GDPR, a dane biometryczne w działalności banków | Dr Anna Jóźwicka
GDPR a dane biometryczne
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe („Prawo bankowe”) jest jednym z tych krajowych aktów prawnych, które będą podlegać zmianom w związku z, planowanym na dzień 25 maja 2018 r., rozpoczęciem stosowania GDPR. Zmiana przepisów Prawa bankowego została przewidziana w projekcie ustawy pn. "Przepisy wprowadzające ustawę o ochronie danych osobowych” z dnia 12 września 2017 r.
Biometria w bankowości
Wśród projektowanych zmian Prawa bankowego znajdują się rozwiązania przewidujące wykorzystanie w działalności banków tzw. danych biometrycznych. Poprzez „dane biometryczne” GDPR nakazuje rozumieć takie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Jako przykład danych biometrycznych GDPR wskazuje wizerunek twarzy i dane daktyloskopijne.
W myśl proponowanych w tym zakresie, na szczeblu krajowym, rozwiązań, bank będzie mógł żądać danych biometrycznych od swoich pracowników i klientów.
Dane biometryczne pracowników
Pierwsza z powyższych możliwości (pozyskiwanie danych biometrycznych pracowników) zaistnieje w sytuacji, w której podanie takich danych będzie konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank oraz kontrolę dostępu do pomieszczeń. Celem takiej regulacji jest zapobieżenie dostępowi do takich informacji i pomieszczeń przez osoby nieuprawnione. Wśród danych biometrycznych, których bank będzie mógł żądać od pracowników, wymienia się odciski palców, głos, obraz rogówki i sieci żył palców. Projekt zmian w Prawie bankowym ogranicza w czasie możliwość przechowywania danych biometrycznych pracownika – do okresu jego zatrudnienia.
Dane biometryczne klientów
Projekt ustawy pn. „Przepisy wprowadzające ustawę o ochronie danych osobowych”, datowany na 12 września 2017 r., stwarza również podstawę do przetwarzania przez banki danych biometrycznych klientów w zakresie realizowanych zadań, dla celów prowadzonej działalności bankowej.
Celem takiego przetwarzania ma być identyfikacja lub weryfikacja tożsamości osoby fizycznej (w praktyce – klienta), a także uwierzytelnienie czynności dokonywanej przez osobę fizyczną (w praktyce – klienta). Warto w tym miejscu wskazać, że obecnie obowiązujące rozwiązania zakładają jedynie możliwość przetwarzania przez banki informacji zawartych w dokumentach tożsamości osób fizycznych (art. 112b Prawa bankowego).
Autorzy projektu zmian Prawa bankowego uprawnienie do przetwarzania danych biometrycznych w rozumieniu GDPR przyznają również instytucjom utworzonym na podstawie art. 105 ust. 4 Prawa bankowego, tj. instytucjom utworzonym przez banki, wspólnie z bankowymi izbami gospodarczymi, upoważnionym do gromadzenia, przetwarzania i udostępniania (a w myśl nowego, proponowanego brzmienia ww. przepisu – do gromadzenia, przetwarzania, w tym profilowania i udostępniania) na rzecz określonej grupy podmiotów, w tym na rzecz banków i instytucji kredytowych, określonych kategorii informacji, w szczególności informacji stanowiących tajemnicę bankową.
W świetle projektowanych zmian Prawa bankowego, minister właściwy do spraw informatyzacji, w porozumieniu w ministrem właściwym do spraw instytucji finansowych określi, w drodze rozporządzenia, sposób przetwarzania danych biometrycznych, uwzględniając zapewnienie – odpowiedniej do zagrożeń - ochrony przetwarzanych danych biometrycznych.
Prace w toku
Wskazane wyżej, projektowane zmiany w Prawie bankowym będą stwarzać formalnoprawną podstawę do zastosowania przez banki biometrii, jako nowoczesnego rozwiązania w zakresie identyfikacji pracowników i klientów. Należy mieć jednak na względzie, że ustawa zmieniająca Prawo bankowe w tym zakresie nie została jeszcze uchwalona – prace nad projektem ustawy są w toku. Na ostateczny kształt rozwiązań dotyczących wykorzystania biometrii w praktyce funkcjonowania sektora bankowego przyjdzie nam zatem jeszcze poczekać.