Na podstawie art. 15. Ustawy o RODO konsument ma prawo zażądać od banku ujawnienia danych, jakie bank przechowuje na jego temat. Tyle teoria, a jak jest w praktyce? Po roku od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) banki wciąż nie mają jednolitych standardów prezentowania tych danych. Jedne ujawniają więcej, inne mniej danych. To musi się zmienić!
Małżeństwo. Mają wspólnotę majątkową, konta w tym samym banku. Tego samego dnia on dostaje propozycje 200.000 zł pożyczki, ona – 135.000 zł. Warunki cenowe dla niego: pożyczka z RRSO (rzeczywista roczna stopa oprocentowania) na poziomie 9,89%, dla niej: RRSO to 14,24%. Oferty różnią się też „marketingowym opakowaniem”. On „może dopasować pożyczkę do siebie i celów, które ma na horyzoncie”, ona dzięki pożyczce będzie mogła spełnić „plany i marzenia swoich bliskich”.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
To przykład z życia wzięty. Skąd biorą się te różnice? Dlaczego mężczyźnie bank zaoferował większy kredyt i na lepszych warunkach? Jeszcze rok temu przed wejściem w życie RODO, ta zagadka była właściwie nie do rozszyfrowania.
Przeczytaj też: Swoje dane znalazła w banku, któremu ich… nigdy nie przekazała. RODO kontra brutalna rzeczywistość bankowego biznesu
Przeczytaj też: Revolut ma problem z RODO? „Nie mogłem wyłączyć zgód marketingowych!” – alarmuje czytelnik. A Revolut prosi, żeby… zajrzał do apki
Dane osobowe to nie tylko imię i nazwisko
Jej rozwikłanie tkwi w tzw. profilach marketingowych klientów. Elementem takiego profilu są dane, które klient sam podaje bankowi, np. płeć, wiek, zawód, wykształcenie (te dane wpisujemy np. we wniosku o kredyt). Nie wiemy natomiast, z jakich innych elementów bank złożył nasz profil marketingowy. Może to być np. analiza naszych zakupów: co, gdzie, jak często kupujemy. Na tej podstawie banki mogą profilować oferty np. pożyczek. Od profilu klienta może też zależeć jego cena.
Do tej pory klienci nie wiedzieli, co – oprócz oczywistych danych identyfikacyjnych – wiedzą o nich banki. Ale właśnie dzięki RODO mamy prawo się o tym dowiedzieć. Problem w tym, że RODO jest aktem prawnym dość ogólnym. A to daje duże pole do interpretacji. Z RODO wynika, że bank musi nam pokazać to, co o nas wie. Ale nie ma zapisu, który precyzowałby jak dokładna musi to być lista danych czy cech klienta.
Czytaj też: Jakie prawa daje nam RODO? Jak z nich skorzystać? Poradnik „Subiektywnie o finansach”
Przeczytaj też: Zamknęła konto w Getinie i poprosiła bank o usunięcie swoich danych osobowych. Bank jej… odmówił. Co tu jest grane? Co na to RODO?
Posłuchaj: Podcast Panoptykonu o rocznicy RODO
ING utrudnia złożenie wniosku?
By przekonać się jak RODO działa w praktyce, wspólnie z Fundacją Panoptykon przeprowadziliśmy eksperyment. Poprosiliśmy banki, by odkryły karty, czyli pokazały, co o nas wiedzą. Złożyliśmy wnioski o udostępnienie danych. Okazało się, że właściwie każdy bank inaczej interpretuje RODO.
Np. ING Bank wskazał dane identyfikacyjne, teleadresowe i korespondencyjne. Ale nie pokazał innych informacji, które niewątpliwie na jej temat przetwarza, czyli np. informacji o transakcjach, posiadanych lokatach, czy też danych, które prawdopodobnie posiada.
W przypadku innego wniosku skierowanego do ING pojawił się problem dotyczący samego sposobu złożenia wniosku o udostępnienie danych. RODO nie precyzuje, czy wniosek trzeba przesłać listem poleconym, e-mailem czy w jeszcze innej formie. Bank musi mieć tylko pewność, że wniosek składa osoba, której dane dotyczą. Najprościej więc złożyć wniosek za pośrednictwem bankowości elektronicznej. Ale gdy tak zrobiliśmy, bank przekierował nas do innej zakładki w systemie.
