FN1.054.32.2017 - Sposób weryfikacji klientów, którzy zdalnie złożyli wniosek o otwarcie rachunku bankowego.

Odpowiadając na zapytanie nr 2568 Pana Posła (...) w sprawie sposobu weryfikacji klientów, którzy zdalnie złożyli wniosek o otwarcie konta osobistego, przekazuję następujące informacje, po zaciągnięciu opinii Urzędu Ochrony Konkurencji i Konsumentów, Generalnego Inspektora Ochrony Danych Osobowych oraz Związku Banków Polskich.

Odpowiadając na pytanie Pana Posła czy kurier niebędący pracownikiem banku, który dostarcza dokumenty może mieć wgląd w dane klienta i przedmiot umowy należy zauważyć, że podmiot będący administratorem danych osobowych może przetwarzać dane osobowe sam, jak również może powierzyć przetwarzanie danych osobowych stosownie do zasad wynikających z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922). Zgodnie z tym przepisem powierzenie przetwarzania danych innemu podmiotowi, może nastąpić w drodze umowy zawartej na piśmie. Ponadto podmiot, któremu powierzono przetwarzanie danych może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Podkreślenia wymaga, iż w zakresie przestrzegania tych przepisów podmiot ten ponosi odpowiedzialność jak administrator danych (art. 31 ust. 3 ww. ustawy). Z punktu widzenia zasad ochrony danych osobowych istotne jest czy wykonywanie tych usług pozostaje w związku z przetwarzaniem danych osobowych, a więc wykonywaniem na nich jakichkolwiek operacji. O ile zatem, wykonanie usług na rzecz administratora danych wiąże się z przetwarzaniem danych osobowych w jego imieniu i na jego rzecz, to zawarcie umowy powierzenia przetwarzania danych osobowych jest niezbędne. Ustawodawca pozostawia swobodę woli stron, w przedmiocie, jaka to ma być umowa, jaka ma być jej treść, o ile zachowane zostaną wymagania określone w art. 31 ustawy o ochronie danych osobowych, tj. oznaczony zostanie zakres (rodzaj operacji) i cel przetwarzania danych osobowych. Zawarcie umowy powierzenia przetwarzania danych osobowych nie może prowadzić do zmiany statusu administratora danych osobowych, to on nadal samodzielnie decyduje o celach i środkach przetwarzania danych osobowych, a podmiot, któremu powierzył dane do przetwarzania w swoim imieniu i na swoją rzecz, nie może tych danych wykorzystywać we własnych celach, dla realizacji swoich interesów.

Stosownie do brzmienia rozdziału 5 ustawy o ochronie danych osobowych, każdy administrator danych (podmiot decydujący o celach i środkach przetwarzania danych) winien zabezpieczyć dane osobowe. W myśl art. 36 ust. 1 ww. ustawy, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zgodnie zaś z brzmieniem art. 37 ustawy o ochronie danych osobowych, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator danych - nadając upoważnienie - musi mieć na względzie normy określone w przepisach ustawy o ochronie danych osobowych i respektować obowiązki z nich wynikające.

Podkreślić należy, iż ustawa nie reguluje sposobu pozyskiwania danych osobowych. Istotne jest, aby gromadzenie danych (odbywające się np. poprzez kopiowanie dokumentów) nie prowadziło do zebrania danych w zakresie szerszym, niż to jest konieczne dla realizacji celu, w jakim dane są przetwarzane (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych).

Na banku jako administratorze danych spoczywa zatem obowiązek przetwarzania danych osobowych klientów banku zgodnie z prawem, w tym decydowania w jakich sytuacjach i jakim podmiotom dane te mogą być udostępnione.

