osobowych aniżeli do typowych usług płatniczych, jak np. usługa wykonania transakcji płatniczej.
W tym kontekście – pojawia się pytanie: komu i jaki zakres danych o kliencie powinien być przekazywany zgodnie z żądaniem klienta (art. 20 Rozporządzenia) i w jaki sposób przekazywane powinny być dane stanowiące tajemnicę bankową.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE.
[2] Zgodnie z art. 4 pkt 15 PSD2 „usługa inicjowania płatności” oznacza usługę polegającą na zainicjowaniu zlecenia płatniczego na wniosek użytkownika usług płatniczych w odniesieniu do rachunku płatniczego posiadanego u innego dostawcy usług płatniczych.
[3] Zgodnie z art. 4 pkt 16 PSD2 „usługa dostępu do informacji o rachunku” oznacza usługę online polegającą na dostarczaniu skonsolidowanych informacji na temat co najmniej jednego rachunku płatniczego posiadanego przez danego użytkownika usług płatniczych u innego dostawcy usług płatniczych albo u więcej niż jednego dostawcy usług płatniczych.
Punkt widzenia:
Ochrona danych osobowych - co zmieni się w przepisach?
Subskrybuj "Newsletter RODO"
Otrzymuj powiadomienia na e-mail o nowych Newsletterach RODO Deloitte Legal