RODO | Tajemnica bankowa | Prawo bankowe
Relacja między RODO a tajemnicą bankową nie sprowadza się do prostego pytania o pierwszeństwo jednego z tych reżimów. RODO reguluje zasady przetwarzania danych osobowych, natomiast tajemnica bankowa ustanawia szczególny reżim poufności informacji związanych z czynnościami bankowymi. W praktyce oba porządki często się nakładają, lecz nie są tożsame.
Informacja objęta tajemnicą bankową może jednocześnie stanowić daną osobową, jeżeli dotyczy zidentyfikowanej albo możliwej do zidentyfikowania osoby fizycznej. Nie każda informacja objęta tajemnicą bankową będzie jednak daną osobową w rozumieniu RODO i nie każda dana osobowa przetwarzana przez administratora będzie automatycznie objęta tajemnicą bankową.
Tajemnica bankowa jako odrębny reżim poufności
Prawo bankowe przewiduje szeroki obowiązek zachowania tajemnicy bankowej. Obejmuje ona informacje dotyczące czynności bankowych oraz osób będących stroną umowy, uzyskane na etapie negocjacji, zawierania i wykonywania umowy. Co do zasady informacje te nie mogą być ujawniane osobom trzecim, chyba że istnieje podstawa wynikająca z ustawy albo osoba uprawniona udzieli skutecznego upoważnienia.
Z tego względu sama podstawa przetwarzania danych osobowych wynikająca z RODO nie przesądza jeszcze o dopuszczalności ujawnienia informacji objętej tajemnicą bankową. Jeżeli dana informacja podlega temu szczególnemu reżimowi poufności, konieczna jest również podstawa jej ujawnienia wynikająca z Prawa bankowego albo innego przepisu szczególnego.
To rozróżnienie ma istotne znaczenie praktyczne. RODO odpowiada na pytanie, kiedy administrator może zgodnie z prawem przetwarzać dane osobowe, natomiast Prawo bankowe — kiedy określona informacja bankowa może zostać ujawniona poza krąg osób uprawnionych.
Kiedy konieczna jest podwójna ocena
Podwójna ocena — na gruncie RODO i Prawa bankowego — jest potrzebna zwłaszcza wtedy, gdy informacje mają zostać przekazane poza pierwotny krąg osób uprawnionych. Dotyczy to w szczególności żądań organów, postępowań sądowych i egzekucyjnych, wymiany informacji między instytucjami finansowymi, realizacji upoważnień klienta, udostępniania danych podmiotom wspierającym procesy administratora oraz dochodzenia lub obrony roszczeń.
W każdej z tych sytuacji samo ustalenie podstawy przetwarzania danych osobowych nie zastępuje oceny, czy istnieje odrębna podstawa ujawnienia informacji objętej tajemnicą bankową. Analogicznie ustawowa podstawa ujawnienia informacji nie zwalnia administratora z obowiązku stosowania zasad RODO, w tym zasady minimalizacji, ograniczenia celu, bezpieczeństwa i rozliczalności. Zasady te wynikają w szczególności z art. 5 RODO, a podstawy przetwarzania danych osobowych zostały określone w art. 6 RODO.
Udostępnianie danych na podstawie przepisów prawa
Art. 105 Prawa bankowego określa przypadki, w których informacje objęte tajemnicą bankową mogą lub powinny zostać udostępnione określonym podmiotom. Przepis ten obejmuje m.in. wybrane sytuacje wymiany informacji w sektorze finansowym, w tym z udziałem instytucji, o których mowa w art. 105 ust. 4 Prawa bankowego, oraz udostępniania informacji uprawnionym organom i podmiotom.
Odrębne znaczenie mają szczególne tryby dostępu do informacji objętych tajemnicą bankową, np. dostęp prokuratora na podstawie art. 106b Prawa bankowego, wymagający zachowania przesłanek i trybu przewidzianych w tym przepisie.
Jeżeli przekazanie informacji wynika z obowiązku prawnego, podstawą przetwarzania danych osobowych na gruncie RODO będzie co do zasady art. 6 ust. 1 lit. c RODO. W innych sytuacjach zastosowanie mogą znaleźć także inne podstawy, np. wykonanie umowy, prawnie uzasadniony interes administratora albo zgoda — w zależności od celu i kontekstu przetwarzania.
