Wstęp
Spis treści
Mimo upływu blisko trzech miesięcy od wejścia w życie regulacji ogólnego rozporządzenia o ochronie danych osobowych (dalej: RODO lub rozporządzenie)1, stosowanie jego przepisów budzi wiele wątpliwości, zwłaszcza wśród przedstawicieli branż wykorzystujących do świadczenia usług najnowsze technologie. RODO wprowadziło m.in. nowe obowiązki w zakresie rozliczalności, silniejsze prawa jednostki i ograniczenia w przepływie danych. Rozporządzenie znacząco zmieniło i zharmonizowało sposób ochrony danych osobowych osób fizycznych. Wydaje się, że w zakresie ochrony prywatności danych usługi płatnicze mogą okazać się jednym z bardziej newralgicznych obszarów.
Charakter przetwarzania danych przez dostawców usług płatniczych
Przetwarzanie danych osobowych powinno odbywać się zgodnie z przesłankami legalizującymi określonymi w art. 6 ust. 1 RODO. W szczególności administrator danych osobowych (dalej: ADO) powinien zapewnić, aby przetwarzanie danych odbywało się w sposób legalny, oraz określić cel ich przetwarzania. ADO zapewnia ponadto adekwatność przetwarzania danych osobowych w stosunku do określonego przez siebie celu, mając na uwadze czas przetwarzania i zakres przetwarzania tych danych2.
Przepisy o ochronie danych osobowych rozróżniają zakres obowiązków podmiotów przetwarzających dane osobowe w zależności od ich kwalifikacji prawnej. Kwalifikacja ta jest uzależniona od celu i sposobu przetwarzania przez ADO danych osobowych. Na gruncie RODO, jeżeli podmiot samodzielnie ustala cele i[nbsp]sposoby przetwarzania danych osobowych, powinien on być kwalifikowany jako administrator danych, natomiast jeżeli przetwarza dane osobowe w imieniu innego podmiotu, który określa cele i sposoby przetwarzania (administratora danych) – powinien być kwalifikowany jako podmiot przetwarzający (procesor, ang. processor).
Zgodnie z art. 26 RODO występuje również możliwość przypisania dwóm lub więcej podmiotom szczególnej kwalifikacji współadministratorów danych, jeżeli wspólnie określają cele i sposoby przetwarzania danych osobowych.
Dostawcy usług płatniczych (ang. Payment Service Providers, PSPs) [nbsp]najczęściej pełnią dwojaką rolę – co do części przetwarzanych danych osobowych występują w roli ADO, natomiast część danych osobowych uzyskują i przetwarzają, pełniąc rolę podmiotu przetwarzającego, zwykle jako agent rozliczeniowy na podstawie zawartej umowy agencyjnej.
Rozróżnienie między ADO i procesorami danych może mieć znaczące konsekwencje w szczególności w kontekście dokonywania płatności za pośrednictwem kart płatniczych. Z uwagi na skomplikowanie procesów transakcji płatności kartą w niektórych sytuacjach PSPs mogą mieć problem w rozróżnieniu, w jakiej roli przetwarzają dane osobowe. Należy bowiem mieć na uwadze, że transakcja kartą płatniczą powoduje udostępnienie danych wielu różnym podmiotom, od agentów rozliczeniowych po akceptantów. Każdy z tych podmiotów może pełnić jednocześnie funkcje ADO lub procesora danych.
Powierzenie przetwarzania danych osobowych
Wiele z najczęściej outsourcowanych procesów wymaga przekazywania danych osobowych, a zatem mają one znaczący wpływ na zgodność z przepisami o ochronie danych.
Procesor przetwarza dane osobowe w imieniu ADO w określonym przez ADO zakresie i calach, którymi procesor jest związany. Przetwarzanie danych przez podmiot przetwarzający zwykle następuje w ramach wykonywania umowy outsourcingu usług3. ADO i podmiot przetwarzający mogą zawrzeć umowę o powierzenie przetwarzania danych o charakterze indywidualnym lub skorzystać ze standardowych klauzul umownych4.
