Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Banki i KIR budują CMO - bazę informacji o kontach firm z "oceną ryzyka". Tylko... jakim prawem?

03-03-2017, 08:27

Przekazywanie informacji z banków do KIR ma ruszyć na początku kwietnia. Już ustalono pewne szczegóły techniczne, ale nie bardzo wiemy jaka jest podstawa prawna tych działań. Możliwe, że ona dopiero się tworzy. Czekamy na wyjaśnienia a tymczasem opisujemy to, czego dowiedzieliśmy się z dokumentów otrzymanych drogą nieoficjalną.

Wiadomo, że obecny rząd jest bardzo zainteresowany uszczelnianiem systemu podatkowego. Dość szybko przygotował specjalną ustawę, która miała ułatwić tworzenie narzędzi do zautomatyzowanego wyłapywania naruszeń. Później na tapetę trafiło wymienianie się informacjami między ZUS-em i fiskusem. W planach jest również uruchomienie Centralnej Bazy Rachunków, która może bardzo zmienić to jak postrzegamy tajemnicę bankową.

Generalnie uszczelnianie systemu podatkowego nie jest złe, natomiast powinno ono przebiegać w sposób przejrzysty. Obywatele powinni wiedzieć według jakich kryteriów będą oceniani przez algorytmy. Zautomatyzowane profilowanie zawsze rodzi ryzyko dyskryminacji, dlatego potrzebna jest kontrola społeczna takich metod oceniania i potrzebne są uregulowania prawne.

Z informacji uzyskanych przez Dziennik Internautów wynika, że banki w porozumieniu z KIR już teraz prowadzą pewne działania związane z budowaniem bazy z "oceną ryzyka",  a podstawa prawna tych działań może być tworzona później. Te działania są określane jako "projekt CMO" co jest skrótem od Centralny Mechanizm Oceny.

CMO - baza danych o firmach z “oceną ryzyka”

O CMO wiemy tyle, że może on łączyć dane z różnych źródeł, w tym dane o klientach banków, które będą przekazane przez same banki do Krajowej Izby Rozliczeniowej (KIR) - instytucji infrastrukturalnej polskiego sektora bankowego działającą na podstawie art. 67 Prawa bankowego.

Przekazywanie danych ma się rozpocząć 1 kwietnia, a następnie te dane mają być codziennie aktualizowane.

Dziennik Internautów otrzymał dokumenty związane z inicjatywą. Jeden z tych dokumentów ma ponad 50 stron i opisuje strukturę plików XML jakie mają być przekazywane w komunikacji z bankami “w ramach projektu CMO”. Z tego dokumentu dowiadujemy się, że do nowej bazy trafią następujące dane:

  • Numery NIP i PESEL,
  • Nazwy firm,
  • numery REGON i KRS,
  • data rozpoczęcia działalności i rodzaj działalności,
  • adres siedziby,
  • numer telefonu,
  • e-mail,
  • Nazwisko pełnomocnika lub "beneficjenta rzeczywistego", jego obywatelstwo, adres, telefon, e-mail,
  • informacje o dokumencie tożsamości (seria, numer).

Dokument wspomina też o danych, jakie mają się znaleźć w plikach z wynikami “oceny ryzyka”. Będzie w nich sumaryczna liczba punktów ryzyka, kategoria ryzyka i lista czynników ryzyka.

Ocena ryzyka - CMO

Serwery oceny ryzyka będą w KIR

Drugi dokument jaki widzieliśmy to zestaw pytań i odpowiedzi przygotowany z myślą o bankach. Dokument wyjaśnia, iż...

W obszarze zainteresowania systemu CMO znajdują się wszystkie rachunki jakimi dysponują podmioty (firmy), które są dostępne do wykonywania i otrzymywania przelewów.

To jest ciekawe ponieważ CMO ma służyć walce z wyłudzeniami VAT a najwyraźniej w systemie znajdą się informacje o rachunkach wszystkich firm, nie tylko płatników VAT.

Banki powinny przekazać wszystkie dane, które mają dostępne w swoich kartotekach, zarówno dla pełnomocników, jak i beneficjentów rzeczywistych, jednakże wypełnienie pełnych danych dla osób powiązanych nie jest wymagane – w szczególności nie jest wymagane wypełnienie danych adresowych dla beneficjentów rzeczywistych podmiotu, jeżeli Bank ich nie posiada.

Z dokumentu dowiadujemy się również, że początkowo wykorzystywane będą interfejsy już funkcjonujące w komunikacji plikowej pomiędzy KIR i Bankami (analogiczne jak np. Elixir).