Ponadto bank, zgodnie z art. 6a ust. 1 pkt 1 i 2 ustawy - Prawo bankowe, może, w drodze umowy zawartej na piśmie (tzw. umowy outsourcingowej), powierzyć przedsiębiorcy (lub przedsiębiorcy zagranicznemu, z zastrzeżeniem art. 6d ww. ustawy) wykonywanie:

Umowa zawarta przez bank z firmą kurierską, zasadniczo, przybiera właśnie postać umowy outsourcingowej. W takim wypadku kurier działa na zasadach określonych w art. 6a-6e ustawy - Prawo bankowe, w szczególności jest zobowiązany do zachowania w tajemnicy wszelkich informacji powziętych w związku z wykonywaniem umowy outsourcingowej, a także ponosi odpowiedzialność wobec banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania tej umowy (art. 6b ustawy - Prawo bankowe). Ponadto bank zobowiązany jest ustawowo do poinformowania Komisji Nadzoru Finansowego o zawarciu umowy outsourcingowej. Komisja Nadzoru Finansowego może nakazać bankowi, w drodze decyzji, podjęcie działań zmierzających do zmiany lub rozwiązania umowy outsourcingowej.

Jednocześnie należy wskazać, iż bank jest zobligowany do zachowania poufności przetwarzania danych osobowych nie tylko na podstawie regulacji zawartych w ustawie o ochronie danych osobowych, lecz także na podstawie art. 104 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2016 r. poz. 1988, z późn. zm.). W myśl powołanego przepisu art. 104 ust. 1 ustawy - Prawo bankowe, bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowych, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Złamanie tajemnicy bankowej rodzi odpowiedzialność cywilną i karną. Odpowiedzialności cywilnej za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umów outsourcingowych banki nie mogą wyłączyć ani ograniczyć (art. 6b ust. 2 ustawy - Prawo bankowe). Jeśli zaś chodzi o odpowiedzialność karną, to zgodnie z art. 171 ust. 5 ustawy - Prawo bankowe "Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do 1 000 000 złotych i karze pozbawienia wolności do lat 3".

W konsekwencji, pracownik firmy kurierskiej, działającej w imieniu i na rzecz banku na podstawie umowy outsourcingowej, zgodnie z przepisami ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2016 r. poz. 299, z późn. zm.), weryfikuje niezbędne dane klienta zgodnie z wymogami identyfikacji i weryfikacji tożsamości klienta, z którym zawierana jest umowa.

Zgodnie z przepisem art. 8b ust. 3 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, środki bezpieczeństwa finansowego polegają na:

Artykuł 8b ust. 4 ww. ustawy wskazuje również przykładowe okoliczności, w których instytucje obowiązane są zobowiązane do stosowania środków bezpieczeństwa finansowego:

W przypadku gdy instytucja obowiązana nie może wykonać obowiązków związanych z zastosowaniem środków bezpieczeństwa finansowego, obowiązana jest do nieprzeprowadzania transakcji, niepodpisywania umowy z klientem lub do rozwiązania zawartej umowy oraz przekazania Generalnemu Inspektorowi Informacji Finansowej, w uzasadnionych przypadkach z uwzględnieniem ryzyka prania pieniędzy oraz finansowania terroryzmu, informacji o danym kliencie wraz z posiadanymi informacjami o planowanej przez niego transakcji (art. 8b ust. 5 ww. ustawy).

Identyfikacja, o której mowa w art. 8b ust. 3 pkt 1 ww. ustawy, tj. identyfikacja klienta i weryfikacja jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych polega na sprawdzeniu i potwierdzeniu danych, o których mowa w art. 9 ust. 1 i 3 tej ustawy, tj.:

Przedmiotowa identyfikacja klienta i weryfikacja jego tożsamości dotyczy także stron transakcji niebędących klientami i obejmuje ustalenie i zapisanie ich nazwy (firmy) lub imienia i nazwiska oraz adresu, w zakresie, w jakim dane te instytucja obowiązana może ustalić przy zachowaniu należytej staranności (art. 9 ust. 2 ww. ustawy). Ponadto, następuje ona przed zawarciem umowy z klientem lub przed przeprowadzeniem transakcji. Weryfikacja tożsamości klienta może być zakończona po nawiązaniu stosunków gospodarczych, jedynie jeżeli jest to konieczne dla zapewnienia dalszego prowadzenia działalności gospodarczej oraz gdy występuje niewielkie ryzyko prania pieniędzy lub finansowania terroryzmu, ustalone na podstawie przeprowadzonej analizy.

W świetle przytoczonych powyżej przepisów wskazać należy, że bank jako administrator danych osobowych może zawrzeć umowę powierzenia (outsourcingową) i na jej podstawie powierzyć przetwarzanie danych firmie kurierskiej.

