Czy rekomendacje KNF dot. ochrony danych osobowych w bankach są potrzebne? Pierwsze komentarze rynku

Autor: Paulina Wiensak

Dodano: 21-04-2020

Ponad miesiąc temu Prezes Urzędu Ochrony Danych Osobowych skierował do Przewodniczącego KNF pismo. Zawierało ono prośbę w kwestii rozważenia opracowania stosownych rekomendacji ws. identyfikacji i weryfikacji tożsamości klientów – w szczególności kopiowania dokumentów tożsamości – w związku ze spełnieniem przez podmioty bankowe obowiązków nałożonych przez przepisy dyrektywy AML.

Zastrzeżenia PUODO obejmują praktykę kopiowania dokumentów tożsamości. Uważa on, że w wielu przypadkach jest ona zbędna, a weryfikacji tożsamości klienta banki mogą dokonać w inny sposób. Dlatego, w opinii PUODO, decyzja o skopiowaniu dokumentu tożsamości, czy też żądanie przedstawienia takich kopii powinna być  poprzedzona dokładną analizą czy rzeczywiście jest to konieczne. Przewodniczący KNF odmówił opracowania rekomendacji, wskazując, że sprawa ta leży w zakresie kompetencji Generalnego Inspektora Informacji Finansowej. Czytaj więcej: Prezes UODO rekomenduje opracowanie wytycznych ws. kopiowania dokumentów tożsamości

Poprosiliśmy instytucje o komentarz w tej sprawie. Do tej pory swoje opinie wyrazili przedstawiciele dwóch banków: Credit Agricole i Alior Bank. Liczymy, że głos w tej sprawie zajmie też Związek Banków Polskich.

  • komentarz p. Angeliki Mroczek, odpowiedzialnej za Ochronę Danych w Alior Banku:

    „Stanowisko PUODO oparte jest na przepisach prawa, w tym ze szczególnym uwzględnieniem ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu prania pieniędzy oraz finansowania terroryzmu (dalej: ustawa AML). Bank działał zgodnie z ratio legis cytowanej ustawy.  Banki wykonują skany dowodów osobistych wyłącznie na podstawie art. 35 AML, tj. dla potrzeb stosowania środków bezpieczeństwa finansowego. Kopiowanie dokumentów tożsamości powinno odpowiadać zasadzie celowości oraz analizy niezbędności, którymi kieruje się bank jako instytucja obowiązana. Jak słusznie twierdzi GIIF, dokonując interpretacji przedmiotowej kwestii kopiowania dokumentów, nie można skutecznie przeciwdziałać praniu brudnych pieniędzy i finansowaniu terroryzmu nie posiadając szczegółowej wiedzy z kim nawiązywane są stosunki gospodarcze lub na rzecz kogo realizowane są przez bank transakcje okazjonalne. Takie stanowisko jest również stosowane niezmiennie przez bank. Czynności te są realizowane oczywiście w granicach przytoczonej ustawy AML oraz z zachowaniem wytycznych wynikających z rozporządzanie RODO dla ochrony prywatności klientów.”
     
  • komentarz p. Magdaleny Zielińskiej, Inspektora Ochrony Danych w banku Credit Agricole:

    „Credit Agricole Bank Polska S.A. stosuje zasadę adekwatności, która wynika z RODO, zatem niezależnie od stanowiska PUODO uważa swoje działania w zakresie kopiowania lub skanowania dokumentów tożsamości jako te, które są zgodne z tą zasadą. Bank sprawdza w ramach testu proporcjonalności, czy dla danego procesu czynność kopiowania lub skanowania jest niezbędna, a także posiada katalog tych, które są wyłączone z tego procesu, aby nie pobierać zbędnych dokumentów od klienta. Oznacza to respektowanie tego, co regulator przedstawił w swoim stanowisku. Prezentowane stanowisko PUODO oraz odpowiedź Generalnego Inspektora Informacji Finansowej powodują niepewność, nie w branży, która stosuje swoje wewnętrzne analizy ryzyka, zarówno na podstawie RODO, jak też Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, ale przede wszystkim rodzi pytania po stronie Klientów. Banki otrzymują w tym zakresie zarówno zapytania w ramach realizacji praw podmiotów danych, które wynikają z RODO, jak też reklamacje. Oczekiwanie banków wobec nadzorców to przede wszystkim spójność w poglądach, która zakończy dyskusję. Dotychczas wymiana dokumentów nie przyniosła takiego rezultatu, zatem stanowisko KNF, jako regulatora, który prowadzi inspekcje w obszarze AML i zna praktyki, specyficzne dla branży, często również od strony systemowej, może być pomocne. Wśród bankowców trwa dyskusja i wymiana opinii na temat standardów ochrony danych, które wiążą się ze stosowaniem przepisów AML. Natomiast niezależnie od tego, branża przygotowała swój Kodeks dobrych praktyk, który od dłuższego czasu jest opiniowany zarówno przez PUODO, jak też przez organizacje społeczne. Nie ma niestety jeszcze finału tych prac, a Kodeks ma za zadanie przyczynić się do ustandaryzowania ochrony danych osobowych w bankach”.
wstecz