Nad tym dylematem powinny się pochylić instytucje przygotowujące się do wejścia w życie nowych przepisów
Zarówno dyrektywa PSD II, jak i rozporządzenie GDPR są przedmiotem silnego zainteresowania rynku, w tym licznych konferencji i wydarzeń branżowych. Wciąż jednak za rzadko mówi się o obszarach, gdzie te regulacje wzajemnie się przenikają. Jednym z nich jest kwestia dysponowania przez użytkownika danymi z jego rachunku płatniczego, w szczególności historią transakcji.
PSD II przyznaje użytkownikowi rachunku płatniczego dostępnego online prawo do korzystania z usługi dostępu do informacji o tym rachunku (account information service – AIS). Prawo to pozwala, aby podmiot świadczący taką usługę (czyli account information service provider – AISP) na podstawie zgody użytkownika wystąpił np. do banku o przekazanie informacji o rachunku.
Z kolei regulacja GDPR wprowadza prawo do przenoszenia danych osobowych. Może być ono realizowane poprzez samodzielne ich przesłanie innemu podmiotowi lub poprzez żądanie przesłania danych przez jednego administratora innemu, o ile jest to technicznie możliwe. Powstaje więc pytanie, czy w przypadku danych z rachunku płatniczego będących danymi osobowymi, regulacje te wykluczają się czy uzupełniają, czyli czy można korzystać niezależnie z obydwu. Ciekawych wskazówek w tym zakresie udzielają Wytyczne dotyczące prawa do przenoszenia danych opracowane przez Grupę Roboczą art. 29 (podmiot doradczy w zakresie ochrony danych osobowych powołany przez Parlament Europejski).
Po pierwsze w dokumencie tym stwierdzono, że prawo do przenoszenia dotyczy nie tylko danych "aktywnie i świadomie dostarczonych", ale także "zaobserwowanych danych dostarczonych poprzez korzystanie z danej usługi". Mogą to być na przykład dzienniki aktywności, historia korzystania ze strony internetowej czy czynności wyszukiwania. Przy takiej szerokiej wykładni zakresu danych podlegających prawu do przenoszenia niewątpliwie dane te obejmują także historię transakcji płatniczych na rachunku osoby fizycznej.
Po drugie w Wytycznych można znaleźć bezpośrednie odniesienia do historii transakcji na rachunku, co potwierdza, że w opinii Grupy Roboczej art. 29 brak jest powodów, aby prawo do przenoszenia danych nie obejmowało tych informacji. Co więcej wytyczne te zawierają odniesienie także do przypadku "gdy osoba, której dane dotyczą, żąda przesłania informacji dotyczących jej transakcji bankowych do usługi, która pomaga jej w zarządzaniu budżetem", czyli dla przypadku typowego dla usługi AIS.
Wreszcie po trzecie z Wytycznych wynika konieczność traktowania uprawnienia do żądania przeniesienia danych i do korzystania z AIS jako dwóch niezależnych uprawnień. W dokumencie tym rozważana jest sytuacja, w której w przepisach szczególnych danej gałęzi prawa przewidziana jest odmienna od uregulowań GDPR forma przenoszenia danych. Zdaniem Grupy Roboczej art. 29 w takiej sytuacji w przypadku otrzymania żądania administrator powinien określić, czy dotyczy ono przeniesienia danych zgodnie z GDPR czy wykonania uprawnień przewidzianych w przepisach sektorowych.
Jeżeli będzie to ten drugi przypadek – przepisy GDPR nie będą miały zastosowania. Z kolei istnienie sektorowych przepisów szczególnych nie powoduje uchylenia ogólnej zasady przenoszenia danych ustanowionej w GDPR. Wytyczne wprost wskazują przy tym regulację PSD II o usłudze dostępu do informacji o rachunku jako przykład takich właśnie regulacji sektorowych.
Warto podkreślić, że uznanie prawa do korzystania z AIS i prawa do przenoszalności danych za dwa niezależne uprawnienia znajduje także uzasadnienie w ich odmiennej konstrukcji. O ile prawo do przenoszenia danych skupia się na relacji pomiędzy podmiotem danych a administratorem, to już w przypadku prawa do korzystania z usług AIS wytwarza się relacja trójpodmiotowa. Skutkuje to przede wszystkim odmiennym sposobem podejścia do uregulowania praw i obowiązków podmiotów zaangażowanych w realizację obu omawianych uprawnień. Może to być użyteczna wskazówka przy trwających obecnie projektach wdrożenia PSD II przez banki czy inne instytucje prowadzące rachunki płatnicze.
---
Zbigniew Długosz, dLK Legal
Artykuł powstał przy współpracy z kancelarią dLK Legal
Dr Zbigniew Długosz jest radcą prawnym, doktorem nauk prawnych i ekonomistą. Ukończył prawo na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego oraz finanse i rachunkowość na Uniwersytecie Ekonomicznym w Krakowie. Obronił rozprawę doktorską na Uniwersytecie Jagiellońskim (rozprawa nagrodzona Wyróżnieniem Rzecznika Finansowego). Absolwent aplikacji radcowskiej przy Okręgowej Izbie Radców Prawnych w Krakowie oraz International Study Program na Hochschule Pforzheim, gdzie uzyskał certyfikat z zakresu zarządzania międzynarodowego.
Fot. Descrier