Ponadto Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 14 lutego 2014 r. wskazał, że: "kurier doręczający przesyłkę, w pewnym zakresie (objętym przedmiotem zlecenia), wykonuje czynności przysługujące administratorowi danych - spółce. Nie tylko bowiem doręcza przesyłkę, ale też odbiera od adresata oświadczenie woli o zaakceptowaniu warunków umowy ustalonych wcześniej z konsultantem telefonicznie, a po ich podpisaniu i uzyskaniu wymaganych dokumentów doręcza je spółce" (II SA/Wa 2173/12).

Odnosząc się z kolei do pytania Pana Posła czy kurier na potrzeby weryfikacji tożsamości klienta może kserować dowód osobisty lub inny dokument tożsamości klienta oraz czy taki dostęp do dokumentu jest prawidłowy należy wskazać, iż z punktu widzenia ustawy o ochronie danych osobowych, każdy administrator danych (m.in. bank), aby móc legalnie przetwarzać dane osobowe, w tym je pozyskiwać, musi wykazać się uprawniającą go do tego podstawą. W przypadku banków przepisem uprawniającym je do pozyskiwania od klientów danych osobowych zawartych w dowodzie osobistym jest art. 112b ustawy - Prawo bankowe, zgodnie z którym, "banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych". Przepis ten legalizuje zatem pozyskiwanie przez banki danych osobowych zawartych w dowodach osobistych klientów. Natomiast samo kserowanie dowodów jest, w opinii Generalnego Inspektora Ochrony Danych Osobowych, czynnością stricte techniczną. Taki pogląd wyrażony został również w wyroku Naczelnego Sądu Administracyjnego z dnia 19 grudnia 2001 r. (sygn. akt II SA 2869/2000), zgodnie z którym gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną; posługiwanie się taką, czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania). Analogiczne stanowisko zajął Naczelny Sąd Administracyjny w wyroku z dnia 7 listopada 2003 r. (sygn. akt II SA 1432/02) stanowiącym, iż "ustawa o ochronie danych osobowych nie zajmuje się określaniem techniki gromadzenia danych osobowych lecz zakresem ich przetwarzania (...)".

W ramach umowy outsourcingu bank może zlecić powyżej opisane uprawnienie bankowej działalności, np. pośrednikom kredytowym lub firmom kurierskim.

Odpowiadając na pytania Pana Posła czy umowa o konto procedowanej zdalnie jest - w myśl przepisów - umową zawieraną na odległość/poza lokalem przedsiębiorcy należy podkreślić, iż ocena tego czy dana umowa została zawarta na odległość czy też poza lokalem przedsiębiorstwa zależy od oceny stanu faktycznego w konkretnym przypadku. Biorąc to pod uwagę, należy stwierdzić, że ze względu na stosowanie przez banki różnych procedur tryb zawarcia umowy może być odmienny.

Regulacje dotyczące umów zawieranych na odległość i poza lokalem przedsiębiorstwa zawiera ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2017 r. poz. 683) (przy czym rozdział 5 tej ustawy dotyczy bezpośrednio umów dotyczących usług finansowych zawieranych na odległość).

Zgodnie z art. 2 ustawy o prawach konsumenta:

Przesłanki, wskazane w ustawie o prawach konsumenta, umożliwiające zakwalifikowanie umowy do umów zawieranych na odległość muszą zostać spełnione łącznie. Samo bowiem wykorzystanie środków porozumiewania się na odległość nie pozwala określić umowy jako zawieranej na odległość, bez spełnienia pozostałych warunków. Dla zakwalifikowania umowy jako umowy zawartej poza lokalem przedsiębiorstwa ważne jest, aby obie strony takiej umowy, w trakcie dokonywania konkretnej czynności, jednocześnie znajdowały się fizycznie w tym samym miejscu.

Jeżeli strony lub ich reprezentanci znajdują się fizycznie w jednym miejscu w przestrzeni i wiedzą o swojej obecności, nie jest istotne, czy komunikację podejmują bezpośrednio, czy korzystają ze środków przeznaczonych do porozumienia się w sposób zdalny (np. wiadomości SMS). W takim przypadku - zgodnie z art. 2 pkt 1 ustawy o prawach konsumenta - umowa nie jest zawierana na odległość.

