RODO a PSD2 – najnowsze wytyczne dla sektora FinTech!
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE, czyli tzw. dyrektywa PSD2, to unijna dyrektywa, która dotyczy usług płatniczych. Głównym jej celem było zwiększenie bezpieczeństwa a także zapobieganie nadużyciom finansowym w obrocie bezgotówkowym. Pomimo tego, że PSD2 stwarza nowe możliwości dla konsumentów, jej stosowanie może budzić pewne wątpliwości co do tego czy konsumenci w dalszym ciągu zachowują pełną kontrolę nad swoimi danymi osobowymi przetwarzanymi poprzez wszelkiego rodzaju instytucje płatnicze. Z uwagi na powyższe, w celu rozwiania wszelkich wątpliwości, Europejska Rada Ochrony Danych (dalej zwana „EDPB”) opublikowała wytyczne 6/2020 w sprawie współzależności pomiędzy dyrektywą PSD2 a RODO (wytyczne dostępne na: https://uodo.gov.pl/pl/file/3025). Przedmiotowe wytyczne omawiają tak istotne kwestie jak podstawy prawne przetwarzania danych osobowych w usługach płatniczych, wykorzystywania tych danych w innych celach niż te, dla których je zebrano, problematyka zgody z art. 94 ust. 2 PSD2. Wytyczne omawiają także sytuacje tzw. „silent parties” oraz wskazują, że poprzez usługi płatnicze dostawcy tych usług mogą także przetwarzać szczególne kategorie danych osobowych.
1/ Podstawa prawna do przetwarzania danych osobowych w ramach usług płatniczych
EDPB wskazuje, że podstawę prawną do przetwarzania danych osobowych w usługach płatniczych jest przede wszystkim art. 6 ust. 1 lit. b RODO, który stanowi, że przetwarzanie jest zgodne z prawem, jeżeli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umową. Wytyczne wskazują, że w tym przypadku niezmiernie istotne jest zadbanie o to, że dane osobowe przetwarzane w ramach usług płatniczych muszą być niezbędne do jej wykonania. EDPB podkreśla, że to dostawca usług jest zobowiązany do udowodnienia tego, czy przetwarzanie określonych danych jest faktycznie niezbędne. EDPB wskazuje, że w usługach płatniczych niezwykle istotne jest stosowanie jednej z podstawowych zasad przetwarzania danych osobowych – zasadę ich minimalizacji.
2/ Dalsze wykorzystywanie zgromadzonych przy okazji usług płatniczych danych osobowych
Przy okazji świadczenia usług płatniczych, u wielu dostawców tych usług powstaje pokusa do wykorzystania danych osobowych zebranych w ramach ich świadczenia w innym celu niż cel pierwotny, np. w celu marketingowym. EDPB wskazuje, że przepisy PSD2 nie sprzeciwiają się takim działaniom. Jednakże, podstawą prawną takich praktyk wcale nie będzie PSD2 lecz RODO a ściślej mówiąc art. 6 ust. 4 RODO. Przepis ten wskazuje pięć czynników, które musi spełnić dostawca aby mógł skorzystać z zebranych przez siebie danych. Wytyczne wskazują jednak, że art. 6 ust. 4 RODO nie będzie stanowił podstawy do stosowania omawianych praktyk przy danych zebranych w ramach niektórych usług, np. inicjowania płatności czy też dostępu do informacji o rachunku. W takim wypadku do dalszego wykorzystania danych osobowych w innym celu niż pierwotny, będzie konieczne uzyskanie zgody osoby, której te dane dotyczą.
3/ Zgoda z PSD2 a zgoda z RODO
Skoro został już wywołany temat zgody, to warto nadmienić, że EDPB wyraźnie wyróżnia jej dwa rodzaje: zgoda z art. 94 ust. 2 PSD2 oraz zgoda wynikająca z RODO. Art. 94 ust. 2 PSD2 stanowi, że dostawcy usług płatniczych uzyskują dostęp jedynie do danych osobowych niezbędnych do świadczenia swoich usług płatniczych, przetwarzają te dane i zatrzymują je za wyraźną zgodą użytkownika usług płatniczych. EDPB wskazuje, że zgoda z PSD2 to ogólna podstawa do przetwarzania danych przez dostawcę usług płatniczych na potrzeby jej świadczenia. Z powyższego wynika, że w przypadku gdy przy okazji świadczenia usługi płatniczej jej dostawca chce wykonywać także pewne czynności wykraczające poza jej zakres to konieczne jest uzyskanie dwóch zgód.
4/ Przetwarzanie danych osobowych tzw. „silent parties”
W pierwszej kolejności należy wytłumaczyć czym są tzw. silent parties – są to osoby, które nie są beneficjentami określonej usług płatniczej a których dane osobowe są przetwarzane niejako „przy okazji” wykonywania usług płatniczych, np. w przypadku usługi informacji o rachunku, dostawca usługi poza danymi użytkownika tej usługi będzie także przetwarzał dane osobowe osób widniejących przy transakcjach przez niego dokonywanych. To właśnie te osoby będą uważane za silent parties. Pojawia się tu więc pytanie – na jakiej podstawie odbywa się przetwarzanie tych danych osobowych? Z pomocą przychodzą wytyczne, które wskazują, że podstawą tego przetwarzania jest art. 6 ust. 1 lit. f RODO, czyli niezbędność przetwarzania dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. EDPB wskazuje jednak, że w tym przypadku niezmiernie istotne jest zapewnienie odpowiednich środków ochrony praw silent parties. Należy również wspomnieć, że w stosunku do danych osobowych silent parties nie znajdzie zastosowania art. 6 ust. 4 RODO. Oznacza to, że dalsze wykorzystywanie ich danych osobowych w celach innych niż cel w jakich je zebrano jest w zasadzie niemożliwy. Powyższe uzasadnione jest tym, że niezwykle trudno byłoby uzyskać od silent parties zgodę w tym zakresie.
5/ Przetwarzanie szczególnych kategorii danych osobowych w ramach usług płatniczych
Art. 9 ust. 1 RODO stanowi, że danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby nie można przetwarzać, chyba że znajdzie zastosowanie jedno z wyłączeń wskazanych w art. 9 ust. 2 RODO. Przy okazji usług płatniczych nasuwa się pytanie – czy tego typu dane osobowe są przetwarzane w ramach usług płatniczych? Z odpowiedzią na to pytanie przychodzą Wytyczne, które wskazują, że np. do przetwarzania danych dot. przynależności do partii politycznych można mówić już w przypadku dokonywania przelewów z tytułu składek członkowskich na rzecz tych partii. Jeżeli zaś chodzi o podstawę prawną ich przetwarzania to wytyczne wskazują, że w tym wypadku mogą być tylko dwie – art. 9 ust. 2 lit. a RODO – czyli zgoda oraz art. 9 ust. 2 lit. g RODO – czyli realizacja interesu publicznego. Jeżeli chodzi o tę drugą podstawę, to EDPB dookreśla, że interes publiczny musi wynikać wprost z danego krajowego lub unijnego przepisu prawnego.