piątek, Wrzesień 25

PSD2 vs RODO: Silent parties i dane wrażliwe w projektowanych wytycznych EDPB

Google+ Pinterest LinkedIn Tumblr +

W ostatnim artykule przeszliśmy przez kilka pierwszych zagadnień poruszonych przez Europejską Radę Ochrony Danych (EDPB) w dokumencie Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR. Dzisiaj czas na kolejne, które obejmują takie kwestie jak możliwość przetwarzania danych osobowych przez tzw. silent parties czy szczególnie mnie interesująca kwestia przetwarzania danych wrażliwych jak np. biometria. W kolejnym artykule przejdziemy także przez kwestię przejrzystości przetwarzania czy zasady bezpieczeństwa, czym zakończymy analizę projektu wytycznych. Zaczynamy!

A zaczniemy od zdefiniowania czym jest tzw. „silent party”. Silent parties to nic innego jak podmioty, których dane mogą być przetwarzane w związku z wykonywaniem określonej usługi płatniczej, ale które nie są jej beneficjentem, a niejako są „poszkodowane” przetwarzaniem. Przykładowo, jeżeli korzystamy z usługi dostępu do informacji o rachunku to poza „naszymi” danymi, dostawca takiej usługi (AISP) będzie dysponował danymi osób widniejących przy transakcjach (płatnik/odbiorca płatności czy nawet niebędących stroną transakcji). Te osoby będą traktowane jako silent parties, które de facto są pozbawione praw co do przetwarzania ich danych.

W tym przypadku pojawia się więc pytanie czy – i jeżeli tak to na jakiej podstawie – przetwarzanie danych jest w ogóle możliwe, a patrząc dalej – czy można je także przetwarzać po wykonaniu samej usługi płatniczej.

EDPB wskazuje tutaj, że podstawą do takiego przetwarzania (a więc wiemy już, że możemy) jest art. 6 ust. 1 f) Rozporządzenia 2016/679, czyli niezbędność przetwarzania (cele muszą wynikać z prawnie uzasadnionych interesów m.in. administratora – charakter usługi zdefiniowanej w ustawie o usługach płatniczych czy szerzej PSD2). Istotne jest jednak przy tym to, że mamy tutaj zobowiązanie podmiotu przetwarzającego do zapewnienia odpowiednich środków ochrony praw również tych osób. EDPB stwierdza tutaj wyraźnie, że obejmuje to m.in. „(…) technical measures to ensure that silent party data are not processed for a purpose other than the purpose for which the personal data were originally collected by PISPs and AISPs” (ten wątek za chwilę nieco rozwiniemy).

Przetwarzanie po realizacji usługi? 

To jest bardzo ważny wątek praktyczny. Czy jest w ogóle możliwe przetwarzanie danych, np. na potrzeby analityczne czy marketing bezpośredni, silent parties skoro nie mamy realnie możliwości odebrać zgody od tych osób? EDPB stoi tutaj na stanowisku, że również art. 6 ust. 4 Rozporządzenia 2016/679 nie będzie tutaj wystarczającą podstawą.

No alt text provided for this image

W praktyce oznacza to więc, że nie ma co szukać uzasadnienia dla dalszego przetwarzania tych danych. Jeżeli więc mamy w tym przypadku dane osobowe w rozumieniu Rozporządzenia 2016/679, to nawet jeżeli zastosujemy odpowiednie środki, w tym np. pseudonimizację, to i tak będziemy niezgodni z RODO. Nie oznacza to, że w pewnych przypadkach – przynajmniej moim zdaniem – nie będzie można skorzystać z zebranych danych. Jeżeli bowiem dokonamy ich anonimizacji i otrzymamy dane nieosobowe, to raczej nie powinno być przeszkód, aby dane te wykorzystać. Pytanie na ile takie dane będą „cenne” z punktu widzenia analityki czy marketingu.

Dane wrażliwe 

Szerzej o wykorzystaniu danych biometrycznych w różnych produktach (w tym finansowych) pisałem w tym i tymartykule, a także tutaj w kontekście samej usługi AIS, czyli dostępu do informacji o rachunku. Tematyka ta również została poruszona przez EDPB, co ma oczywiście związek z coraz szerszym zastosowaniem różnych danych biometrycznych do świadczenia usług płatniczych.