Umowę można uznać za zawartą na odległość jedynie wtedy, gdy strony lub ich reprezentanci porozumiewali się na odległość w całym okresie do momentu zawarcia umowy (sformułowanie: "z wyłącznym wykorzystywaniem"). Zarówno składanie oświadczeń woli (zawarcie umowy), jak i całość procesu komunikowania się co do uzgadniania określonej umowy między stronami lub ich reprezentantami na etapie przedkontraktowym (sformułowanie: "do chwili zawarcia umowy włącznie") musi odnosić się do osób, które nie pozostają ze sobą w fizycznym kontakcie w jednym miejscu w przestrzeni.

Warto nadmienić, że zgodnie z pkt 20 preambuły dyrektywy Parlamentu Europejskiego i Rady 2011)83/UE z dnia 25 października 2011 r. w sprawie praw konsumentów (Dz.Urz.UE.L 304/64 z dnia 22.11.2011), "Umowa, która jest negocjowana w lokalu przedsiębiorstwa danego przedsiębiorcy i zostaje ostatecznie zawarta przy użyciu środków porozumiewania się na odległość, nie powinna być uważana za umowę zawieraną na odległość. Za taką umowę nie należy także uznawać umowy zainicjowanej za pomocą środka porozumiewania się na odległość, ale ostatecznie zawartej w lokalu przedsiębiorstwa danego przedsiębiorcy".

Ponadto definicja zamieszczona w art. 2 pkt 1 ustawy o prawach konsumenta zawiera istotne ograniczenie. Obejmuje jedynie czynności, które są dokonywane w ramach zorganizowanego systemu zawierania umów na odległość. Pojęcie umów zawartych na odległość odnosi się zatem jedynie do przedsiębiorcy, który zorganizował swoją działalność gospodarczą (zawodową) w taki sposób, że w całym procesie komunikacji z klientami (konsumentami) prowadzącym do zawarcia umowy (włącznie ze składaniem oświadczeń woli) wykorzystuje się środki porozumiewania się na odległość. Sposób prowadzenia działalności przez przedsiębiorcę powinien przybrać określone ramy organizacyjne i techniczne, aby spełnić wspomniane warunki.

Co prawda, art. 4 ust. 2 ustawy o prawach konsumenta wskazuje, że przepisów tej ustawy nie stosuje się do umów dotyczących usług finansowych, w szczególności takich jak: czynności bankowe, umowy kredytu konsumenckiego, czynności ubezpieczeniowe, umowy nabycia lub odkupienia jednostek uczestnictwa funduszu inwestycyjnego otwartego albo specjalistycznego funduszu inwestycyjnego otwartego i nabycia lub objęcia certyfikatów inwestycyjnych funduszu inwestycyjnego zamkniętego, usługi płatnicze, to jednak przepis ten przewiduje w tym zakresie wyjątek. Mianowicie, do umów dotyczących usług finansowych zawieranych na odległość stosuje się przepisy rozdziałów 1 i 5 ww. ustawy (z tym zastrzeżeniem, że do umów kredytu konsumenckiego zawieranych na odległość nie stosuje się jej rozdziału 5).

Oznacza to, że w zakresie ww. umów zawieranych na odległość stosuje się obowiązki informacyjne wynikające z art. 39 ustawy o prawach konsumenta, jednakże w przypadku usług płatniczych - z ograniczeniem wynikającym z art. 43 ust. 3 ustawy o prawach konsumenta. Niedopełnienie obowiązków informacyjnych będzie zaś skutkowało prawem konsumenta do odstąpienia od umowy w każdym czasie bez konieczności ponoszenia kosztów należnych przedsiębiorcy. Prawo odstąpienia od umowy o usługi finansowe zawartej na odległość, będzie przysługiwało konsumentowi także bez podania przyczyn w terminie 14 dni od dnia zawarcia umowy (lub od dnia potwierdzenia informacji, o którym mowa w art. 39 ust. 3 ww. ustawy, jeżeli jest to termin późniejszy), zgodnie z art. 40 ustawy o prawach konsumenta.

