Europejski Inspektor Ochrony Danych (EDPS) opublikował Opinię 39/2023 dotyczącą propozycji rozporządzenia w sprawie usług płatniczych na wewnętrznym rynku (Propozycja PSR) oraz propozycji dyrektywy w sprawie usług płatniczych i usług pieniądza elektronicznego (Propozycja PSD3).

Federalny Urząd Nadzoru Finansowego (BaFin) opublikował artykuł dotyczący swojego badania na temat ryzyka związanego z wykorzystaniem sztucznej inteligencji (SI), uczenia maszynowego (ML) i podejmowania decyzji algorytmicznych przez banki przy udzielaniu pożyczek.

Rada Unii Europejskiej ogłosiła w dniu 7 grudnia 2022 r. swoje stanowisko dotyczące aktualizacji rozporządzenia w sprawie przeciwdziałania korzystaniu z systemu finansowego w celu prania pieniędzy lub finansowania terroryzmu oraz aktualizacji dotyczącej dyrektywy w sprawie mechanizmów, które mają zostać wprowadzone przez państwa członkowskie w celu zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu i uchylający dyrektywę (UE) 2015/849.

Krajowy organ nadzorczy ds. przetwarzania danych osobowych (ANSPDCP) w Rumunii opublikował w dniu 21 listopada 2022 r. decyzję, mocą której nałożył na ING Bank NV Amsterdam Sucursala București grzywnę w wysokości 20 000 EUR za naruszenie związane z niezapewnieniem bezpieczeństwa ochrony danych osobowych.

Rumuński, Krajowy Urząd Nadzoru Przetwarzania Danych Osobowych (ANSPDCP) nałożył na Raiffeisen Bank S.A. karę pieniężną w wysokości 28.000 EURO oraz dwa ostrzeżenia za naruszenia art. 25 ust. 1, 32 ust. 1, 32 ust. 2 i 32 ust. 4 RODO, po przeprowadzeniu dochodzenia w przedmiocie stwierdzonych naruszeń.

Europejski Bank Centralny (EBC) wydał w dniu 15 listopada 2022 r. publikację dotyczącą oceny systemowego ryzyka cybernetycznego.

UODO wskazuje, że niezmiennie stoi na stanowisku, że sporządzanie kopii dowodów tożsamości przez instytucje finansowe jest legalne jedynie wtedy, kiedy konieczne jest zastosowanie środków bezpieczeństwa mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.

EROD podczas 40. posiedzenia plenarnego, przyjęła ostateczną wersję Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych

Prezes UODO zwrócił się do Przewodniczącego Komisji Nadzoru Finansowego (KNF) i Prezesa Związku Banków Polskich (ZBP) o podjęcie działań, które przyczyniłyby się do zminimalizowania nielegalnego wykorzystywania baz danych klientów.

Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych na rok 2020.

Czy banki mają prawo kserować dowód osobisty?

12 lipca 2019 r. wchodzi w życie ustawa o dokumentach publicznych, która określa zasady funkcjonowania systemu bezpieczeństwa dokumentów publicznych. Jaki będzie miała wpływ na ochronę danych osobowych?

W dniu 7 września 2016 roku Generalny Inspektor Ochrony Danych Osobowych i przedstawiciele Krajowej Spółdzielczej Kasy Oszczędnościowo-Kredytowej podpisali porozumienie o wspólnym działaniu na rzecz podnoszenia poziomu ochrony danych osobowych w działalności spółdzielczych kas oszczędnościowo-kredytowych oraz tworzenia kodeksu postępowania.

Kredyty są dzisiaj bardzo rozpowszechnioną i niejednokrotnie łatwo dostępną formą pozyskiwania środków pieniężnych. Aby jednak bank przyznał kredyt konieczne jest dostarczenie przez potencjalnego kredytobiorcę szeregu dokumentów potwierdzających nie tylko jego dane osobowe, ale również zdolność do spłacenia zaciągniętego zobowiązania. Czy bank dysponuje zatem podstawą do weryfikowania danych osobowych kredytobiorców, w tym wysokości ich wynagrodzeń, w formie zapytań telefonicznych kierowanych do pracodawcy?

Standardy w zakresie zarządzania bezpieczeństwem systemów informatycznych wskazują na konieczność podjęcia działań o charakterze organizacyjnym i technicznym w celu zapewnienia ciągłości przetwarzania informacji na wypadek awarii lub katastrofy. Czy wymagania takie określono również w przypadku systemów informatycznych przetwarzających dane osobowe?

Spółka X jest w grupie kapitałowej jedną ze spółek zależnych, zaś podmiotem dominującym jest bank. Spółka X oraz niektóre podmioty z grupy są zobowiązane do spełnienia wymogów wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Ze względu na ciążące obowiązki oraz silnie zakorzenioną współpracę w grupie pomiędzy podmiotami grupy występuje przepływ danych, w tym danych osobowych. Na co spółka X musi zwrócić uwagę, aby pozyskiwanie danych osobowych od podmiotów z grupy kapitałowej nie naruszało zasad ochrony danych osobowych na gruncie ustawy o ochronie danych osobowych?

Instytucja finansowa musi w określonych przypadkach spełnić wymagania nałożone ustawą o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, w tym m. in. ustalić tożsamość osoby fizycznej, dokonującej transakcji oraz prowadzić rejestr transakcji. Wśród klientów instytucji finansowej są osoby fizyczne prowadzące działalność gospodarczą, więc identyfikacja osób fizycznych obejmuje także te podmioty. Instytucja kilkakrotnie modyfikowała formularz, za pomocą którego pozyskuje dane osobowe klienta. Jak należy zatem prawidłowo dokonać identyfikacji klienta?

Spółka świadczącą usługi faktoringowe posiada określoną, wewnętrzną procedurę dotyczącą informacji, jakie pozyskuje od klienta podczas zawierania transakcji wraz z etapami ich pozyskiwania. W momencie składania wniosku faktoringowego zdarza się, że klienci przedkładają kopie wyroków rozwodowych, na potwierdzenie ustania wspólności majątkowej. Czy spółka musi pozyskiwać zgody na przetwarzanie danych, zawartych w kopii takiego wyroku?

Spółka leasingowa na wstępnych etapach zawierania transakcji z klientem weryfikuje m. in. jego sytuację finansową. W tym celu pozyskuje m. in. informacje o ustroju majątkowym, tj. czy klient pozostaje we wspólności majątkowej ze swoim małżonkiem. Informacja ta jest potrzebna do oszacowania ryzyka zawieranej transakcji i warunków finansowych wnioskodawcy. Podczas rozpatrywania wniosku spółka chciałaby posiadać informacje, czy w przypadku niewypłacalności klienta będzie mogła zaspokoić swoje roszczenia z jego majątku odrębnego, czy wspólnego z małżonkiem. Czy działanie spółki leasingowej pozostaje w zgodzie z ustawą o ochronie danych osobowych?

Pracownicy banku obsługujący klientów indywidualnych otrzymują od klientów sporo zapytań dotyczących zasadności kserowania ich dowodów osobistych. Generalnie wielu z nich, powołując się na ochronę danych osobowych, sprzeciwia się, kiedy pracownik banku w celu oceny zdolności kredytowej prosi o dowód osobisty z zamiarem jego skopiowania. Czy bank powinien faktycznie zabronić pracownikom sporządzać kserokopie dowodów osobistych klientów ubiegających się o kredyt, czy może jednak istnieją ku temu właściwe podstawy prawne?