Tajemnica bankowa a pliki cookies

Czym jest tajemnica bankowa?

Zgodnie z art. 104 ust. 1 Prawa bankowego tajemnicą bankową objęte są wszelkie informacje, które dotyczą czynności bankowej i zostały uzyskane podczas negocjacji, czy w trakcie zawierania i realizacji umowy, będącej podstawą wykonywania czynności bankowej. Do zachowania tajemnicy bankowej zobowiązany jest bank, jego pracownicy i osoby za pomocą których bank wykonuje czynności bankowe (np. pełnomocnik czy pośrednik).

Czynności bankowe to (wykonywane przez banki): przyjmowanie wkładów pieniężnych, prowadzenie rachunków wkładów i rachunków bankowych, udzielanie kredytów, gwarancji bankowych, potwierdzanie ich, jak również udzielanie i potwierdzanie akredytyw, emisja bankowych papierów wartościowych, prowadzenie bankowych rozliczeń pieniężnych, udzielanie pożyczek, operacje czekowe, wekslowe, dotyczące warrantów, usługi płatnicze i wydawanie pieniądza elektronicznego, terminowe operacje finansowe, nabywanie i zbywanie wierzytelności pieniężnych, przechowywanie przedmiotów i papierów wartościowych, skrytki sejfowe, skup i sprzedaż dewiz, poręczenia, czynności zlecone związane z papierami wartościowymi, przekazy pieniężne, pośrednictwo w rozliczeniach w obrocie dewizowym, pośrednictwo i doradztwo w zakresie w lokatach strukturyzowanych, finansowanie społecznościowe oraz inne czynności przewidziane w ustawach poza Prawem bankowym [3]. 

Gros czynności bankowych świadczonych konsumentom – jak choćby prowadzenie rachunków, czynności związane z dewizami, udzielanie kredytów, prowadzenie lokat – jest obecnie dokonywana za pomocą bankowości mobilnej czy internetowej. Jednocześnie, strony i aplikacje bankowe zbierają znaczącą ilość danych o użytkownikach za pomocą plików takich jak cookies, pixele czy web beacons.  

Jak wspomniano powyżej, tajemnicą bankową jest każda informacja pozyskana w związku z czynnością bankową. Tajemnicą bankową są informacje zarówno stanowiące dane osobowe, jak i takie, które nie będą pozwalały na identyfikację osoby, której czynność bankowa dotyczy. Przyjęło się, że za tajemnicę bankową uznaje się nie tylko informacje dotyczące samej czynności bankowej jako takiej, ale również informacje o osobach dokonujących z bankiem tych czynności, czy innych działaniach pozostających w związku z informacją bankową [4]. Dlatego informacje o kliencie, takie jak numer rachunku bankowego czy stan salda na koncie bankowym, będą objęte tajemnicą bankową [5].

Czym są pliki cookies?
 

Pliki cookies (niewielkie pliki zapisywane na urządzeniu końcowym użytkownika, aby przesyłać do serwera macierzystego informacje o jego zachowaniu i preferencjach) są szeroko wykorzystywane przez wszelkie strony internetowe, w tym strony bankowe i strony bankowości elektronicznej.

Jeżeli informacje pozyskane dzięki plikom cookies pozwalają na ich powiązanie z konkretnym użytkownikiem, to takie informacje będą miały status danych osobowych na gruncie RODO, co powoduje konieczność stosowania przepisów o ochronie danych osobowych – w szczególności w zakresie podstawy ich przetwarzania6.

Dane z cookies służą różnym celom, w tym do personalizacji strony względem preferencji użytkowników, autouzupełnień danych logowania czy innych informacji, jak również utrzymywania preferowanych ustawień użytkownika.  Mogą także szczegółowo badać zachowanie użytkownika, jak choćby czas spędzony na poszczególnych podstronach i na oglądaniu określonych produktów bankowych. Dzięki temu, w połączeniu z innymi informacjami o np. posiadanych produktach, wysokości oszczędności i sposobach ich wykorzystania można w dokładny sposób przewidzieć potrzeby klienta bankowego, jego wrażliwość cenową, a w konsekwencji – zaproponować mu idealnie dopasowaną ofertę, także jeśli chodzi o cenę. 

Czy pliki cookie mogą stanowić tajemnicę bankową?

Cookies mogą być wykorzystywane do różnych celów - w przypadku bankowości internetowej, ważną funkcją cookies jest zapewnienie bezpieczeństwa transakcji, ale zbierane są także liczne dane personalizacyjne, przydatne do śledzenia i profilowania użytkownika. Korzystanie z bankowości internetowej czy mobilnej (w tym samo logowanie) będzie dla przykładu stanowić tajemnicę bankową (jest to element świadczenia czynności bankowej, np. prowadzenia rachunku czy lokaty), dlatego wszelkie informacje, w tym zbierane za pośrednictwem ciasteczek, będą najpewniej stanowiły tajemnicę bankową. Podobnie może być z danymi zebranymi w ramach zainteresowania klienta ofertą (początek wypełniania wniosku, wniosek odrzucony czy niekompletny), gdyż przyjmuje się, że aby uznać informację za tajemnicę bankową nie musi dojść do powstania stosunku prawnego7. 

