poniedziałek, Sierpień 19

Na styku AML, RODO, PSD2 i wideoweryfikacji, czyli nawiązanie relacji z bankiem z użyciem cech biometrycznych. Studium przypadku

Google+ Pinterest LinkedIn Tumblr +

Wykorzystanie biometrii w sektorze finansowym powoli staje się standardem. Z jednej strony jest to wynik dbałości o jak najlepsze odczucia użytkowników (User Experience – UX), a z drugiej fakt, że dane biometryczne uznaje się często za „niezaprzeczalne” (w kontekście identyfikacji użytkownika). Sposobów wykorzystania biometrii w sektorze finansowych można wskazać co najmniej kilka. Jest ona dobrym „narzędziem” do „onboardowania” użytkownika (zawarcie umowy), autoryzowania transakcji, analizy prawdopodobieństwa oszustwa płatniczego, jak i oceny zdolności kredytowej. Ponieważ jednak tego typu dane (np. wzór linii papilarnych czy siatkówki oka, jak również określony wzorzec zachowania) są niezwykle wrażliwe i prywatne, ich wykorzystanie na potrzeby świadczenia usług lub spełniania określonych wymogów prawnych związane jest z określonymi obowiązkami. Przejdziemy dzisiaj przez te obowiązki na konkretnym przykładzie – nawiązania relacji z bankiem X. Dzisiaj pierwsza część – nawiązanie relacji, a za tydzień autoryzacja transakcji oraz przeciwdziałanie oszustwom płatniczym plus bonus (ocena zdolności kredytowej).

Czym w ogóle są dane biometryczne? W przepisach trudno znaleźć konkretną (wystarczającą) definicję i dlatego trzeba raczej odnosić się do pojęć pokrewnych. Rozporządzenie 2016/679 (RODO) za dane biometryczne uważa takie dane osobowe (w odpowiedni sposób przetworzone), które dotyczą cech fizycznych, fizjologicznych lub behawioralnych i które potwierdzają jednoznaczną identyfikację tej osoby (w szczególności będzie to TouchID – linie papilarne, jak i FaceID (wizerunek twarzy). Pokrywa się to z jednym z elementów silnego uwierzytelnienia klienta wymaganego przez Rozporządzenie 2018/389 – cechą klienta, czyli „coś czym ten klient jest” (w preambule – tiret 6 – znajdziemy dalsze wskazówki jak należy te cechy rozumieć).

Nawiązujemy relację z klientem (Know Your Customer – KYC)

Załóżmy, że zawarcie umowy z bankiem X nastąpi z użyciem wideoweryfikacji (o komunikacie KNF w tej sprawie pisałem tutaj). Wytyczne Komisji Nadzoru Finansowego skupiają się na aspekcie przeciwdziałania praniu brudnych pieniędzy. Wykorzystując dowód osobisty potencjalnego klienta, jak również jego zdjęcie – bądź kontakt „na żywo – (służące do porównania i wykazania autentyczności) w celu otwarcia rachunku, bank dokonuje przetwarzania danych biometrycznych.

Wynika to zasadniczo z dwóch podstaw prawnych. Po pierwsze obowiązek dokonania takiej analizy ciąży na banku jako instytucji zobowiązanej (art. 2 ustawy o AML) i obliguje do stosowania tzw. środków bezpieczeństwa finansowego (art. 33 i 34 ww. ustawy – tutaj warto zwrócić uwagę na odstępstwa z art. 38 dotyczące pieniądza elektronicznego). Aby dokonać takiej weryfikacji bank będzie musiał więc przetworzyć te dane w celu weryfikacji czy dana osoba nie znajduje się przykładowo na listach sankcyjnych. Podstawą przetwarzania tych danych będzie zarówno art. 106 ustawy Prawo bankowe, jak i art. 10a ustawy o usługach płatniczych (uUP), który zwalnia z obowiązku przekazywania danych odnośnie danej osoby (na jej żądanie) zgodnie z art. 15 RODO.

Przetwarzamy dane…

Samo przetwarzanie danych biometrycznych jest co do zasady zabronione (co wynika z art. 9 ust. 1 RODO). W ust. 2 przewidziano jednak odstępstwa od tej zasady. Tego typu dane mogą być w omawianym przez nas przypadku przetwarzane przez bank X (jako administratora danych osobowych) na podstawie wyraźnej zgody (pkt a) potencjalnego klienta (w aplikacji mobilnej konieczne jest „wymuszenie” takiej zgody – np. thickbox i rejestracja w logach systemowych), jak i ww. przepisów uUP oraz ustawy o AML (z zastrzeżeniem jak poniżej).