Dodatkowo serwery przetwarzania danych i “scoringu oceny ryzyka” będą posadowione w samej KIR. Przewiduje się utworzenie interfejsów usługowego SOA oraz webowego, które będą umożliwiały odpytanie online o nadany “risk score”. Co ciekawe, MF najwyraźniej jeszcze nie wie jak będzie obliczany “risk score”. Ewentualnie już to wie, ale nie było takiej informacji gdy tworzono dokument jaki widzieliśmy.

Można kliknąć na obrazek poniżej aby zobaczyć powiększoną wersję.

RiskScore

Co ciekawe w dokumencie nie ma odpowiedzi na pytanie, czy pliki przesyłane przez banki będą szyfrowane!

Dużo pytań

Dokumenty jakie widzieliśmy dotyczą kwestii technicznych, ale istotne pytania nietechniczne pojawiają się z punktu widzenia obywatela.

Nasze źródło twierdzi, że banki już od kwietnia będą przekazywać dane o klientach do KIR. Tylko jaka jest podstawa prawna tego działania? Możliwe, że ta podstawa dopiero powstaje. Poza tym wydaje się, że jeśli ministerstwo finansów buduje jakąś bazę z “punktami ryzyka” i nawet “czarnymi listami” (bo jest o nich mowa w dokumencie) to byłoby dobrze poinformować obywateli o tym jak te oceny będą przeprowadzane i jak mogą wpływać na działania państwa wobec obywatela. Czy firmy i obywatele będą mogli sprawdzać swoje scoringi? A może będą jakkolwiek informowani o niskiej ocenie albo o trafieniu na jakąś “czarnę listę”? Czy poznamy listy kategorii ryzyka lub czynników ryzyka?

W związku z tą sprawą skierowaliśmy pewne pytania do Ministerstwa Finansów. Czekamy na odpowiedzi.

Zobacz także:

Zmyl trop

W czasach permanentnej inwigilacji w sieci, próby ograniczania ilości danych prywatnych, które umieszczamy w internecie, czy domaganie się od rządzących wprowadzenia praw mających na celu ich ochronę już nie wystarczą. Finn Brunton i Helen Nissenbaum wzywają w swojej książce do stawienia czynnego oporu rządom, firmom i organizacjom....*

Podstawa prawna?

Z pytaniami w tym zakresie zwróciliśmy się także do Fundacji Panoptykon, która zajmuje się problemami społeczeństwa nadzorowanego. W tej fundacji udziela się niejeden prawnik a jednak Panoptykon również nie wie jaka jest podstawa prawna!

- Z naszego wstępnego rozeznania wynika, że prowadzone działania nie mają podstawy prawnej. A instytucje państwowe powinny działać na podstawie i w granicach prawa. Odpowiednia podstawa ustawowa niezbędna zwłaszcza wówczas, gdy podejmowane działania ingerują w prawa i wolności obywateli. Trudno jednoznacznie oceniać sprawę na podstawie wycinkowych doniesień, ale wszystko wskazuje na to, że tak właśnie jest w tym przypadku - napisała Małgorzata Szumańska z Fundacji Panoptykon w e-mailu z komentarzem dla Dziennika Internautów.

- Najbardziej niepokoi właśnie to, że tak mało o sprawie wiadomo i można wątpić, czy podejmowane działania mają odpowiednie umocowanie w prawie. Dlatego Fundacja Panoptykon – zaniepokojona ostatnimi doniesieniami – również postanowiła się zwrócić do Ministerstwa Finansów z pytaniami dotyczącymi opisywanych działań. Interesowała nas oczywiście podstawa prawna, ale też to, czyje dane trafią do KIR. Bo jeśli całe rozwiązanie ma służyć walce w wyłudzeniami VAT, to warto zacząć od pytania, czy do systemu trafią tylko dane płatników tego podatku czy również innych osób czy instytucji. Wątpliwości, które się nasuwają, jest oczywiście znacznie więcej – choćby jakie będą zasady profilowania klientów i wpisywania ich na „czarne listy”, kto będzie o tym decydował, czy osoba, której to dotyczy, będzie o tym informowana i czy będzie miała prawo zakwestionowania tego. Odpowiedzi na te wszystkie pytania powinniśmy móc znaleźć w ustawie.

Wydaje się, że teraz pora na Ministerstwo Finansów, które powinno ostatecznie rozwiać wątpliwości i wyjaśnić co właściwie się dzieje. Czekamy.

Czytaj także: Państwo chce wiedzieć czy masz bitcoiny! Ustawa o Centralnej Bazie Rachunków obejmie waluty wirtualne


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *