Rzeczpospolita: Pretekstem do rozmowy jest pytanie czytelnika, który miał wątpliwość, czy jego bank ma prawo podczas rozmowy telefonicznej zadawać pytania weryfikacyjne, dotyczące m.in. daty urodzenia, numeru PESEL oraz dowodu osobistego. Czytelnik uznał te dane za wrażliwe i zastanawiał się, czy takie praktyki są zgodne z prawem.

Edyta Bielak-Jomaa: W pierwszej kolejności warto się odnieść do kwestii danych wrażliwych. Wbrew bowiem opinii czytelnika wymienione informacje do takiej kategorii się nie zaliczają. O ile sam katalog danych osobowych tzw. zwykłych nie jest zamknięty i za takie należy uznać wszystkie informacje, które – bez potrzeby ponoszenia nadmiernych kosztów i w stosunkowo szybkim czasie – pozwalają zidentyfikować osobę, o tyle katalog danych wrażliwych jest ściśle określony w ustawie. Zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych za dane wrażliwe uważa się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jest to katalog zamknięty, w związku z czym tylko te informacje mogą być uznane za dane szczególnie chronione.

Jednak zgodnie jednak z prawem wszystkie dane osobowe zasługują na ochronę, a administrator danych jest obowiązany stworzyć do tego odpowiednie warunki.

Oczywiście. Zgodnie z art. 36 ustawy o ochronie danych osobowych administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Czy zatem bank musi weryfikować dane osoby zlecającej transakcję i czy wskazana przez czytelnika praktyka jest zgodna z prawem?

Należy rozróżnić dwie kwestie, a mianowicie: zakres danych osobowych, do których bank może mieć dostęp, od sposobu ich weryfikowania, będącego jedną z form przetwarzania danych osobowych. Co do zakresu danych pozyskiwanych przez różne podmioty, to ustawa o ochronie danych osobowych często odsyła do przepisów szczególnych, regulujących działalność określonych sektorów. Tak jest właśnie w przypadku banków. Jako podmioty zobligowane do stosowania środków bezpieczeństwa finansowego działają one na podstawie własnych aktów prawnych, m.in. ustawy – Prawo bankowe, ustawy o przeciwdziałaniu praniu pieniędzy oraz o finansowaniu terroryzmu. Zawarte w nich regulacje nie tylko upoważniają, ale wręcz zobowiązują te instytucje do weryfikacji danych osobowych klientów. W szczególności dotyczy to przeprowadzania transakcji, których równowartość przekracza 15 tys. euro, lub wszystkich innych transakcji, których okoliczności wskazują, że mogą one mieć związek z praniem pieniędzy lub finansowaniem terroryzmu. Wskazuje na to art. 8 ustawy o przeciwdziałaniu praniu pieniędzy. W takim przypadku, jak stanowią kolejne artykuły powołanej ustawy, weryfikacja danych polega na sprawdzeniu oraz potwierdzeniu danych i następuje przed zawarciem umowy z klientem lub przed przeprowadzeniem transakcji. W przypadku osób fizycznych i ich przedstawicieli identyfikacja następuje poprzez ustalenie i zapisanie cech dokumentu stwierdzającego tożsamość osoby, a także imienia, nazwiska, obywatelstwa oraz adresu osoby dokonującej transakcji, a ponadto numeru PESEL lub daty urodzenia (zakres informacji zależy od obywatelstwa i rodzaju dokumentu, jakim posługuje się dana osoba).

Czy to bank decyduje o metodach przeprowadzenia weryfikacji?

Procedury instytucji obowiązanej powinny określać metody weryfikacji uzależnione od zidentyfikowanej klasy ryzyka, która może być wyższa, np. gdy klient nie jest obecny. Instytucja obowiązana ma zatem prawo określić, kiedy stosuje weryfikację klienta przy użyciu metod opartych na dokumentach, kiedy stosuje niedokumentowe metody weryfikacji, a kiedy kombinację obu tych metod.

Zatem w przypadkach stosowania ustawy o przeciwdziałaniu praniu pieniędzy należy stosować powyższe procedury. W innych zaś sytuacjach, przy telefonicznej weryfikacji klienta przez bank, zawsze powinna być pewność, że rozmowa prowadzona jest tylko między uprawnionymi do niej podmiotami. Obowiązuje bowiem tajemnica bankowa zobowiązująca bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, do zachowania w poufności wszystkich danych osobowych związanych z działalnością bankową. W kontaktach telefonicznych należy zatem zachować daleko idącą ostrożność i do każdego przypadku podejść indywidualnie.

A jeżeli pytania konsultanta nie są związane z transakcją realizowaną na zlecenie klienta, ale dotyczą np. spersonalizowanej oferty marketingowej?

W takim przypadku można podzielać obawy czytelnika, że przekazywanie danych drogą telefoniczną może być uznane za nie w pełni bezpieczne, choćby ze względu na brak całkowitej pewności co do identyfikacji rozmówcy – zwłaszcza gdy instytucją inicjującą rozmowę jest bank, a numer przychodzącego połączenia jest nam nieznany. Jeśli celem weryfikowania danych klienta jest jedynie przedstawienie mu spersonalizowanej oferty marketingowej, to w obawie o bezpieczeństwo danych może on odmówić udzielenia odpowiedzi bądź zrezygnować z usług marketingowych przedstawianych drogą telefoniczną.