Stanowisko Konfederacji Lewiatan wobec projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, numer UC 100
2018-06-06
1.. Postulat do art. 35 pkt 4) Projektu (art. 106d Prawa Bankowego)
1.1 Brak wyłączenia art. 13, 14, 15 i 21 RODO
1.1.1 KL z niepokojem odnotowała przede wszystkim zmiany do projektowanego art. 106d Prawa Bankowego, którego celem jest zapewnienie bezpieczeństwa, przeciwdziałanie nadużyciom oraz przestępstwom popełnianym na szkodę instytucji finansowych oraz ich klientom.
1.1.2 Przepis w obecnej wersji nie zawiera wyłączenia art. 13 i 14 Rozporządzenia 2016/679 (dalej: „RODO"), które były przewidziane w wersji z 28.03.2018 r. Tymczasem, jak zostało wskazane w uzasadnieniu do Projektu: „Efekty przetwarzania danych przez systemy antyfraudowe wskazują sytuacje, którym kredytodawca powinien się szczególnie przyjrzeć i dodatkowo zweryfikować (np. osoba, która złożyła wniosek kredytowy w banku lub w innej instytucji udzielającej kredytów posłużyła się dokumentem tożsamości, który został zastrzeżony)". Brak wyłączenia obowiązków informacyjnych uniemożliwi osiągnięcie celu funkcjonowania Platformy Antyfraudowej i innych systemów przetwarzających dane
w celach zapobiegania nadużyciom na rynku finansowym. Podmiot, który uzyskał za pośrednictwem Platformy (lub innego systemu) informacje dotyczące określonej osoby fizycznej, będzie musiał ją o tym (zgodnie z art. 14 RODO) poinformować, wskazując m.in. kategorie danych oraz źródło ich pozyskania (tym samym informując taką osobę o istniejącym podejrzeniu popełnienia przez nią przestępstwa, konieczności dalszej weryfikacji itd.). Dodatkowo ujawnienie informacji o zasadach przetwarzania danych w celach „antyfraudowych" doprowadzi do osłabienia funkcji ochronnej stosowanych przez instytucje finansowe mechanizmów, ponieważ staną się one jawne, co zdecydowanie ułatwi opracowanie rozwiązań umożliwiających ich obejście.
1.1.3 Konieczne dla zapewnienia prawidłowego funkcjonowania Platformy Antyfraudowej (i innych systemów przetwarzających dane w celach zapobiegania nadużyciom na rynku finansowym) jest również wyłączenie stosowania:
a) prawa dostępu do danych osobowych (art. 15 RODO) w zakresie danych osobowych przetwarzanych
w celu przeciwdziałania nadużyciom i popełnianiu przestępstw (z zadowoleniem przyjmujemy fakt,
że wyłączenie stosowania tego przepisu znalazło się w ostatnio opublikowanym projekcie przepisu art. 106da ustawy Prawo bankowe w odniesieniu do banków i instytucji utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe, niemniej jednak wyłączenie powinno mieć zastosowanie także do pozostałych podmiotów działających na rynku finansowym, które podejmują działania ochronne przed wyłudzeniami
i nadużyciami finansowymi , tj. wszystkim tych, które wymienione są w art. 106d Prawa bankowego), jak również
b) prawa do sprzeciwu (art. 21 RODO) wobec przetwarzania przez instytucje finansowe danych osobowych pozyskanych na podstawie art. 106d Prawa Bankowego. Korzystanie z prawa do sprzeciwu wymagałaby od instytucji biorących udział w systemie wymiany informacji każdorazowego wykazywania istnienia ważnych, nadrzędnych, prawnie uzasadnionych podstaw do przetwarzania. O ile zdaniem Związku taka nadrzędność interesów będzie miała miejsce, każdorazowe wykazywanie jej w odpowiedzi na wniesiony sprzeciw wobec przetwarzania danych, wiązać się będzie z dodatkowymi obowiązkami i kosztami po stronie instytucji obowiązanych;
c) art. 34 RODO; skoro bowiem prawidłowe funkcjonowanie systemu wymiany informacji wymaga, aby dane osobowe były przetwarzane bez wiedzy osób, których dane dotyczą, to konsekwentnie wyłączony powinien być obowiązek zawiadomienia osób, których dane osobowe przetwarzane są w ramach Platformy Antyfraudowej (i innych systemów przetwarzających dane w celach zapobiegania nadużyciom na rynku finansowym) o naruszeniu ich danych osobowych.
1.1.4 Wykonanie obowiązków, o których mowa w art. 13-15 i art. 34 RODO, jak również umożliwienie osobom wnoszenia sprzeciwu wobec przetwarzania ich danych osobowych (a w konsekwencji korzystania z prawa ograniczenia przetwarzania danych) stałoby w sprzeczności z celem art. 106d Prawa Bankowego (przeciwdziałanie przestępstwom i nadużyciom).
