22 lipca 2020 r. Europejska Rada Ochrony Danych (EDPB) opublikowała projekt Wytycznych 06/2020 w sprawie wzajemnego oddziaływania drugiej dyrektywy o usługach płatniczych i RODO (Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR), z przeznaczeniem do konsultacji społecznych.

Dotyczy on relacji między przepisami dyrektywy PSD2 a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Konsultacje projektu zakończą się 16 września 2020 r.

W projekcie EDPB wskazała m.in. na kwestię  związaną z obowiązkiem, leżącym po stronie dostawcy, wykazania, że przetwarzanie określonych danych było niezbędne do wykonania usługi. Samo wyrażenie zgody drugiej strony umowy na przetwarzanie jej danych nie będzie wystarczające. EDPB podkreśla również istotność minimalizowania kategorii danych, które są wykorzystywane przez dostawcę. 

Ponadto, projekt wskazuje na niedozwoloną praktykę, za jaką należy uznać sytuację, w której w umowie wskazany jest najszerszy możliwy katalog przetwarzanych danych, podczas gdy, ze względu na możliwość skorzystania z części lub z jednej z usług płatniczych przez użytkownika, wykorzystywana jest tylko część tych danych, a dostawca pomimo to przetwarza inne (niepotrzebne dla konkretnej usługi/usług) dane.

Dostawcy usługi inicjowania transakcji płatniczej (PIS) oraz dostępu do informacji o rachunku (AIS)  (odpowiednio art. 59r i art. 59s ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych) ‒ którzy mają zakaz przetwarzania i przechowywania danych dla innych celów niż świadczenie danej usługi, mogą przetwarzać, pozyskane w trakcie świadczenia usługi płatniczej, dane dla innych celów na podstawie art. 6 ust. 4 RODO. 

W projekcie konsultowanego dokumentu EDPB wskazuje, że art. 6 ust. 4 RODO nie znajduje w tej sytuacji zastosowania. Możliwość przetwarzania danych użytkownika usług PIS i AIS na podstawie żądania dokonanego przez dostawcę tych usług wynika wprost z samej konstrukcji tych usług (art. 6 ust. 1 lit c RODO). Bank powinien zatem nie tylko je przetworzyć, ale także przekazać dostawcy. Zatem do przetwarzania danych niezbędne jest uzyskanie wyraźnej zgody (freely given, specific, informed and unambiguous).

EDPB wyraźnie wyróżnia dwie zgody: jedną wynikającą z regulacji RODO oraz druga wynikająca z regulacji PSD2. Zgoda, o której mowa w art. 94 ust. 2 PSD2, to ogólna podstawa do przetwarzania danych przez dostawcę na potrzeby świadczenia usługi. 

W projekcie dokumentu EDPB zarekomendowała tworzenie przez dostawców tzw. Map danych, które będą mogły podlegać przetwarzaniu, a podmioty te będą dokonywały tzw. DPIA, czyli oceny skutków dla ochrony danych. 

Więcej informacji oraz cały projekt dokumentu w języku angielskim dostępny jest pod linkiem:
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-062020-interplay-second-payment-services_en