Rozmowa z dr Maciejem Kaweckim, zastępcą Dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji
- Przepisy ustawy o ochronie danych osobowych, mają zapewnić skuteczne stosowanie w polskim porządku prawnym rozporządzenia 2016/679. Jakie istotne zmiany dla sektora bankowego i jego klientów znajdują się w projekcie?
- Dwie najważniejsze to otwarcie kanałów uwierzytelniania klientów na dane biometryczne i możliwość korzystania z takich danych. Drugim z obszarów, jest korzystanie z profili osobowych klientów w procesie decyzyjnym banku ale wyłącznie w wyraźnie wskazanych w ustawie przypadkach, w tym w związku z realizacja ciążącego na bankach obowiązku prawnego oceny zdolności kredytowej. Przepisy prawa unijnego przewidują wprost, że profilowanie może być przewidziane prawem państwa członkowskiego pod warunkiem oczywiście należytego zabezpieczenia przetwarzanych w ten sposób danych. Dotychczas instytucja profilowania była niemal całkowicie nieobecna w polskiej legislacji, przykładem jest profilowanie bezrobotnych w związku z promocją zatrudnienia. Wydaje się, że rozwój nowych technologii, coraz większy zakres usług oferowanych obywatelom i zapotrzebowania na te usługi, wymusza wypowiedzenie się w tym zakresie również w innym sektorach i bez wątpienia powinien być nim sektor bankowy. Sektor, który podlega niezwykle restrykcyjnym regulacjom, nadzorowi wyspecjalizowanych organów państwowych i daje jak nam się wydaje rękojmię należytej ochrony danych osobowych. To trzeba podkreślić bardzo wyraźnie, że nawet przepis o profilowaniu nie wyłącza obowiązku zapewnienia najwyższej ochrony danych osobowych.
- Czy dane wrażliwe w ubezpieczeniach będą lepiej chronione?
- Będą chronione tak samo dobrze, zmienią się jednak zasady ich pozyskiwania. Po pierwsze, nie wydaje mi się, aby dane wrażliwe w sektorze ubezpieczeniowym były chronione źle, albo gorzej niż w innych podobnych sektorach jak np. sektor finansowy. Punktem wspólnym obu sektorów jest to, że zarówno ubezpieczyciele jak i banki w dużym stopniu działają w oparciu o środki wpłacone przez klientów, stąd często są ze sobą porównywane. Ryzyko związane z operowaniem takimi środkami wymusza na ubezpieczycielach obowiązek szczególnego dbania o prywatność klientów, pracowników i wierzę, że tak jest. Natomiast prawdą jest, że obecne przepisy ubezpieczeniowe uzależniają możliwość pozyskania danych wrażliwych ubezpieczonych w szczególności o stanie zdrowia, od ich pisemnej zgody. Jest to zresztą zgodne z obowiązującymi polskimi przepisami o ochronie danych osobowych, które jako jedną z podstaw przetwarzania danych wrażliwych wskazują właśnie zgodę pisemną. Nowe prawo unijne to jednak zmienia, a podstawą do pozyskiwania danych szczególnie chronionych ma być zgoda wyraźna. Taka też zmiana wprowadzona zostanie wiec do prawa ubezpieczeniowego, bo o to właśnie chodzi. Nie ma znaczenia w jakiej formie zgoda będzie odebrana, ale to by ubezpieczony wyraził ją w pełni świadomie. Musi być więc zgodą wyraźną czego nie wyklucza jednak jej odebranie przykładowo przez Internet. Nie zaniża się więc ochrony danych względem dzisiejszych przepisów a wręcz przeciwnie. Jest wyrazem wzmocnienia zasady autonomii woli obywateli.
- Jakie uwagi do projektu w tej materii zgłosiły poszczególne resorty?
- Wskazane powyżej przepisy wypracowane zostały przy bardzo intensywnej współpracy z Ministerstwem Finansów. W trakcie prac legislacyjnych spotkaliśmy się również z Polską Izbą Ubezpieczeń, która reprezentuje zbiorowe interesy ubezpieczycieli.
Rozmawiała: Katarzyna Żaczkiewicz-Zborska