1.1.5 Art. 23 ust. 1 RODO pozwala na ograniczenie praw i obowiązków przewidzianych w art. 12-22 i w art. 34 RODO, jeżeli takie ograniczenie jest środkiem niezbędnym i proporcjonalnym służącym m.in.: d) zapobieganiu przestępczości, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego
i zapobieganiu takim zagrożeniom; i) ochronie praw i wolności innych osób. Z taką sytuacją mamy do czynienia w przypadku Platformy Antyfraudowej (i innych systemów przetwarzających dane w celach zapobiegania nadużyciom na rynku finansowym), która pozwala na zapobieganie przestępstwom popełnianym na szkodę instytucji finansowych i jej klientów, wzmacniając bezpieczeństwo prowadzonej działalności oraz środków pieniężnych (depozytów) klientów zgromadzonych w tych podmiotach. Interes własny instytucji finansowych jest więc zgodny z interesem publicznym (zgodnie z Opinią Grupy Roboczej art. 29 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE, taka zgodność interesów może mieć miejsce właśnie w odniesieniu do zwalczania przestępstw finansowych lub innego niezgodnego z prawem wykorzystywania usług).
1.1.6 Dlatego postulujemy wyłączenie stosowania art. 13 - 15 RODO, jak również art. 21 oraz art. 34 RODO w zakresie, w jakim wykonanie tych obowiązków znacząco utrudniłoby lub uniemożliwiło przeciwdziałanie nadużyciom i przestępstwom.
1.2 Umożliwienie uczestniczenia w systemie wymiany informacji „antyfraudowych" wszystkim leasingodawcom oraz podmiotom prowadzącym działalność w zakresie udzielania pożyczek
1.2.1 Ponownie zwracamy uwagę, że projektowana zmiana art. 106d ust. 1 Prawa Bankowego uniemożliwi niektórym leasingodawcom i pożyczkodawcom - wbrew prezentowanym w uzasadnieniu Projektu założeniom - korzystanie z Platformy Antyfraudowej.
1.2.2 Jak wskazano w uzasadnieniu: „system wymiany danych pomiędzy bankami i instytucjami udzielającymi finansowania z udziałem rejestru kredytowego i przy wykorzystaniu analiz antyfraudowych opierających się na profilowaniu niewątpliwie przyczynia się do ograniczania ryzyka operacyjnego występującego w podmiotach udzielających kredytów/pożyczek/leasingów i zmniejszenia strat wynikających z przestępstw popełnianych na ich szkodę oraz szkodę ich klientów". Z uzasadnienia wynika zatem, że projektodawca nie zamierzał ograniczać ochrony w stosunku do leasingodawców
i pożyczkodawców, a tym samym nie chciał wprowadzać nierówności w projektowanym systemie.
1.2.3 Tymczasem, zgodnie z projektowanym art. 106d ust. 1 Prawa bankowego: „banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r.
o kredycie konsumenckim, mogą przetwarzać, w tym dokonywać profilowania, i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach m.in. przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (art. 106d ust. 1 pkt 2 Pr. b).
1.2.4 Pojęcie „instytucji finansowych" zostało zdefiniowane w art. 4 ust. 1 pkt 7) Prawa Bankowego. Wyjaśnić zatem należy, że podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu operacyjnego (a nie leasingu finansowego) nie są objęte definicją „instytucji finansowej". Projektowany przepis upoważnia m.in. podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu (a więc też podmioty prowadzące działalność w zakresie leasingu operacyjnego), do przetwarzania określonych danych, w przypadku przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę określonych w przepisie podmiotów sektora finansowego (art. 106d ust. 1 pkt 2 Pr. b). Wśród podmiotów, na szkodę których potencjalnie dokonywane mogłyby być niepożądane działania, pominięte zostały jednak podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu.
1.2.5 W konsekwencji, leasingodawcy, którzy nie są objęci definicją „instytucji finansowej", nie będą mogli przekazywać w ramach Platformy Antyfraudowej (lub innego systemu) informacji dotyczących przestępstw popełnionych na szkodę ich i ich klientów. Ograniczenie funkcjonowania systemu wyłącznie do leasingodawców, którzy są objęci definicją „instytucji finansowej", w sposób nieuzasadniony pozbawia pozostałych leasingodawców ochrony, którą zapewniają systemy antyfraudowe, a jednocześnie pozbawia pozostałych uczestników systemu dostępu do informacji o nadużyciach i przestępstwach popełnionych
na szkodę tych leasingodawców.