Przetwarzanie tajemnicy bankowej w chmurze.

W przypadku przetwarzania tajemnicy bankowej należy mieć na uwadze komunikat chmurowy Urzędu Komisji Nadzoru Finansowego8. Komunikat chmurowy określa wymogi dla przetwarzania tajemnicy bankowej poprzez ww. technologie, w tym wymóg szyfrowania9 czy wymóg badania dostawców chmurowych przez bank pod kątem spełnienia wymagań określonych dla takich dostawców w komunikacie chmurowym10.  Jest to istotne, gdyż często silniki przetwarzające dane w procesie hiperpersonalizacji są umieszczone na chmurze obliczeniowej. 

W jakich celach można przetwarzać dane objęte tajemnicą bankową?

Prawo bankowe ściśle określa, w jakich przypadkach tajemnica bankowa może być przetwarzana. Dopuszczalne jest przetwarzanie przez banki informacji stanowiących tajemnicę bankową w celu wykonywania czynności bankowych (w tym w celu negocjacji, zawierania i realizacji umowy), przeciwdziałaniu wykorzystania działalności banku w celach związanych z przestępstwem, ale także w celu oceny zdolności kredytowej i analizy ryzyka kredytowego11.   

W tym ostatnim przypadku przepisy Prawa bankowego przewidują szczególne rozwiązania w sytuacji, gdy ocena zdolności kredytowej i analiza ryzyka kredytowego skutkuje podjęciem decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych (także tych, które stanowią tajemnicę bankowa). W przypadku oceny zdolności kredytowej decyzje mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu – z wyłączeniem danych wrażliwych, o których mowa w art. 9 RODO. Nie są to jednak zawsze te same procesy, które powiązane są z hiperpersonalizacją. 

Czy bank może zatem wykorzystywać dane stanowiące tajemnicę bankową dla personalizacji ofert dla klientów?

Przetwarzanie danych osobowych stanowiących tajemnicę bankową jest dopuszczalne dla celów związanych z wykonaniem czynności bankowych (w tym negocjowania i zawarcia umowy), przy czym każdorazowe decyzje w zakresie wykorzystania tajemnicy bankowej wymagają odrębne, szczegółowej analizy. Przetwarzanie tego rodzaju danych z punktu widzenia RODO może zasadniczo odbywać się w oparciu o zgodę (rozwiązanie rekomendowane przez organy unijne w przypadku plików cookie o charakterze marketingowym), a w niektórych przypadkach w oparciu o uzasadniony interes administratora (konieczny jest wtedy test uzasadnionego interesu). Niezbędne jest jednak trzymanie się obranej podstawy prawnej przetwarzania oraz respektowanie zasady ograniczenia celu przetwarzania – dane zebrane wcześniej, w celach nieujawnionych osobom, których dane dotyczą, nie powinny co do zasady być wtórnie wykorzystywane do innych celów. 

Warto mieć również na uwadze, że w Polsce wymóg zgody na ciasteczka, inne niż niezbędne (zatem m.in. cookies marketingowe i analityczne), wynika także z innych przepisów, niż przepisy o ochronie danych osobowych12.

Kłopotliwe mogą jednak okazać się kwestie techniczne, tj. podłączanie do systemów bankowych, w tym systemów zbierających dane z plików cookies, do silników przetwarzających opartych o łańcuch wielu podmiotów przetwarzających (np. dostawca cookie, dostawca silnika personalizacyjnego, dostawca chmury). W takiej sytuacji konieczne jest szczegółowe rozważenie nie tylko kwestii podstawy prawnej przetwarzania z RODO, ale także wspomnianego komunikatu chmurowego i przepisów dotyczących outsourcingu bankowego. 

Podsumowanie

Informacje zbierane przez pliki cookie w środowisku bankowości elektronicznej czy mobilnej mogą potencjalnie stanowić tajemnicę bankową. Wobec tego, ich przetwarzanie dla chociażby hiperpersonalizacji oferty klienckiej wymagać będzie nie tylko analizy z punktu widzenia RODO, ale także Prawa Bankowego i wytycznych regulatorów. Silniki do hiperpersonalizacji często są dostarczane przez dostawców, którzy korzystają z chmury – wobec czego należy mieć na uwadze komunikat chmurowy oraz kwestie outsourcingu bankowego.  

Prawo bankowe i finansowe

Kancelaria EY Law doradza przy złożonych projektach z zakresu prawa bankowego i prawa finansowego. Oferujemy usługi z zakresu doradztwa regulacyjnego i compliance.

Czytaj więcej

Prawo pracy

Kancelaria EY Law doradza przy złożonych projektach z zakresu prawa pracy.

Czytaj więcej