Kwestią o istotnym znaczeniu dla regulacji stosunku podpowierzenia danych osobowych jest forma, w jakiej umowa powierzenia powinna zostać zawarta. Zostało to uregulowane w art. 28 ust. 9 RODO, jednakże treść normy może budzić uzasadnione wątpliwości interpretacyjne. RODO statuuje bowiem wymóg, aby umowa ta została zawarta „w formie pisemnej, w tym elektronicznej”. Nasuwa się zatem pytanie, jak należy rozumieć formę elektroniczną – czy jest to forma pliku elektronicznego z podpisem kwalifikowanym5, czy też forma dokumentowa niewymagająca złożenia przez strony umowy podpisów pod dokumentem. Wydaje się, że celem ukształtowania powyższej normy w ten na pozór niejednoznaczny sposób było umożliwienie podmiotom świadczącym usługi elektroniczne, np. za pośrednictwem sieci Internet, zawierania umów powierzenia przetwarzania danych bez konieczności składania przez strony własnoręcznych podpisów pod dokumentem lub opatrzenia umowy kwalifikowanym podpisem elektronicznym. Wydaje się zatem, że celowość regulacji RODO6[nbsp]w zakresie określenia formy zawierania umowy o powierzenie przetwarzania danych przemawia za dopuszczeniem zawierania tych umów również w formie dokumentowej7.
Na skutek wejścia w życie RODO regulacja dotycząca zawierania umów powierzenia danych uległa sformalizowaniu. Przede wszystkim essentialia negotii samej umowy powierzenia uległy znacznemu rozszerzeniu. Szczególną uwagę zwrócić przy tym należy na obowiązek uregulowania w umowie powierzenia obowiązku ADO do wyboru podmiotu przetwarzającego, który będzie dawał gwarancję spełnienia wymogów technicznych i organizacyjnych koniecznych do bezpiecznego przetwarzania danych w myśl przepisów RODO8. Z obowiązkiem tym (obciążającym ADO) jest powiązane uprawnienie ADO do przeprowadzania u procesora audytów i inspekcji celem weryfikacji stosowanych przez procesora zabezpieczeń przetwarzania danych. Wykonywanie powyższego prawa przez administratorów w sposób literalny może prowadzić do dezorganizacji pracy podmiotu przetwarzającego. Wydaje się zatem niezbędne ograniczenie uprawnienia audytowego administratora danych do periodycznych okresów. Rekomenduje się ponadto uregulowanie w treści umowy powierzenia zasad rozdzielenia pomiędzy ADO a procesorem kosztów przeprowadzenia ewentualnych audytów u procesora.
Obowiązek dokonania oceny skutków ochrony danych
Regulacja RODO wprowadza obowiązek dokonania przez ADO oceny skutków przetwarzania danych osobowych (ang. Data Protection Impact Assessment, DPIA). W założeniu DPIA ma być ujętym w sporządzonym dokumencie procesem wspomagającym zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych u ADO. Polegać ma na podsumowaniu procesów przetwarzania danych osobowych, zawierać wnioski płynące z oszacowanie ryzyka związanego z przetwarzaniem danych oraz ustalać, jakie środki organizacyjne powinny zostać podjęte przez ADO celem zapobieżenia ziszczenia się tych ryzyk.Wymóg dokonania DPIA dotyczy operacji przetwarzania spełniających kryteria wskazane w[nbsp]artykule 35 RODO i[nbsp]rozpoczętych po[nbsp]dniu 25 maja 2018 r.9
Sporządzenie DPIA jest wymagane, jeżeli proces przetwarzania danych może z dużym prawdopodobieństwem wywołać wysokie ryzyko naruszenia praw lub wolności osób fizycznych przy uwzględnieniu charakteru, kontekstu, zakresu i celu przetwarzania danych10. W szczególności DPIA jest konieczne do przeprowadzenia w przypadku, gdy proces przetwarzania danych oparty jest np. na profilowaniu11.