1.2.6 Powyższe względy przemawiają również za rozszerzeniem systemu wymiany informacji także
na podmioty, których podstawowa działalność polega na udzielaniu pożyczek (definicja „instytucji pożyczkowej" odnosi się bowiem wyłącznie do podmiotów udzielających pożyczek konsumenckich).
1.2.7 Dlatego postulujemy nadanie art. 106d ust. 1 Prawa Bankowego następującego brzmienia:
„1. banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu lub na udzielaniu pożyczek oraz podmioty,
o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać,
w tym dokonywać profilowania, i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
(i) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
(ii) przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych, podmiotów, których podstawowa działalność polega
na udostępnianiu składników majątkowych na podstawie umowy leasingu lub na udzielaniu pożyczek oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o
kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom
2. Zautomatyzowane podejmowanie decyzji przez podmioty sektora finansowego
2.1 Zgodnie z art. 22 rozporządzenia nr 2016/679, podejmowanie decyzji opartych wyłącznie
na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, możliwe jest jedynie, jeżeli (a) decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; (b) jest dozwolona prawem UE lub prawem państwa członkowskiego; (c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
2.2 W ocenie KL zasadne jest wprowadzenie ustawowej podstawy umożliwiającej stosowanie przez podmioty sektora finansowego (banki/instytucje udzielające kredytów/instytucje finansowe/leasingodawców/pożyczkodawców) procesów, w których decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób istotnie na nie wpływające opierają się wyłącznie
za zautomatyzowanym przetwarzaniu danych, w tym profilowaniu. Dotyczy to przede wszystkim dokonywania oceny zdolności kredytowej i wiarygodności klienta na potrzeby zawarcia umowy
z podmiotem sektora finansowego oraz dokonywania oceny ryzyka prania pieniędzy i finansowania terroryzmu.
2.3 Brak takich przepisów ustawowych i konieczność odwołania się przez podmioty sektora finansowego do jednej z dwóch pozostałych przesłanej, tj. niezbędności decyzji do zawarcia lub wykonania umowy lub zgody osoby, powodują stan niepewności co do stosowanych przez podmioty sektora finansowego podstaw zautomatyzowanego podejmowania decyzji.
2.4 Dotyczy to w szczególności przesłanki „niezbędności" do zawarcia umowy. Z jednej strony przyjmuje się bowiem, że administratorowi pozostawiono decyzję, co do takiego ukształtowania umowy w aspekcie jej zawierania lub wykonania, aby wykreować stan niezbędności automatycznego podejmowania decyzji do zawarcia lub wykonania umowy. Z drugiej jednak strony, brak jednoznacznych wytycznych w tym zakresie powoduje istotne ryzyko po stronie podmiotów sektora finansowego co do braku podstaw do stosowania zautomatyzowanego podejmowania decyzji. Wydane przez Grupę Roboczą art. 29 wytyczne dotyczące automatycznego indywidualnego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679 (WP 251) wydają się potęgować tą niepewność. Zwracamy bowiem uwagę, że wytyczne (wersja zrewidowana WP 251rev.01) nie zawierają przykładów sytuacji, w których podejmowanie decyzji w sposób zautomatyzowany będzie uznane za niezbędne w celu zawarcia umowy. Z kolei pierwotna wersja wytycznych z 3.10.2017 r. wskazywała, że przesłanki takie jak (i) większa przejrzystość i sprawiedliwość procesu decyzyjnego (np. zmniejszenie ryzyka błędu ludzkiego lub dyskryminacji), (ii) zmniejszenie ryzyka związane z niewykonaniem zobowiązań przez osobę, której dane dotyczą, (iii) umożliwienie podejmowania decyzji w krótszym czasie lub zwiększenie efektywności procesu mogą nie zostać uznane za wystarczające dla spełnienia przesłanki z art. 22 ust. 2 lit. a) RODO.
2.5 Postulowane rozwiązanie przyczyni się do stabilności sektora finansowego oraz zmniejszy ryzyko systemowe.
2.6 Powiązaną kwestią jest uregulowanie profilowania dokonywanego przez instytucje utworzone na podstawie art. 105 ust. 4 ustawy Prawo bankowe (rejestry kredytowe), które nie podlegają przepisowi art. .22 RODO, ponieważ nie podejmują decyzji w stosunku do klientów, ale udostępniają instytucjom finansowym, w szczególności bankom i innym kredytodawcom, wynik profilowania w postaci scoringu kredytowego. Nieuregulowanie profilowania w Prawie bankowym i bezpośrednie stosowanie w tym zakresie przepisów Rozporządzenia 2016/679 spowoduje, że osoba, której dane przetwarzane są
w rejestrze kredytowym będzie mogła wnieść sprzeciw wobec dokonywanego względem niej profilowania. Zgodnie z przepisami Rozporządzenia na skutek wniesienia sprzeciwu rejestr kredytowy będzie musiał wstrzymać przetwarzanie danych objętych tym sprzeciwem. Istnieje zatem obawa nadużywania prawa do sprzeciwu przez osoby ubiegające się o kredyt lub pożyczkę, które będą chciały w ten sposób zapobiec przetwarzaniu danych o zobowiązaniach, których nie spłaciły lub spłacały z opóźnieniem. To z kolei będzie skutkowało obniżeniem wiarygodności informacji o kredytobiorcach udostępnianych bankom i instytucjom kredytowym i pożyczkowym, a w efekcie zwiększy ryzyko udzielania przez te podmioty kredytów i pożyczek osobom o niskiej wiarygodności kredytowej.
