Poniższy tekst jest wprowadzeniem do prezentacji „Marketing i komunikacja instytucji nadzorowanych”, którą przedstawię podczas tegorocznych warsztatów Uregulowani Live 2021. Uregulowani Live to cykliczne warsztaty organizowane przez DLK Legal. Tegoroczna edycja odbędzie się w Warszawie (23.11.2021) i obejmie dwie ścieżki: #Regulacje i #Kontrakty. Szczegółowa agenda oraz rejestracja są dostępne na: https://www.dlklegal.com/uregulowani-live-2021/
Czy wdrożenie stanowiska Urzędu KNF może zwiększać ryzyko prawne dla instytucji finansowej? Z pozoru pytanie jest niedorzeczne, diabeł tkwi jednak w szczegółach.
Stanowisko Urzędu KNF dotyczące korzystania z mediów społecznościowych jest obszernym i szczegółowym dokumentem. Jego deklarowanym celem jest wyłącznie interpretacja istniejących przepisów (pkt 10.2). Każdy prawnik zgodzi się jednak, że dokument ma charakter twórczy (a prawnicy starej daty powiedzieliby nawet: quasi-prawotwórczy). Co najważniejsze, samo przedstawienie określonej interpretacji przez UKNF zwykle wystarcza instytucjom finansowym do jej automatycznego wdrożenia. Rzadko pada jednak pytanie o konkretną podstawę prawną – choć powinno.
Z projektu stanowiska (z 24.08.2021) możemy wyczytać bardzo rygorystyczne podejście UKNF do archiwizowania treści publikowanych na profilach społecznościowych instytucji nadzorowanych. Właściwie Urząd wymaga archiwizowania… wszystkiego. A pisząc konkretnie UKNF oczekuje, że instytucje będą przechowywać.
- materiały i informacje rozpowszechniane w social media (zarówno przez podmiot nadzorowany, jak i osoby zatrudnione korzystające z kont służbowych),
- komentarze użytkowników do opublikowanych informacji,
- wpisy osób trzecich udostępniane lub przekazywane przez podmiot nadzorowany i osoby zatrudnione korzystające z kont służbowych oraz
- inne „adekwatne” dane (dane osób zatwierdzających, datę i moment publikacji, dokonane modyfikacje lub usunięcie informacji).
Jeśli przepisy nie wskazują konkretnego okresu retencji treści, Urząd rekomenduje, aby były przechowywane przez 5 lat od momentu opublikowania lub ostatniej modyfikacji. Bez większego komentarza pozostawię dodatkowe oczekiwanie, aby instytucja finansowa rozpoznała u siebie outsourcing (i to w praktyce chmurowy), jeśli archiwizacja treści miałaby polegać na ich przechowywaniu w portalu społecznościowych – czyli gdyby instytucja postanowiła po prostu nie usuwać postów i komentarzy.
Problemem okazuje się jednak zidentyfikowanie podstawy prawnej takich działań. Dla przykładu, jaką podstawę powinien przyjąć agent rozliczeniowy (KIP), aby uzasadnić przechowywanie wszystkich komentarzy użytkowników pod postem o rozpoczęciu współpracy z Fundacją Polska Bezgotówkowa? Ustawa o usługach płatniczych (UUP) wprowadza co prawda pewne obowiązki retencyjne po stronie agenta rozliczeniowego, ale nie dotyczą one materiałów reklamowych, a np. dokumentów związanych ze świadczeniem usług płatniczych (art. 75 UUP) lub środków dowodowych służących wykazaniu prawidłowego uwierzytelnienia użytkownika (art. 45 ust. 1 UUP). Żaden z tych obowiązków nie może być interpretowany tak szeroko, aby uzasadnić zapisywanie wszystkich komentarzy użytkowników (bez uwzględnienia choćby jakiej materii dotyczy oryginalny post).
Każda ingerencja w prawo do prywatności osoby fizycznej musi być proporcjonalna, tj. niezbędna do osiągnięcia uzasadnionych celów oraz ograniczona do tego co konieczne. TSUE interpretuje te kryteria bardzo wąsko, nawet jeśli przechowywanie danych ma na celu np. ochronę bezpieczeństwa publicznego i walkę z poważnymi przestępstwami – warto przypomnieć choćby wyrok w sprawie Digital Rights Ireland (C-293/12 i C-594/12). Jakiemu ważnemu interesowi ma służyć przechowywanie wszystkich komentarzy, wszystkich użytkowników do wszystkich postów instytucji nadzorowanej na Facebooku? Trudno powiedzieć. Przypominam bowiem, że KNF nadzoruje instytucje finansowe, a nie ich klientów.
Skoro zatem bezrefleksyjne wdrożenie stanowiska KNF może stanowić naruszenie przepisów o ochronie danych osobowych, czy jest jakieś alternatywne rozwiązanie?
Najbardziej oczywiste podejście to po prostu przeprowadzenie przez instytucję finansową dokładnej oceny ryzyka (np. w formie DPIA). Instytucja powinna dokładnie wyważyć w niej wszelkie możliwe interesy, którym realnie (biorąc pod uwagę m.in. profil instytucji nadzorowanej, charakter publikowanych treści i przepisy prawa) może służyć zatrzymywanie treści. Ocena powinna uwzględniać także interesy użytkownika (np. sposoby reagowania na wnioski o usunięcie danych z archiwum instytucji), a także adekwatny do celu czas przechowywania danych.
Pozostaje jedynie oczekiwać, że na potrzeby wersji ostatecznej stanowiska (nadal mówimy bowiem o projekcie) UKNF zastosuje podejście, które dla podmiotów nadzorowanych przez KNF jest co najmniej od kilku lat w pełni naturalne: najpierw przeprowadzenie oceny skutków przetwarzania danych, a dopiero potem podejmowanie poważnych działań w obszarze zarządzania danymi.
A wszystkich zainteresowanych tematyką marketingu instytucji nadzorowanych w social media zapraszam na moją prezentację „Marketing i komunikacja instytucji nadzorowanych” podczas tegorocznej edycji Uregulowani Live 2021. Wspólnie rozłożymy projekt stanowiska UKNF na czynniki pierwsze, zidentyfikujemy najbardziej zapalne punkty oraz przygotujemy plan działań uwzględniający bezpieczeństwo prawne i interesy instytucji finansowej. Zachęcam serdecznie do udziału!