Czy za złamanie przepisów o ochronie danych osobowych bank powinien odpowiadać finansowo? Bankowcy wychodzą z założenia, że jeśli nie doszło do straty materialnej, to za nic nie muszą płacić. W przypadku pana Dominika bank złamał zasady RODO i naraził klienta na niebezpieczeństwo. Zamiast odszkodowania, polecił, by klient… skorzystał z alertów BIK
Co chwilę opisujemy absurdy z życia klientów banków, firm ubezpieczeniowych czy inwestycyjnych. Wydaje się, że już nic nie może nas zaskoczyć. A jednak. Dziś mam dla Was historię, jaka kilka miesięcy przydarzyła się panu Dominikowi. Jest w niej wątek bankowych zabezpieczeń (a raczej ich braku), złamanie zasad RODO (o ochronie danych osobowych) i gwałt na prywatności klienta.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ale od początku. Pan Dominik jest klientem banku BNP Paribas. W maju zalogował się na swoje konto i… zdębiał. Okazało się, że jednocześnie ma dostęp do rachunku nieznanej sobie osoby.
„Miałem możliwość wpłat i wypłat środków pieniężnych, podgląd historii bankowej oraz wgląd do zaciągniętych zobowiązań kredytowych przez osobę trzecią, ponieważ widniałem w systemie jako współwłaściciel konta”
– opisuje nasz czytelnik. Co więcej, nowy „współwłaściciel” konta też miał dostęp do środków pana Dominika, mógł przejrzeć jego historię konta. Słowem – miał dostęp do wszystkiego, na co pozwala bankowość elektroniczna. Po zgłoszeniu bankowi tego faktu (bank ponoć twierdzi, że to on wykrył błąd, a nie klient), rachunek naszego czytelnika został zablokowany.
„Zablokowanie dostępu do bankowości elektronicznej spowodowało, że nie byłem w stanie wywiązać się z zobowiązań bieżących, które posiadałem na ten moment. Nie mogłem wykonać przelewów elektronicznie, jak również osobiście w placówce, ponieważ wszystkie oddziały banku w tym dniu były zamknięte”
– opisuje czytelnik. Jego zdaniem, zaniedbanie banku było na tyle duże, że zażądał od banku „odszkodowania i zadośćuczynienia za doznaną krzywdę materialną, jak i niematerialną” w wysokości 10 000 zł.
„Uważam, że odszkodowanie i zadośćuczynienie jest adekwatne do naruszenia tajemnicy bankowej i udostępnienia danych osobowych. Chciałbym też poinformować, że sprawa będzie zgłaszana przeze mnie do KNF i UODO.”
Przeczytaj też: Pociąg podmiejski pełen taryfowych tajemnic. Czy bilet ulgowy może być droższy od normalnego? Prawidłowa odpowiedź: „To zależy”
Jak bank połączył konta klientów?
Do sprawy odszkodowania jeszcze wrócę. Ale wyjaśnijmy najpierw, jak to się w ogóle stało, że dwie nieznane sobie osoby nagle stały się „współwłaścicielami” swoich kont? Bank BNP Paribas przyznał, że on tu zawinił. Podczas procesu KYC (ang. Know Your Customer – procedura polegająca m.in. na aktualizacji danych klientów) do kartoteki klienta – na skutek nieuwagi pracownika banku – numery PESEL dwóch klientów (w tym pana Dominika) zostały połączone w jednej kartotece.
Bank przyznaje też, że takie połączenie skutkowało tym, że obaj klienci mogli widzieć w swojej bankowości internetowej oprócz swojej kartoteki kartotekę drugiego klienta wraz z danymi osobowymi. Chodzi o imię, nazwisko, serię i numer oraz datę ważności dowodu osobistego, adres zamieszkania, numer telefonu i operacje na rachunku.
„W związku z tym zawarte w bankowości elektronicznej dane dotyczące Pana mogły zostać udostępnione osobom nieuprawnionym”
– czytam w piśmie banku do naszego czytelnika. Bank precyzuje, że skontaktował się w tej sprawie „niezwłocznie”, choć od błędu pracownika do wykrycia problemu minęło 9 dni. Polemizowałbym ze stwierdzeniem, że było to niezwłocznie. W dalszej części pisma bank opisuje, że „ podjął natychmiastowe działania w celu likwidacji błędu” i że pracownikowi odpowiedzialnemu za niedociągnięcie przypomniano o zasadach przetwarzania danych osobowych. „Został też pouczony, by dochowywał należytej staranności podczas wpisywania danych klientów do systemu bankowego”.
