Wdrażając wideoweryfikację banki muszą rozwiązać co najmniej dwa poważne problemy natury prawnej. Pierwszy to pewność weryfikacji tożsamości klienta i autentyczności prezentowanego przez niego dokumentu tożsamości, o którą trudno w kanałach cyfrowych. Drugi to zakaz przechowywania danych osobowych o charakterze wrażliwym – czyli np. danych biometrycznych utrwalonych na nagraniach z wideorozmów. Ta druga przeszkoda będzie niedługo usunięta dzięki zmianie przepisów o ochronie danych osobowych.
Problem numer jeden to pewność weryfikacji dokumentu tożsamości na podstawie nagrania. Bank ma obowiązek identyfikacji swoich klientów i weryfikacji ich tożsamości. Oznacza to również obowiązek analizy dokumentu kątem jego autentyczności oraz zgodności ze stanem faktycznym. Czy analiza nagrania spełnia te wymogi jest co najmniej dyskusyjne. Problemem są ograniczenia samej technologii – od kwestii rozdzielczości obrazu cyfrowego po zagrożenie potencjalną manipulacją obrazem cyfrowym. Niemożność zbadania oryginału dokumentu może oznaczać, że na gruncie obecnych przepisów nie da się uniknąć spotkania przedstawiciela banku z klientem w realnym świecie. Bank musi zapewnić sobie możliwość dostępu do oryginały dokumentu i to jeszcze przed zawarciem umowy (a w ostateczności przed pierwszą transakcją).
Drugą i potencjalnie zdecydowanie większą przeszkodą może się okazać kwestia przetwarzania danych biometrycznych klientów. W ramach wideowefyfikacji bank będzie porównywał (z wykorzystaniem specjalnego oprogramowania) nagranie wizerunku klienta ze zdjęciem z dowodu osobistego. Oznacza to analizę takich parametrów jak np. pomiar głowy, twarzy lub innych zewnętrznych cech klienta, a następnie potwierdzenie ich zgodności ze zdjęciem (które w nowoczesnych dowodach osobistych zawiera również cechy biometryczne). Trzeba tu zwrócić uwagę na fakt, że wyniki pomiarów naszego ciała, czyli dane biometryczne, są chronionymi danymi osobowymi. Co więcej, w wielu przypadkach będą mają one charakter danych wrażliwych, które są co do zasady objęte zakazem przetwarzania. Do tej kategorii danych szczególnie chronionych należą m.in. te, które ujawniają np. pochodzenie rasowe lub etniczne czy stan zdrowia osoby.
Ustawa zawiera zamknięty katalog wyjątkowych sytuacji, w których wrażliwe dane osobowe mogą być przetwarzane. Przykładowo takie przetwarzanie jest dopuszczalne jeśli osoba, której dane dotyczą, wyrazi na to zgodę na piśmie albo gdy istnieje szczególny przepis prawa, który na takie przetwarzanie zezwala. Banki powinny więc potencjalnie w każdym uzyskać pisemną zgodę na przetwarzanie danych biometrycznych klientów – jednak w praktyce musiałyby ją posiadać jeszcze przed rozpoczęciem procesu wideoweryfikacji. Taki proces podważa fundamentalnie przydatność wideoweryfikacji w relacjach z nowymi klientami, którzy nie wyrazili wcześniej takiej zgody.
W przyszłym roku z pomocą bankom przyjdą przepisy nowego ogólnego rozporządzenia unijnego o ochronie danych osobowych. Rozporządzenie to wprawdzie wyraźnie zalicza dane biometryczne do kategorii danych wrażliwych, ale nie wymaga już, aby zgoda klienta na ich przetwarzanie udzielana była na piśmie. Banki będą zatem mogły pozyskiwać taką zgodę ustnie – np. w trakcie trwania wideorozmowy.
Gracjan Pietras
Autor jest adwokatem i wspólnikiem w kancelarii Doktór Jerszyński Pietras w Warszawie