Nie oznacza to jednak dowolności w wyborze podstawy. Udostępnienie informacji objętych tajemnicą bankową powinno być oceniane dwutorowo. Po pierwsze, należy ustalić, czy istnieje podstawa ujawnienia informacji na gruncie Prawa bankowego albo innego przepisu szczególnego. Po drugie, jeżeli informacja stanowi dane osobowe, należy wskazać właściwą podstawę ich przetwarzania z art. 6 RODO, a w przypadku szczególnych kategorii danych — również uwzględnić art. 9 RODO.
Przeciwdziałanie nadużyciom i obowiązki AML
Szczególne zasady dotyczą także obszaru przeciwdziałania nadużyciom oraz realizacji obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Art. 106d Prawa bankowego przewiduje możliwość wzajemnego udostępniania przez określone instytucje finansowe informacji, w tym objętych tajemnicą bankową, w zakresie i w celu wskazanym w tym przepisie.
Z kolei art. 106e Prawa bankowego wprowadza ograniczenia w realizacji prawa dostępu z art. 15 RODO, jeżeli wykonanie tego prawa mogłoby utrudnić osiągnięcie celów przewidzianych w tych regulacjach. Przykład ten dobrze pokazuje, że prawa osoby, której dane dotyczą, mogą podlegać sektorowym ograniczeniom, jeżeli wynika to z przepisów szczególnych i służy ochronie określonych, prawnie chronionych interesów.
Minimalizacja danych i cel ujawnienia
Nawet jeśli istnieje podstawa do udostępnienia informacji, zakres przekazywanych danych powinien być ograniczony do celu, w jakim następuje ujawnienie. Nie wystarczy więc odpowiedzieć na pytanie, czy dana informacja może zostać przekazana. Znaczenie ma również to, komu, w jakim zakresie, na jakiej podstawie i w jakim celu ma zostać udostępniona.
W praktyce istotne są w szczególności: status podmiotu żądającego informacji, podstawa prawna żądania, jego precyzyjność, kategorie objętych nim danych, związek żądanych informacji z celem postępowania lub czynności oraz ryzyko ujawnienia danych osób trzecich. Jeżeli cel może zostać osiągnięty przez przekazanie węższego zakresu danych, zasada minimalizacji przemawia przeciwko udostępnieniu informacji w szerszym zakresie.
Z tej perspektywy tajemnica bankowa i RODO wzajemnie wzmacniają obowiązek starannej kwalifikacji żądania. Tajemnica bankowa ogranicza katalog sytuacji, w których informacja może zostać ujawniona, natomiast RODO wymaga, aby przetwarzanie danych osobowych było celowe, proporcjonalne i rozliczalne.
Upoważnienie klienta a zgoda w rozumieniu RODO
Prawo bankowe dopuszcza ujawnienie informacji objętych tajemnicą bankową osobie trzeciej, jeżeli osoba uprawniona udzieli skutecznego upoważnienia do przekazania określonych informacji wskazanemu odbiorcy. Upoważnienie może zostać udzielone nie tylko w formie pisemnej, lecz także elektronicznie. Takiego upoważnienia nie należy automatycznie utożsamiać ze zgodą na przetwarzanie danych osobowych w rozumieniu RODO.
Zgoda w rozumieniu RODO stanowi jedną z podstaw przetwarzania danych osobowych i podlega własnym warunkom. Administrator musi być w stanie wykazać jej udzielenie, a osoba, której dane dotyczą, może ją w każdym czasie wycofać. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
Znaczenie ma nie tylko sam fakt udzielenia upoważnienia, lecz także jego zakres. Upoważnienie może dotyczyć konkretnej osoby, określonej kategorii informacji albo określonego celu. Zbyt ogólne lub niejednoznaczne upoważnienie może utrudniać ocenę, jakie informacje rzeczywiście mogą zostać ujawnione oraz czy ujawnienie nie wykracza poza wolę osoby uprawnionej.
Upoważnienie do ujawnienia tajemnicy bankowej i zgoda w rozumieniu RODO mogą w praktyce występować równolegle, lecz pełnią odmienne funkcje. Pierwsze dotyczy dopuszczalności przekazania informacji chronionej tajemnicą bankową określonemu odbiorcy, drugie zaś stanowi podstawę przetwarzania danych osobowych.
Prawa osoby, której dane dotyczą
RODO przyznaje osobie, której dane dotyczą, m.in. prawo dostępu do danych oraz informacji o celach przetwarzania, kategoriach danych i odbiorcach, którym dane zostały lub zostaną ujawnione, co wynika z art. 15 RODO.