Pojawia się przy tym dość istotne pytanie czy przetworzenie danych biometrycznych rzeczywiście jest niezbędne na potrzeby procesu KYC. Patrząc przez pryzmat art. 36, który określa katalog danych, jakie instytucja obowiązana musi wziąć pod uwagę przy badaniu AML (m.in. imię i nazwisko czy adres zamieszkania), dane te nie są wymagane do zakończenia procesu. Innymi słowy, aby powołać się na ww. przepisy uUP oraz ustawy o AML, musielibyśmy się ograniczyć to pozyskiwania tych danych. Z drugiej strony, jeżeli system weryfikacji klientów zastosowany w Banku X niejako wzmacnia tą weryfikację poprzez analizę „twarzy” z różnymi bazami danych, np. dotyczących osób prowadzących działalność terrorystyczną, to trudno nie powołać się na taką podstawę (w ostateczności bankowi X pozostaje art. 106 Prawa bankowego i ewentualnie powołanie się na zgodę klienta – czy jednak w takiej sytuacji obowiązuje nas art. 10a uUP?).

Co przetwarzamy?

Na chwilę odejdźmy od podstawy do przetwarzania danych na potrzeby AML i wróćmy do kwestii dotyczącej nawiązania samej relacji przez bank poprzez wideoweryfikację. Załóżmy, że mamy zgodę na wykorzystanie danych biometrycznych klienta. Jakie dane będziemy przetwarzali w naszych systemach? Na pewno będzie to „wzorzec” twarzy, który wykorzystamy do porównania – z użyciem określonej liczby punktów charakterystycznych – ze zdjęciem z dowodu. To będzie podstawowe źródło z którego bank X skorzysta. Czy mamy jednak coś więcej?

Przejdźmy na chwilę do komunikatu KNF w sprawie wideoweryfikacji. Urząd rekomenduje w tym dokumencie stosowanie różnych technik i metod weryfikacji czy otwarcie rachunku nie jest jednym z etapów oszustwa (np. prania brudnych pieniędzy). Jedną ze wskazówek jest konieczność badania przez upoważnionego pracownika „nietypowych” zachowań użytkownika, np. czy nie jest on nerwowy lub pod wpływem środków odurzających, co może uprawdopodobnić oszustwo. Wprawdzie przy nawiązaniu relacji nie posiadamy wzorca „typowego” zachowania użytkownika, a więc o klasycznym wykorzystaniu danych behawioralnych nie rozmawiamy, jednakże tego typu analiza (prowadzona nie tylko przez pracownika, ale i algorytm) teoretycznie może stanowić przetwarzanie danych biometrycznych (tutaj w przypadku podejrzenia i przekazania danych do właściwych organów mamy inną podstawę prawną).

Zakres danych może być więc szerszy niż tylko odwzorowanie pewnych punktów twarzy, czego pewnie nie zawsze mamy świadomość. Oczywiście należy mieć świadomość, że interpretacja takiego zachowania jako „cechy” dokonana przez właściwe organy może się różnić od mojej.

Jakie inne obowiązki?

Abstrahując od obowiązków wynikających z ustawy o AML musimy spełnić liczne obowiązki określone zarówno w RODO (art. 24 i następne), jak i ustawie o ochronie danych osobowych (obejmuje to również odpowiednie wymogi organizacyjne, jak ustanowienie inspektora ochrony danych). Podstawowym wymogiem będzie tutaj przede wszystkim wdrożenie środków technicznych, które uniemożliwiają (lub minimalizują ryzyko) dostęp do danych przez osoby trzecie. Obejmuje to także wdrożenie odpowiednich procedur i procesów, które uwzględniają ten szczególny tryb przetwarzania danych osobowych.

Osoby, które odpowiadają za bezpośredni kontakt z przyszłym klientem również powinny być w odpowiedni sposób przeszkolone w zakresie ochrony tych danych biometrycznych. Ważne jest również zastosowanie odpowiednich zabezpieczeń (w tym umownych), jeżeli korzystamy z podwykonawców (tutaj i tak „wpadamy” w reżim outsourcingu bankowego (art. 6a i następne Prawa bankowego) – warto również spojrzeć na art. 35 RODO (ocena skutków dla ochrony danych).

Co dalej?

W kolejnym artykule przejdziemy na kolejne etapy relacji z bankiem X. Zaczniemy od uzyskania kredytu i oceny zdolności, a następnie będziemy chcieli wykonać transakcję płatniczą z użyciem FaceID/TouchID.

Udostępnij.

2 komentarze

  1. Witam,

    Bardzo pomocny i ciekawy artykuł.

    W mojej ocenie dla pozyskania danych osobowych dla celów szeroko pojętego AML/CFT pomocnym może być Art. 9 punkt 2 lit g który określa, że przetwarzanie danych sensytywnych ( w tym biometrycznych ) może być dokonywane w sytuacji gdy:

    “przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;”

    Zgoda ma tą cechę, że może być odwołana i wtedy w komunikacji zewnętrznej/procedurach wewnętrznych było by konieczne przejście na inną przesłankę przetwarzania.

    Administratorzy danych zawsze też muszą pamiętać o “ograniczeniu celu przetwarzania danych osobowych” aby nie wykorzystywali danych zebranych w celach przeciwdziałania przestępczości do np. marketingu.

    Czekam z niecierpliwością na kolejne części 🙂

    Pozdrawiam
    Paweł

    • Michał Nowakowski on

      Bardzo się cieszę, że artykuł może być pomocny. No i oczywiście bardzo dziękuję za wartościowy komentarz. Oby takich więcej!

Zostaw komentarz