Ministerstwo Cyfryzacji opublikowało 14 września 2017 r. kompletny projekt nowej ustawy o ochronie danych osobowych i projekt ustawy wprowadzającej.
Dziś skupię uwagę na zmianach w ustawie Prawo bankowe wynikających z projektu ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych z dnia 12 września 2017 r. w związku z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Dane osób fizycznych. Banki w zakresie realizowanych zadań będą mogły przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej, a także uwierzytelnienia czynności dokonywanej przez osobę fizyczną. (Art. 112b.)
Wyłączenia od obowiązków RODO. Banki będące administratorami danych nie będą obowiązane do:
- wykonywania obowiązków tj. m.in. zautomatyzowanego podejmowania decyzji w tym o profilowaniu, w przypadku przetwarzania danych osobowych, na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz przeciwdziałania przestępstwom,
- zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli takie zawiadomienie może spowodować naruszenie stabilności funkcjonowania sektora bankowego;
- udzielania informacji i prowadzenia komunikacji częściej niż raz na 3 miesiące a w przypadku żądania klienta udostępniania informacji częściej niż raz na 3 miesiące, bank jest uprawniony do pobrania opłaty w wysokości odpowiadającej kosztom poniesionym w związku z udzieleniem informacji, ale uprawnienie do przenoszenia danych nie dotyczy przenoszenia danych, które stanowią tajemnicę przedsiębiorstwa. (Art. 112e. 1.)
Instytucje zbiorowe. Banki będą mogły, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania, w tym profilowania i udostępniania. (Art. 105 ust. 4)
Wymiana danych. Banki, instytucje pożyczkowe, będą mogły przetwarzać, w tym dokonywać profilowania, i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
- uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
- przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych (Art. 106d.)
Dane o karalności pracowników. W przypadku pracownika i osoby ubiegającej się o zatrudnienie na stanowisku umożliwiającym dostęp do danych dotyczących banku lub klientów banku, bank będzie mógł żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym (Art. 13c)
Dane biometryczne pracowników. Bank będzie miał prawo żądać od pracownika danych biometrycznych, w szczególności w postaci odcisków palców, głosu, obrazu rogówki i sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i pomieszczeń. Bank ma prawo przechowywania informacji i danych wyłącznie przez okres zatrudnienia pracownika. (Art. 13c ust. 2 , 3 ,4)
Przetwarzanie automatyczne. W celu oceny zdolności kredytowej, analizy ryzyka kredytowego, do celów statystycznych i analiz bank będzie mógł przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie. (Art. 70 ust. 1, Art. 105a ust. 1).