Na stronie Urzędu Ochrony Danych Osobowych zamieszczono propozycję wykazu rodzajów przetwarzania, dla których jest wymagane prowadzenie oceny skutków dla ochrony danych. W odniesieniu do treści wytycznych12[nbsp]nasuwa się wniosek, że przetwarzanie danych osobowych przez PSPs będzie wymagało sporządzenia DPIA z uwagi na fakt, że ryzyko naruszenia danych osobowych osób fizycznych w związku z przetwarzaniem danych może być uznane przez organ nadzoru za wysokie. Wniosek taki wynika przede wszystkim z faktu, że PSPs w większości przypadków do przetwarzania danych osobowych stosują nowe technologie, przetwarzają ponadto dane osobowe przez aplikacje mobilne lub innego rodzaju serwisy elektroniczne na dużą skalę, a przetwarzanie to może obejmować dane osobowe znacznej liczby osób. Co najbardziej istotne, przetwarzanie danych przez PSPs najczęściej wymaga monitorowania zachowań wielu osób polegającego na przykład na stałej analizie dokonywanych transakcji płatniczych przez te osoby.
Ocena skutków przetwarzania co do zasady powinna obejmować jeden typ operacji przetwarzania lub podobnych rodzajów typów operacji przetwarzania, jeżeli wiążą się one z podobnymi ryzykami dla ochrony danych. Należy przy tym pamiętać, że obowiązek dokonania DPIA dotyczy wyłącznie ADO, nie procesorów danych. Jednakże DPIA ma na celu poniekąd wyznaczenie niezbędnego zakresu technicznego i organizacyjnego zabezpieczenia danych, który będzie niewątpliwie oddziaływał na samą treść umowy o powierzenie przetwarzania danych.
Regulacja RODO nie określa wprost zakresu środków organizacyjnych i technicznych, jakie powinny być zastosowane celem zabezpieczenia procesu przetwarzania danych osobowych –środki te powinny być dostosowane do ryzyk wskazanych w DPIA.
PSD II a RODO
Zrewidowana dyrektywa w sprawie usług płatniczych (PSD II)13[nbsp]i RODO mają wspólny obszar regulacyjny, którym jest udostępnianie danych osobowych klienta oraz ich bezpieczeństwo. Celem obu regulacji jest lepsza ochrona konsumenta, natomiast sposób osiągnięcia tego celu został w obu aktach uregulowany w sposób pozornie wzajemnie sprzeczny.
Dyrektywa PSD II zawiera upoważnienia dla banków do udzielania dostawcom zewnętrznym (ang. Third-Party Providers, TPP) informacji o kontach klientów i dotyczących ich informacji finansowych. Podkreślenia wymaga fakt, że udostępnienie takich informacji przez bank nie wymaga zawarcia jakiejkolwiek umowy pomiędzy bankiem a TPP.
RODO koncentruje się na zakazie udostępniania przez dostawców usług płatniczych danych osobowych ich klientów, dopóki klienci ci nie wyrażą zgody na takie ich przetwarzanie. W tym kontekście należy zauważyć, że PSD II reguluje własne zasady dostępu do danych osobowy klientów, zwłaszcza w zakresie nowych usług płatniczych, takich jak PIS i AIS14. Wydaje się zatem, że regulacja PSD II, zamiast zastępować, uzupełnia przepisy dotyczące ochrony danych ukonstytuowane przez RODO. Dyrektywa PSD II zwiększa wymogi udzielenia przez klienta wyraźnej zgody na świadczenie usług płatniczych i wprowadza zasadę pobierania od klientów tylko tych danych, które są niezbędne do świadczenia usługi15. Zasady te nie są jednakże całkowicie zgodne z zasadami ochrony danych osobowych opisanymi w RODO. Dla przykładu można wskazać, że PSPs nie mogą przechowywać „wrażliwych danych o płatnościach”, przy czym kategoria danych wrażliwych na gruncie regulacji PSD II nie odpowiada kategorii sensytywnych danych osobowych na gruncie art. 9 RODO.
Ponadto art. 94 PSD II stanowi, że dostęp, przetwarzanie lub archiwizacja danych niezbędnych do świadczenia usług następuje wyłącznie za wyraźną zgodą użytkownika. Natomiast na gruncie RODO zgoda jest tylko jedną z możliwych przesłanek legalizujących przetwarzanie danych osobowych16. Przy czym wyrażenie zgody przez konsumenta jest przesłanką niezależną od innych podstaw przetwarzania danych. W kontekście usług informacyjnych dotyczących rachunków (AIS) i usług inicjowania płatności (PIS) mogą być one wykonywane tylko po uzyskaniu przez dostawców tych usług wyraźnej zgody użytkownika.
