Używamy plików cookies, by ułatwić korzystanie z naszych serwisów.
Jeśli nie chcesz, by pliki cookies były zapisywane na Twoim dysku zmień ustawienia swojej przeglądarki.
ZAMKNIJ
 

Aktualności

10 stycznia 2019Trwają prace nad dostosowaniem polskiego prawa do wymagań RODO

W dniu 9 stycznia br. odbyło się posiedzenie Sejmowej Podkomisji nadzwyczajnej powołanej do rozpatrzenia projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Ujęto w nim liczne zmiany związane z dostosowaniem polskiego prawa do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczącego ochrony danych osobowych (RODO). Sektor bankowości spółdzielczej reprezentował przedstawiciel KZBS.

Projekt przepisów dostosowujących polskie prawo do wymagań RODO obejmuje zmiany w 167 ustawach, w tym, co szczególnie istotne dla sektora bankowego, w ustawie Prawo bankowe Wśród najistotniejszych zmian należy wymienić:

  1. Określenie katalogu danych, do których przetwarzania uprawniony jest bank w celu badania rękojmi, którą powinni dawać członkowie zarządu i rady nadzorczej banku (rękojmia ta obejmuje m.in. wiedzę, umiejętności i doświadczenie, odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków). Rękojmia dotyczy w szczególności reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny. W celu zapewnienia ostrożnego i stabilnego zarządzania bankiem, bank musi identyfikować inne kluczowe funkcje, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Bank musi zapewnić, że osoby pełniące te funkcje spełniają odpowiednio wymagania dotyczące reputacji, uczciwości i rzetelności oraz posiadają zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny. W celu badania rękojmi kandydata na członka zarządu lub rady nadzorczej oraz osoby ubiegającej się o pełnienie kluczowej funkcji bank powinien zgromadzić szereg danych, które następnie mogą być przechowywane nie dłużej niż przez okres 25 lat,
  2. Wprowadzenie przepisu, na podstawie którego banki w procesie dokonywania oceny zdolności kredytowej będą mogły podejmować decyzje kredytowe oparte wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu. W praktyce oznacza to, iż decyzja w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego będzie podejmowana bez zgody osoby, której dane dotyczą. Jednocześnie wprowadzono również przepisy, których celem jest zapewnienie osobie fizycznej zarówno prawa do zakwestionowania takiej decyzji, prawa do wyrażenia własnego stanowiska w tej sprawie oraz do uzyskania decyzji kredytowej w oparciu o ocenę dokonaną przez pracownika banku. Ponadto bank będzie zobowiązany do przedstawienia – na wniosek osoby, której dane dotyczą – stosownych wyjaśnień co do podstaw decyzji, która została podjęta wyłącznie na podstawie zautomatyzowanego przetwarzania, w tym profilowania,
  3. Wyspecyfikowanie zamkniętego katalogu danych osobowych, w oparciu o które banki będą mogły podejmować decyzje w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego poprzez zautomatyzowane przetwarzanie, w tym profilowanie danych. Do podjęcia decyzji w oparciu o dane osobowe przetwarzane wyłącznie automatycznie, w tym poprzez profilowanie, bank będzie mógł wykorzystać tylko te dane, które zostały określone w projekcie ustawy.

Niepokój środowiska bankowego budzi w szczególności ostatnia z wymienionych zmian. Ujęte w projekcie ustawy rozstrzygnięcie dotyczące możliwości profilowania przez banki ich klientów rozwiewa co prawda wątpliwości interpretacyjne w tym zakresie, jednak określenie zamkniętego katalogu danych, które banki mogą wykorzystywać w procesie profilowania może istotnie wpływać na skuteczność procesu oceny ryzyka kredytowego. Dopuszczenie zautomatyzowanego przetwarzania danych osobowych, w tym profilowania, dokonywanego na potrzeby oceny ryzyka kredytowego klienta (metody scoringowe), powinno się bowiem opierać na wskazaniu ogólnej kategorii danych jakie podlegają profilowaniu. Banki stosują bowiem różne modele scoringowe i w praktyce wykorzystują indywidualne metody profilowania oparte o różne zakresy danych. Z tego względu określenie zamkniętego katalogu danych wykorzystywanych do profilowania (nie ujęto w nim np. kwestii dotyczących przetwarzania danych biometrycznych), w szczególności może mieć negatywne skutki dla banków stosujących bardziej zaawansowane, a co za tym idzie bardziej efektywne algorytmy.

Równie niepokojący jest brak w ustawie dostosowującej Prawo bankowe do wymagań RODO zapisów umożliwiających bankom przetwarzanie danych osobowych dotyczących skazań klientów na mocy wyroków skazujących. Zgodnie bowiem z przepisami RODO wszelkie kompletne rejestry wyroków skazujących mogą być prowadzone wyłącznie pod nadzorem władz publicznych. Przy obecnym kształcie polskiego prawa, po rozpoczęciu stosowania RODO banki nie mają możliwości samodzielnego, tj. bez nadzoru władz publicznych przetwarzania danych osobowych dotyczących skazań klientów, tak jak było to możliwe na podstawie dotychczas obowiązującej ustawy o ochronie danych osobowych.

Partnerzy