Od 25 maja 2018 roku RODO[1] jest bezpośrednio stosowane we wszystkich krajach członkowskich Unii Europejskiej, a więc także w Polsce. Pewną nowością, obecną za sprawą art. 20 RODO jest prawo do przenoszenia danych osobowych[2], nazywane również „przenoszalnością danych”. Gwarantuje ono osobom, których dane dotyczą (podmiotom danych), prawo do przenoszenia danych osobowych dostarczonych przez nie administratorom danych osobowych. Składa się ono z dwóch podstawowych elementów:
-
prawa do otrzymania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu maszynowego oraz
-
prawa do niezakłóconego przesyłania danych osobowych od jednego administratora danych osobowych do innego.
Możliwe jest zatem obecnie złożenie żądania pod adresem administratora danych osobowych, żeby ten przekazał nasze dane osobowe innemu podmiotowi – przyszłemu administratorowi należących do nas danych osobowych. Przykładowo, możemy żądać od banku przeniesienia przekazanych przez nas danych osobowych (imienia, nazwiska, czy innych danych identyfikujących) do innej instytucji finansowej – na przykład przy okazji zakładania nowego rachunku.
Kwestią kluczową, która przekłada się na doniosłe znaczenie praktyczne tego prawa, jest fakt, że obejmuje ono nie tylko dane przekazane bezpośrednio (świadomie i aktywnie) przez podmiot danych, ale także te wygenerowane wtórnie poprzez jego działanie. Oznacza to, że nie ma możliwości ograniczenia zakresu prawa do przenoszenia danych osobowych wyłącznie do informacji przekazanych np. w formie formularza przy zawieraniu umowy o świadczenie usług. Wynika to z tego, że omawiane prawo dotyczy wszystkich danych dostarczonych administratorowi w ramach łączącego go z podmiotem danych stosunku (przykładowo podczas wykonywania umowy). Przenosząc powyższe na grunt prawa bankowego, prawem do przenoszenia danych objęte są zarówno dane osobowe podane w momencie zawierania umowy kredytowej, jak i np. informacje dotyczące spłaty tego kredytu i wywiązywania się z innych zobowiązań klienta (podmiotu danych) względem banku (administratora).
Nowe prawo do przenoszenia danych osobowych ma w założeniu umożliwiać łatwe przenoszenie, kopiowanie lub przesyłanie tych informacji z jednego środowiska IT do innego. Oprócz podstawowego celu, jakim jest zwiększenie kontroli podmiotu danych nad jego danymi osobowymi, przenoszalność danych ma za zadanie zwiększenie konkurencyjności wśród dostawców usług. Klienci mieć będą większą swobodę podczas wyboru usługodawcy, ponieważ możliwe będzie przeniesienie wszystkich danych wygenerowanych podczas korzystania z usług oferowanych przez pierwszego administratora. Może mieć to zastosowanie m.in. w sytuacji ubiegania się o kredyt – podmiot danych może żądać przeniesienia przez bank historii transakcji do drugiego banku, tak żeby zwiększyć swoją wiarygodność płatniczą i w związku z tym uzyskać lepsze warunki finansowania (np. mieć możliwość zaciągnięcia kredytu w wyższej wysokości albo obniżenia oprocentowania).
Zgodnie z motywem wskazanym w pkt. 68 preambuły RODO, administratorzy danych osobowych powinni być zachęcani do zapewnienia interoperacyjności[3] formatu danych przekazywanych w ramach realizacji wniosku o przeniesienie danych. Również Grupa Robocza Art. 29 zaleciła, aby zainteresowane podmioty z branży i stowarzyszenia handlowe pracowały wspólnie nad powszechnym zestawem interoperacyjnych standardów i formatów celem opracowania wymogów prawa do przenoszenia danych[4]. W najbliższej przyszłości spodziewać się można, że poszczególne sektory (w tym m.in. sektor bankowy) będą dążyły do wypracowania wspólnych standardów i porozumień odnoszących się do przenoszenia danych osobowych, z uwzględnieniem specyfiki danej branży. Możliwe, że w tym zakresie przydatna okaże się technologia blockchain, której popularność stale rośnie – także w sektorze bankowym[5].