Bank przyznaje, że złamał zasady RODO, ale płacić nie zamierza
Problem został rozwiązany. Bank „odseparował” klientów, ale dla pana Dominika takie wyjaśnienie nie jest wystarczające. Uznał, że został narażony na duże niebezpieczeństwo, z czym trudno polemizować. Zresztą bank – w piśmie do klienta – sprecyzował, na jakie konsekwencje wystawił klienta. Nie zrobił tego z własnej inicjatywy, taki obowiązek nakłada rozporządzenie RODO.
A zatem pan Dominik był narażony na kradzież lub sfałszowanie tożsamości, utratę kontroli nad własnymi danymi osobowymi lub ograniczenie praw do nich oraz inne szkody gospodarcze lub społeczne w tym na stratę finansową, naruszenie dobrego imienia lub utratę poufności danych osobowych chronionych tajemnicą bankową. Na tożsamość naszego czytelnika ktoś mógł zawrzeć np. umowę najmu nieruchomości czy wyłudzić kredyt lub pożyczkę.
Bank przyznał się, że nieźle nabroił, ale nie zamierza odpowiadać za to finansowo. Przypomnijmy, pan Dominik domagał się od banku 10 000 zł zadośćuczynienia. W odpowiedzi na reklamację bank napisał, że nie może uznać żądania. Jaki podał powód?
„W przypadku wypłaty odszkodowania (rekompensaty) poszkodowanemu przysługuje roszczenie o naprawienie szkody (czyli odszkodowanie) rozumianej jako uszczerbek, na który składają się: strata, czyli uszczerbek, który poszkodowany poniósł w swych dobrach majątkowych; utracone korzyści, czyli takie, które mógłby osiągnąć, gdyby nie wyrządzono mu szkody.”
Bank dodał, że przy podejmowaniu decyzji o uznaniu roszczeń odszkodowawczych weryfikuje związek przyczynowo-skutkowy pomiędzy zaniechaniem, jakiego się dopuścił, a wskazywaną szkodą. A że takiego związku się nie dopatrzył, nie widzi podstaw do wypłaty żądanej kwoty odszkodowania.
Przeczytaj też: Montaż kuchni z IKEA. Drobny błąd projektanta i ogromne problemy klienta: „Mam czekać albo odesłać do sklepu 144 paczki z częściami”
Bank do klienta: „Przepraszamy. Proszę wykupić Alerty BIK”
Nie jest tak, że bank zachował się całkowicie bezdusznie. Przyznał się do złamania zasad RODO i poprosił klienta o przyjęcie przeprosin. A żeby klient – przez błąd banku – nie wpadł w poważne tarapaty, np. kredyt wzięty na jego nazwisko, zasugerował panu Dominikowi, żeby ten wykupił „Alerty BIK” (można mieć je od niedawna w aplikacji w smartfonie). To usługa, która powiadamia nas (SMS-em, e-mailem), jeśli ktoś sprawdza nas w bazie BIK. Dzięki temu możemy szybko zareagować, gdyby ktoś próbował wyłudzić pożyczkę na nasze dane. Bank przesłał też linki do stron, na których opisano, jak nie dać się oszukać cyberprzestępcom.
Przyznam, że to dość dziwna reakcja. Bank mówi klientowi, że naraził go na potencjalne zagrożenia i teraz tłumaczy mu, jak się nie dać oszukać. Wiosną tego roku media obiegła informacja o tym, że z Rządowego Centrum Bezpieczeństwa wyciekły dane osobowe ponad 20 000 funkcjonariuszy publicznych, m.in. policjantów. Co zrobił Komendant Główny Policji? Z policyjnego budżetu miał wykupić dla wszystkich funkcjonariuszy, których dane wyciekły, usługę „Alerty BIK”.
Nie wiem, czy żądanie pana Dominika (10 000 zł), to adekwatna kwota. Nie stracił pieniędzy, choć twierdzi, że nie mógł wykonać płatności, gdy bank zablokował konto. Może wśród osób, które nas czytają, są prawnicy, którzy są w stanie ocenić, czy sprawa o odszkodowanie w takiej lub nieco mniejszej wysokości byłaby do wygrania w sądzie.
Moim zdaniem udzielanie rad panu Dominikowi – w obliczu tak poważnego naruszenia – jest słabe. Bank mógłby wziąć przykład z policjantów i przynajmniej zafundować klientowi wypasiony abonament w BIK, w ramach którego są m.in. wspomniane alerty. Jeśli nie chce wypłacić odszkodowania, mógłby zaproponować lepsze warunki korzystania z usług, np. zwolnić z opłat za kartę czy wypłaty z bankomatów. Błędy się zdarzają (choć w przypadku banku nie powinny, a zwłaszcza takiego kalibru), ale dzięki takim gestom klient mógłby poczuć, że bank naprawdę żałuje, że popełnił błąd.
Czytaj też: „Dopuścili do wyceiku danych i udają, że nic się nie stało” (subiektywnieofinansach.pl)
Źródło zdjęcia: Pixabay