3. Przetwarzanie danych osobowych z dowodów osobistych przez podmioty sektora finansowego
3.1 Uprawnienie do przetwarzania danych osobowych z dowodów osobistych, o którym mowa w art. 112b Prawa Bankowego, w tym do kopiowania dowodów osobistych, powinno przysługiwać również leasingodawcom oraz pożyczkodawcom, na których nałożony jest obowiązek ustawowy identyfikacji
i weryfikacji tożsamości klientów.
4. Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
4.1 Wyłączenie obowiązku informacyjnego (art. 14 RODO) względem beneficjentów rzeczywistych
4.1.1 Art. 34 ust. 6 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu („ustawa AML") stanowi, że: przetwarzanie informacji o beneficjentach rzeczywistych przez instytucje obowiązane odbywa się bez wiedzy osób, których informacje te dotyczą.
4.1.2 W ocenie KL intencją ustawodawcy było wyłączenie względem beneficjentów rzeczywistych obowiązku informacyjnego nałożonego na instytucje obowiązane przez przepisy o ochronie danych osobowych (art. 25 u.o.d.o. oraz art. 14 RODO), na co wskazuje choćby brzmienie art. 34 ust. 6 ustawy AML, odnoszące się do wyłączenia obowiązku informacyjnego na podstawie art. 25 ust. 2 pkt 1) u.o.d.o.2
4.1.3 Wyłączenie to jest w pełni uzasadnione, m.in. z uwagi na to, że wykonanie obowiązku informacyjnego wymagałoby niewspółmiernie dużego wysiłku ze strony instytucji obowiązanej (instytucje obowiązane nie dysponują danymi kontaktowymi beneficjentów, takimi jak adres e-mail, adres korespondencyjny, kwestia tłumaczenia informacji na język obcy).
4.1.4 Wydaje się jednak, że w trakcie prac legislacyjnych nad ustawą AML nie zostały uwzględnione przepisy Rozporządzenia 2016/679. Należy zwrócić bowiem uwagę, że art. 23 RODO pozwala państwom UE na ograniczenie uprawnień osób określonych w Rozporządzeniu (w tym obowiązku informacyjnego z art. 14 RODO), jednak akt prawa krajowego przewidujący takie ograniczenie powinien spełniać wymogi określone w art. 23 ust. 2 Rozporządzenia.
4.1.5 Z uwagi na sposób sformułowania art. 34 ust. 6 ustawy AML, postulujemy wyraźne wskazanie
w ustawie AML, że obowiązek informacyjny instytucji obowiązanych przewidziany w art. 14 Rozporządzenia 2016/679 nie ma zastosowania względem beneficjentów rzeczywistych.
4.2 Dostosowanie ustawy AML do przepisów Rozporządzenia 2016/679
4.2.1 Konfederacja Lewiatan zwraca uwagę na wątpliwości dotyczące stosowania przepisów ustawy AML
w świetle obowiązków informacyjnych instytucji obowiązanej jako administratora danych osobowych na gruncie Rozporządzenia 2016/679.
4.2.2 Zgodnie z art. 156 ustawy AML, odpowiedzialności karnej podlega, kto wbrew przepisom ustawy ujawnia osobom nieuprawnionym, posiadaczom rachunku lub osobom, których transakcja dotyczy, informacje zgromadzone zgodnie z ustawą lub wykorzystuje te informacje w sposób niezgodny
z przepisami ustawy. Zakaz ujawniania informacji - w zakresie, w jakim stanowią one dane osobowe - stoi w sprzeczności z obowiązkami przewidzianymi m.in. w art. 14 i 15 RODO (np. obowiązkiem wydania podmiotowi, których dane dotyczą, kopii danych osobowych przetwarzanych przez instytucję obowiązaną).
4.2.3 Z tego względu zasadne jest wyraźne, zgodne z wymogami art. 23 ust. 2 RODO, wyłączenie w ustawie AML stosowania tych przepisów RODO, które pozostają w sprzeczności z celami ustawy AML.
Konfederacja Lewiatan, KL/198/78/AM/2018
Pobierz stanowisko >>>