Czy miał prawo odrzucić wniosek złożony w pierwotnej formie? Wojciech Klicki, prawnik Fundacji Panoptykon, uważa, że nie:
„Zgodnie z RODO administrator ułatwia osobie, której dane dotyczą, wykonywanie ich praw. Specjalne zakładki czy formularze mogą być takim ułatwieniem. Ale gdy otrzymuje żądanie złożone w innej formie, niż przez niego przewidziana, nadal ma obowiązek je rozpatrzyć w terminie miesiąca”
Informacja bez profilu marketingowego
Z prośbą o ujawnienie danych osobowych zapukaliśmy też do PKO BP. Bank wysłał informacje o przetwarzanych kategoriach danych osobowych (identyfikacyjne, adresowe oraz kontaktowe) oraz wskazał te dane. Zaznaczył jednak, że…
„Dane wykorzystane do oceny kredytowej w związku ze złożonymi wnioskami kredytowymi obejmują wszystkie informacje złożone we wniosku oraz dokumentach załączonych do wniosku takie jak informacje o wykształceniu, ilości osób w gospodarstwie domowym, miejscu pracy”
Zdaniem ekspertów Panoptykonu, bank nie zrealizował żądania, bo nie wskazał konkretnie tych danych, które przetwarza na potrzeby rozpatrzenia wniosków kredytowych.
Przeczytaj też: Serwisy społecznościowe żądają, byś zaakceptował nowe regulaminy. Grożą, że mogą odciąć Cię od usług. Zgodzić się?
Przeczytaj też: Nie zgodziłeś się na podanie wrażliwych danych aplikacji SkyCash? Przy „rozwodzie” z nią czeka cię niemiła niespodzianka. Musisz zapłacić…
Nieco lepiej w naszej ocenie wypadł Alior Bank, który poza danymi podstawowymi udostępnił (co prawda dopiero po wysłaniu ponagleniu) szerszy zestaw danych osobowych: historię lokat terminowych, historię karty kredytowej i wyciąg z konta z ostatnich 12 miesięcy.
Ale również Alior nie pokazał kluczowych danych, czyli obrazu klienta, jaki na podstawie wielu różnych informacji wyrobił sobie bank – nie pokazał profilu marketingowego klienta.
Fundacja Panoptykon radzi:
Sprawdź, jak zażądać informacji o przetwarzanych danych w 4 krokach
Sprawdź, jak zażądać kopii danych w 4 krokach
Sprawdź, jak sprzeciwić się przetwarzaniu danych w 4 krokach
Banki pokazują to, co już wiemy
Pierwsze próby sprawdzenia, jak prawo do ujawnienia danych o klientach wygląda w praktyce pokazało, że RODO nie spełnia swojej roli. Banki pokazują tylko to, co i tak raczej wiemy, że przechowują na nasz temat.
Jako klient chciałbym się dowiedzieć np., czy bank uważa mnie za klienta „podwyższonego ryzyka” z takiego lub takiego powodu. To jest wartościowa informacja, dzięki której mogę próbować zmienić swoje zachowania. W przeciwnym razie RODO nic nowego mi nie daje, a przecież nie o to chodziło.
„Dostęp do danych nie powinien ograniczać się do danych wprowadzonych do banku przez klienta (np. imię i nazwisko) lub wprost wynikających z jego aktywności (np. wyciąg z rachunku). W bankach istnieje trzecia warstwa danych osobowych, którą generują banki na podstawie naszej aktywności i która wykorzystywana jest m.in. do celów marketingowych. I tę również mamy prawo poznać”
– mówi Wojciech Klicki.
Jak złożyć wniosek o udostępnienie danych?
A może po prostu źle trafiliśmy i inne banki ujawniają więcej informacji o klientach? Żeby się o tym przekonać, zachęcamy Was do skorzystania z prawa, jakie daje art. 15 RODO oraz do podzielenia się z nami wnioskami.
Jak złożyć taki wniosek? Przekonaliśmy się, że np. w ING Banku trzeba skorzystać ze specjalnego formularza, ale generalnie powinniśmy móc zrobić to w dogodnej dla nas formie, np. e-mailem. W wiadomości do banku wystarczy napisać:
„Na podstawie art. 15 RODO zwracam się z wnioskiem o udostępnienie przetwarzanych przez Bank moich danych osobowych oraz informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o okresie przechowywania danych, o odbiorcach danych (komu bank je udostępnił) i o źródłach, z jakich pochodzą dane”.
Z kolei mBank pouczył nas, że należy skorzystać z jednego z następujących sposobów: rozmowy z ekspertem online, konsultantem mLinii lub rozmowy z pracownikiem w placówce. Czyżby nie można było wysłać prośby o udostępnienie danych poprzez formularz kontaktowy w ramach bankowości elektronicznej?
A jak jest w innych bankach? Sprawdzajcie i nam donoście! Pierwsze żądanie danych jest bezpłatne. Bank powinien odpowiedzieć w ciągu 30 dni.
——————————
Partnerem merytorycznym raportu z okazji pierwszej rocznicy RODO w Polsce jest Fundacja Panoptykon, która zajmuje się pilnowaniem naszego prawa do prywatności i ochrony danych. Więcej na temat działalności Panoptykonu przeczytasz tutaj
Źródło zdjęcia: Pixabay