Realizacja tych praw w sektorze bankowym musi jednak uwzględniać tajemnicę bankową, ochronę praw osób trzecich oraz inne ustawowe obowiązki poufności. RODO przewiduje, że w określonych przypadkach obowiązek informacyjny może nie mieć zastosowania, jeżeli dane muszą pozostać poufne zgodnie z ustawowym obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust. 5 lit. d RODO).
W określonych sytuacjach szczególne ograniczenia mogą wynikać również z przepisów sektorowych, takich jak art. 106e Prawa bankowego, który przewiduje ograniczenie prawa dostępu z art. 15 RODO w związku z realizacją celów regulacji dotyczących przeciwdziałania nadużyciom.
Prawo dostępu do danych nie powinno być traktowane jako instrument obejścia tajemnicy bankowej ani jako podstawa ujawnienia informacji chronionych prawami innych osób. W praktyce problem ten może pojawiać się zwłaszcza wtedy, gdy dokumentacja lub historia relacji zawiera dane współkredytobiorców, pełnomocników, spadkobierców, beneficjentów transakcji, nadawców i odbiorców przelewów lub innych osób trzecich.
W takich przypadkach odpowiedź administratora powinna uwzględniać zarówno prawo osoby do informacji o jej danych, jak i obowiązek ochrony tajemnicy bankowej oraz praw i wolności innych osób.
Udostępnianie danych w postępowaniach sądowych
Udostępnianie danych w postępowaniach sądowych ma szczególne znaczenie. Prawo bankowe przewiduje określone sytuacje, w których sąd lub prokurator mogą żądać informacji objętych tajemnicą bankową, przy czym zakres takich żądań jest powiązany z ustawowymi przesłankami oraz rodzajem postępowania.
W postępowaniu cywilnym problem nie sprowadza się wyłącznie do oceny, czy dana informacja może mieć znaczenie dowodowe. Konieczne jest również ustalenie, czy istnieje właściwa podstawa jej ujawnienia, czy żądanie jest dostatecznie sprecyzowane oraz czy zakres danych nie wykracza poza cel postępowania.
Sam fakt, że informacja może być przydatna dowodowo, nie przesądza o możliwości jej udostępnienia w pełnym zakresie. Niezbędne jest ustalenie, czy żądanie mieści się w ustawowych granicach uchylenia tajemnicy bankowej, czy dotyczy konkretnego postępowania oraz czy zakres danych jest proporcjonalny do celu, w jakim mają zostać wykorzystane.
Z perspektywy RODO szczególne znaczenie mają zasady minimalizacji danych, ograniczenia celu oraz bezpieczeństwa przetwarzania. Z perspektywy Prawa bankowego kluczowe pozostają natomiast ustawowe granice udostępniania informacji objętych tajemnicą bankową. Dopiero łączna ocena tych dwóch reżimów pozwala przesądzić, czy i w jakim zakresie informacje mogą zostać przekazane.
Wnioski
RODO i tajemnica bankowa nie wykluczają się, lecz regulują odmienne aspekty ochrony informacji. RODO określa warunki przetwarzania danych osobowych oraz zasady przejrzystości, minimalizacji, ograniczenia celu i rozliczalności. Tajemnica bankowa wyznacza natomiast szczególny reżim poufności informacji związanych z czynnościami bankowymi.
Udostępnienie informacji objętej tajemnicą bankową wymaga analizy podstawy jej ujawnienia na gruncie Prawa bankowego lub innego przepisu szczególnego. Jeżeli informacja ta stanowi jednocześnie dane osobowe, konieczne jest także wskazanie właściwej podstawy przetwarzania na gruncie RODO.
Kluczowe znaczenie ma spójność obu ocen. Informacja nie powinna być udostępniana wyłącznie dlatego, że administrator dostrzega podstawę przetwarzania w RODO, jeżeli brak jest podstawy do uchylenia tajemnicy bankowej. Z drugiej strony ustawowa podstawa udostępnienia informacji nie zwalnia z obowiązku przestrzegania zasad RODO, w szczególności minimalizacji danych, ograniczenia celu, bezpieczeństwa i rozliczalności.
Dotyczy to także sektorowych mechanizmów wymiany informacji, przeciwdziałania nadużyciom oraz szczególnych ograniczeń praw osoby, której dane dotyczą. W tych obszarach szczególnie wyraźnie widać, że zgodność z prawem wymaga równoległej oceny przepisów o tajemnicy bankowej, przepisów szczególnych oraz zasad wynikających z RODO.
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.