Wreszcie, TTPs nie powinni stosować zasad ścisłego ograniczenia celu i minimalizacji danych przy rozważaniu dalszego korzystania z uzyskanych danych osobowych użytkowników17. Pewne wyjątki mają zastosowanie, jeżeli na przykład cel wtórnego przetwarzania danych pozostaje w zgodzie z pierwotnym celem przetwarzania danych. Należy zauważyć, że PSD II również reguluje zasady retencji i adekwatności używania danych klientów innych niż niezbędne do wykonania usługi płatniczej.
W doktrynie18 pojawia się pogląd, że obie regulacje tylko pozornie mają wobec siebie konkurencyjny charakter, a zatem uprawnienia wynikające z RODO i PSD II nie wykluczają się wzajemnie i mogą przysługiwać odbiorcom usług płatniczych w sposób niezależny od siebie. Wydaje się zatem, że PSPs w każdym przypadku przetwarzania danych osobowych powinny indywidualnie rozważyć, która regulacja – PSD II czy RODO – znajdzie zastosowanie do danej sytuacji.
[nbsp]
Katarzyna Lamczyk
radca prawny, partner działu prawnego w Kancelarii LTC Aquila Zarzycki Niebudek Adwokaci i Doradcy Podatkowi sp.k.; specjalizuje się w zakresie prawa ochrony danych osobowych, usług compliance oraz obsłudze startupów; ekspert i szkoleniowiec w Akademii LTCA.
[nbsp]
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).
[2] Zob. art. 5 lit. a), b) i c) RODO, określający naczelne zasady przetwarzania danych osobowych. Kluczowe wydają się przede wszystkim trzy pierwsze zasady określone przez omawiany artykuł, mianowicie zasada legalności, celowości i adekwatności przetwarzania danych. Zasada legalności (lawfulness) oznacza oparcie podstaw przetwarzania danych na jednej z przesłanek legalizujących, które zostały określone w art. 6 RODO. Zasada ceowości (purpose limitation) oznacza przetwarzanie danych tylko w celu określonym przez ADO, natomiast zasada adekwatności (data minimisation) zobowiązuje ADO do ograniczenia przetwarzania danych do zakresu niezbędnego do osiągnięcia celów przetwarzania.
[3] M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie, Warszawa 2016, s. 206.
[4] Motyw (81) preambuły do RODO.
[5] Zgodnie z art. 78(1) ustawy – Kodeks cywilny – forma elektroniczna stanowi odrębną formę, w jakiej może być dokonana czynność prawna, równorzędna formie pisemnej.
[6] Zob. również: red. P. Litwiński, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych. Komentarz, Warszawa 2018, komentarz do art. 28 RODO.
[7] Por. również wyrok TSUE z 16 listopada 2010 r. – sprawa C-261/09, Mantello.
[8] Tak. art. 28 ust. 1 RODO, zob. również J. Byrski, Outsourcing w działalności dostawców usług płatniczych, Warszawa 2018, s. 391.
[9] Szerzej Wytyczne Grupy Roboczej art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, przyjęte dnia 4 kwietnia 2017 r.
[10] Zob. art. 35 RODO.
[11] Zob. art. 35 ust. 3 pkt a RODO.
[12] Wytyczne uwzględniają przede wszystkim operacje przetwarzania danych dokonywane poprzez gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych.
[13] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (dalej jako „PSD II”).
[14] PIS – Payment Initiation Services, a[nbsp]więc o[nbsp]usługi inicjowania płatności, oraz AIS – Account Information Services jako usługi dostępu do rachunku.
[15] Zob. art. 94 PSD II.
[16] Inne przesłanki obejmują np. konieczność wywiązania się z obowiązku prawnego lub zawarcia, lub wykonania umowy.
[17] Zgodnie z art. 5 ust. 1 lit. b) RODO dane osobowe muszą być zbierane wyłącznie w ściśle określonych celach i nie mogą być dalej przetwarzane w innych celach.
[18] Szerzej zob. Z. Długosz. M. Mostowik, Dysponowanie danymi z rachunku w świetle przepisów PSD2 i RODO, Monitor Prawa Bankowego, maj 2018 r.