Ogólnym problemem z danymi wrażliwymi jest to, że co do zasady – zgodnie z art. 9 ust. 1 Rozporządzenia 2016/679 – nie można ich przetwarzać, chyba że znajdzie zastosowanie któreś z wyłączeń określonych w ust. 2 (np. zgoda użytkownika, którego dane dotyczą). Ciekawe jest to, że EDPB podaje tutaj jednak też inne przykłady, które dotąd nie przychodziły mi do głowy, jak np. ujawnienie informacji odnośnie poglądów politycznych na skutek ujawnienia informacji odnośnie dotacji dla partii politycznych czy wyznania, gdy mówimy o przelewach na kościół etc. Tych przykładów jest jednak znacznie więcej. Co więcej, unijny nadzorca zwraca uwagę, że „zebranie” pojedynczych transakcji i zawartych tam danych może skutkować uzyskaniem określonych wzorców zachowań (o tym pisałem m.in. tutaj).

No alt text provided for this image

EDPB wskazuje tutaj, że mamy pewien „rozjazd” definicyjny co do „danych wrażliwych”, co rzeczywiście może sprawiać kłopoty, bo jeżeli spojrzymy przykładowo na art. 2 pkt 26c) ustawy o usługach płatniczych, to znajdziemy tam definicję szczególnie chronionych danych dotyczących płatności, a do tych danych zaliczamy – w uproszczeniu – te, które mogą być wykorzystywane do dokonywania oszustw. Jest to więc kategoria niewątpliwie węższa niż ta wskazana w art. 9 ust. 1 RODO.

W efekcie EDPB oczekuje, że dostawcy będą tworzyli mapy danych, które mogą podlegać przetwarzaniu, a nadto podmioty te będą dokonywały tzw. DPIA, czyli oceny skutków dla ochrony danych. Może to jednak okazać się o tyle trudne, że odgórne ustalenie wszystkich lub prawie wszystkich kategorii potencjalnie przetwarzanych danych, tym bardziej, że wyżej wskazane przykłady EDPB pokazują jak łatwo „wpaść” w kategorię danych wrażliwych.

Może wyłączenia? 

Jak wspomniałem powyżej art. 9 ust. 2 RODO przewiduje kilka wyłączeń, które umożliwiają przetwarzanie takich danych wrażliwych. EDPB wskazuje tutaj, że wyłączenia z lit. b-f oraz h-j raczej nie znajdują zastosowania do przetwarzania w ramach usług płatniczych, choć oczywiście takiej sytuacji nie można wykluczyć. Z tego względu mamy dość spore ograniczenia co do możliwych scenariuszy. Dostawcy pozostaje więc (w uproszczeniu):

1.     Uzyskanie zgody;

2.     Wykazanie, że takie przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym.

I jeżeli czekamy na coś więcej, to się nie doczekamy. Kropka.

Dalej EDPB wskazuje, że wykazanie przesłanki „interesu publicznego” musi wiązać się ze spełnieniem wszystkich przesłanek określonych w art. 9 ust. 2 lit g., co oznacza, że wyłącznie musi wynikać wprost z właściwego prawa (UE lub krajowego). Mamy też inne przesłanki jak proporcjonalność czy odpowiednie zabezpieczenie praw. Uff, ciężko.

A zgoda? Cóż, nic nowego. Użytkownik musi dać wyraźną zgodę i spełnić wszystkie warunki z tym związane.

No alt text provided for this image

A jeżeli nie ma właściwego wyłączenia lub dostawca nie może go wykazać? No to mamy zakaz przetwarzania takich danych. Musimy więc zapewnić, że takie dane nie będą w żaden sposób przetwarzane, w tym poprzez „techniczne” wyłączenie tych danych z dalszego przetwarzania, w tym w odniesieniu do tzw. silent parties.

Zastanawia mnie w tym miejscu jedno. Czy w takim razie rekomendowanym rozwiązaniem byłoby pozyskiwanie dwóch zgód – PSD2 oraz RODO – w celu uniknięcia zarzutu przetwarzania danych wrażliwych bez podstawy prawnej? Trudno mi raczej sobie wyobrazić sytuację, w której znajdziemy uzasadnienie w ww. wyłączeniach, a ilość – potencjalnie wrażliwych – danych znajdujących się na wyciągach czy w historii rachunku, przy założeniach, które wskazuje EDPB, może być naprawdę przytłaczająca. A może jest jakaś podstawa w prawie krajowym, o której zapomniałem?

Udostępnij.

Zostaw komentarz