Wskazując na powyższe należy stwierdzić, że umowa rachunku zawarta za pośrednictwem bankowości elektronicznej, jak również zawarta przez telefon, może zostać zakwalifikowana jako umowa zawierana na odległość, do której znajdą zastosowanie ww. przepisy rozdziału 1 i 5 ustawy o prawach konsumenta. Natomiast, wobec wyłączenia zawartego w art. 4 ustawy o prawach konsumenta, przedmiotowa umowa nie będzie stanowiła uregulowanej w ww. ustawie umowy zawartej poza lokalem przedsiębiorcy.

Odnosząc się do pytania Pana Posła czy jeżeli klient zawarł przez telefon umowę z bankiem i rozpoczął jej wykonywanie przed terminem na odstąpienie i np. korzysta już z dołączonej karty płatniczej, może od niej odstąpić w terminie 14 dni od dnia jej zawarcia bez podawania przyczyn należy zauważyć, że na podstawie art. 59c ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2016 r. poz. 1572 i 1997) - niezależnie od tego w jaki sposób zawarta została umowa - "Użytkownik może odstąpić od umowy w zakresie, w jakim obejmuje ona wydanie karty płatniczej, w terminie 14 dni od dnia otrzymania po raz pierwszy karty płatniczej na podstawie tej umowy, jeżeli nie wykonał żadnej transakcji płatniczej 1 przy użyciu tej karty". Dodatkowo w przypadku odstąpienia od umowy zgodnie z tym przepisem wydawca karty płatniczej zwraca użytkownikowi kwotę poniesionych opłat. Wydawca karty płatniczej może jednak obciążyć użytkownika kosztami związanymi z wydaniem karty płatniczej w zakresie przewidzianym w umowie (art. 59c ust. 2 ww. ustawy).

Ponadto, jeśli umowa o kartę płatniczą powiązana jest z umową o kredyt konsumencki (tak jest np. w wypadku karty kredytowej; mamy wówczas do czynienia z kredytem konsumenckim uruchamianym za pośrednictwem karty) to zastosowanie znajdą przepisy art. 53-58 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2016 r. poz. 1528). W takim wypadku - niezależnie od tego, w jaki sposób została zawarta umowa - "Konsument ma prawo, bez podania przyczyny, do odstąpienia od umowy o kredyt konsumencki w terminie 14 dni od dnia zawarcia umowy" (art. 53 ust. 1 ustawy o kredycie konsumenckim). Odstąpienie to może być dokonane niezależnie od faktu wykonania transakcji kartą. Jeśli takie transakcje zostały dokonane (czyli de facto udzielony został na nie kredyt) to "Konsument zwraca niezwłocznie kredytodawcy kwotę udostępnionego kredytu wraz z odsetkami, o których mowa w ust. 1, nie później niż w terminie 30 dni od dnia złożenia oświadczenia o odstąpieniu od umowy" (art. 54 ust. 2 ustawy o kredycie konsumenckim).

W wypadku gdy umowa zawarta była za pomocą środków komunikacji na odległość oraz gdyby doszło do wykonania transakcji kartą, a nie znajdzie zastosowania ustawa o kredycie konsumenckim, to zgodnie art. 40 ust. 1 i 4 ustawy o prawach konsumenta:

"1. Konsument, który zawarł na odległość umowę o usługi finansowe, może od niej odstąpić bez podania przyczyn, składając oświadczenie na piśmie, w terminie 14 dni od dnia zawarcia umowy lub od dnia potwierdzenia informacji, o którym mowa w art. 39 ust. 3, jeżeli jest to termin późniejszy. Termin uważa się za zachowany, jeżeli przed jego upływem oświadczenie zostało wystane. Konsument nie ponosi kosztów związanych z odstąpieniem, z wyjątkiem kosztów, o których mowa w ust. 4. (...)

4. W przypadku rozpoczętego za zgodą konsumenta świadczenia usług przed upływem terminów, o których mowa w ust. 1 i 2, przedsiębiorca może żądać zapłaty ceny lub wynagrodzenia za usługę rzeczywiście wykonaną.".

Należy wskazać, iż wszystkie wskazane powyżej uprawnienia są niezależne od sposobu zawarcia umowy (bankowość elektroniczna, telefoniczna, oddział banku lub pośrednik).