Odrębną kwestią jest profilowanie klientów banków na podstawie podejmowanych przez nich działań. Dane osobowe klientów uzyskane na skutek zastosowania określonych algorytmów (wytworzone profile) będą stanowiły pochodne dane osobowe w rozumieniu obowiązujących RODO. Istnieje więc ryzyko, że w wyniku przeniesienia tych danych od jednego administratora do innego może dojść do ujawnienia tajemnicy przedsiębiorstwa banku. Dochodzi zatem do zderzenia dwóch praw – prawa do ochrony danych osobowych, a konkretniej prawa do przenoszenia danych, przysługującego podmiotowi danych oraz prawa do zachowania tajemnicy przedsiębiorstwa banku, przysługującego bankowi.
Na chwilę publikacji tego tekstu nadal nie zostało rozstrzygnięte czy prawo do przenoszenia danych zostanie w tym względzie ograniczone w myśl art. 23 RODO[6]. Wprawdzie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 z 28 marca 2018 roku w art. 54 pkt. 5 zakładał dodanie do ustawy Prawo bankowe[7] art. 112e, którego ust. 3 wyłączał zastosowanie art. 20 RODO do przenoszenia danych, które stanowią tajemnicę przedsiębiorstwa. W uzasadnieniu projektu wskazano wówczas, że w sytuacji, w której rejestr kredytowy byłby zobowiązany do wykonania prawa do przenoszenia danych istotne jest, aby temu prawu nie podlegały dane stanowiące tajemnicę przedsiębiorstwa, w szczególności informacje dotyczące wierzycieli (kredytodawców). Zasada neutralności[8] zapewnia bowiem konkurencyjność wśród banków i innych kredytodawców, ponieważ otrzymują one jedynie informacje o historii kredytowej klienta. Poza tym nieujawnianie danych wierzyciela służy także ochronie polityki kredytowej banku, która objęta jest tajemnicą przedsiębiorstwa. Zdaniem autora takie rozwiązanie należy ocenić pozytywnie. W projekcie omawianej ustawy z dnia 7 czerwca 2018 roku brak jest już jednak analogicznego przepisu. Ostateczny kształt regulacji zmienia się zatem na etapie postępujących prac legislacyjnych i dotychczas pozostaje nieznany[9].
Kierunek, w którym pójdą regulacje sektora bankowego zależy w dużej mierze od nastawienia podmiotów działających na rynku. W przypadku braku kooperacji i woli przyjęcia pewnych wewnątrzsektorowych rozwiązań, może okazać się, że w praktyce prawo do przenoszenia danych osobowych będzie fikcją, a cele wyznaczone przez unijnego prawodawcę nie zostaną osiągnięte. Może być bowiem tak, że faktyczne przekazanie danych pomiędzy administratorami pozostanie niewykonalne albo skorzystanie z tego prawa nie będzie w żaden sposób atrakcyjne dla podmiotów danych – klientów banków.
IFTA zamierza przyglądać się powyższym zagadnieniom i obserwować powstające regulacje. Zapraszamy do śledzenia naszego profilu.
Autor: Mateusz Krakowski
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z dnia 4 maja 2016 r.).
[2] Przy czym „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania (bezpośrednio i pośrednio) osobie fizycznej. Przykładowo RODO zalicza do danych osobowych takie informacje jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
[3] Interoperacyjność rozumieć należy jako cechę (w tym przypadku formatów danych), która zakłada zgodność pomiędzy systemami. Innymi słowy chodzi o to, żeby format, w którym dane są przekazywane umożliwiał wszystkim podmiotom wykorzystanie tych danych (przykładowo .doc, .pdf, .xls, .csv).
[4] Zob. wytyczne Grupy Roboczej Art. 29 dotyczące prawa do przenoszenia danych (WP 242 rew.01), s. 3.
[5] Zob. np. https://www.wirtualnemedia.pl/artykul/11-7-mld-usd-na-blockchain-w-2022-r.
[6] Art. 23 RODO przewiduje możliwość ograniczenia zakresu obowiązków i praw przewidzianych w art. 5, 12-22 i 34 Rozporządzenia w prawie Unii lub prawie państwa członkowskiego. Ograniczenie to nie może jednak naruszać istoty podstawowych praw i wolności oraz musi być środkiem niezbędnym i proporcjonalnym, służącym m. in. bezpieczeństwu narodowemu lub publicznemu, ochronie niezależności sądów i postępowania sądowego, ochronie osoby, której dane dotyczą, lub praw i wolności innych osób.
[7] Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.)
[8] Zasada neutralności polega na nieujawnianiu informacji dotyczących wierzycieli.
[9] Przebieg procesu legislacyjnego można śledzić na stronie Rządowego Centrum Legislacji: https://legislacja.rcl.gov.pl/projekt/12302951/katalog/12457737#12457737.