Revolut intensywnie uzupełnia swoją ofertę o produkty bankowe. Ostatnio zaoferował kredyty gotówkowe i karty kredytowe. Nasza zdolność kredytowa w ramach tej usługi jest badana bardzo sprawnie i błyskawicznie – dzięki dyrektywie PSD2 wszystko jest automatyczne, ale jednocześnie opiera się na mechanizmie, który nie każdemu się podoba, czyli zaglądaniu przez Revolut na nasze konta bankowe. Czy nasze dane osobowe w Revolut są bezpieczne i czy nie udostępniamy ich za dużo oraz na zbyt długi okres?
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
W kwietniu zrecenzowałem nowe funkcjonalności kredytowe w aplikacji Revolut: kredyt gotówkowy oraz kartę kredytową – tutaj do poczytania. Teraz niejako kontynuuję ten temat, a zachęcił mnie do tego komentarz jednego z czytelników, którego zaniepokoiło zapotrzebowanie na nasze dane osobowe w Revolut. Pan Mateusz napisał:
„Revolut i Kontomatik to przykłady jak implementacja PSD2 w ogóle nie powinna wyglądać. (…) Bardzo szeroki zakres pobieranych danych, brak informacji o pobieranym zakresie czasowym udostępniania tych danych, brak informacji co się stanie z danymi po przeprocesowaniu wniosku kredytowego…”
Jak widzicie, zarzutów jest kilka i są dość poważne. Ja podczas analizy nie zaobserwowałem jednak szczególnej „żarłoczności” Revoluta jeśli chodzi o moje dane. Ale skoro pojawiły się wątpliwości, to postanowiłem uzupełnić recenzję kredytów w Revolut także o „audyt” informacji, które aplikacja – przy okazji pożyczania nam pieniędzy – pozyskuje. Porównam pakiet danych żądanych przez Revoluta z podobnymi klauzulami banków stosujących PSD2. Czy trzeba się obawiać zaciągania w Revolut kredytów? I czy oprócz odsetek „płacimy” Revolutowi naszymi danymi?
Weryfikacja dochodu w Revolut
Większość użytkowników Revoluta wykorzystuje aplikację raczej jako dodatkowy portfel internetowy, niż podstawowe narzędzie do codziennego bankowania. Przed pandemią Revolut często był wykorzystywany tylko za granicą lub do szybkiego przelewu między znajomymi.
Analitycy kredytowi w Revolut nie mają więc (najczęściej) informacji ani o regularnie wpływającym wynagrodzeniu na nasze konto, ani o naszych wydatkach. A to podstawowe dane, które pozwalają oszacować na jaki kredyt nas stać.
Na ratunek przyszła dyrektywa PSD2, dzięki której Revolut (i inne fintechy) mogą uzyskać dostęp do naszej bankowości. Oczywiście za naszą zgodą. Proces jest prosty: podajemy poziom dochodów oraz wydatków, wyrażamy niezbędne zgody, logujemy się do banku bezpośrednio z aplikacji Revolut i już. Resztę sprawdzi za nas revolutowy automat.
Jakie dane osobowe udostępniamy w Revolut? I na jak długo?
W celu zbadania zdolności kredytowej musimy zaakceptować odpowiednie zgody. Najpierw zgadzamy się na to, że Revolut sprawdzi nas u zewnętrznych dostawców (rejestry typu BIK). Dane o wyniku takiej weryfikacji będą przetwarzane maksymalnie przez okres 5 lat (w przypadku, w którym nie zawrzemy umowy kredytowej) lub przez 6 lat po rozwiązaniu takiej umowy. Nie wiem dlaczego aż przez pięć lat Revolut chce przechowywać dane o scoringu i liście zobowiązań niedoszłego klienta w różnych bankach, jednak banki rezerwują sobie takie prawo. Nasze dane osobowe w Revolut będą – mamy nadzieję – bezpieczne, ale szybko z serwerów apki nie znikną.
Następnie zgadzamy się na wsparcie zewnętrznych dostawców (to aplikacja do potwierdzania tożsamości i historii transakcji), za pomocą których Revolut uzyska dostęp do naszego rachunku bankowego. W tym celu potwierdzamy klauzulę informacyjną oraz regulamin usługi jednorazowej. To krótkie (odpowiednio trzy i cztery strony) dokumenty udostępniane nam jako plik .pdf. Administratorem danych jest partner Revoluta, który świadczy taką usługę, czyli Kontomatik.
Dane będą przechowywane przez 14 dni w celu wykonania jednorazowej usługi. Ponadto Kontomatik zastrzega sobie prawo do przechowywania danych pobranych z naszego konta bankowego do 3 lat w celach nie związanych z wykonaniem usługi (np. analiza i poprawa usług). Ten zapis może budzić kontrowersje, bo Kontomatik jest „wynajęty” przez Revoluta tylko do pobrania (i być może wstępnego przeanalizowania) naszej historii rachunku. Nie musiałby się tymi danymi „bawić” jeszcze przez trzy długie lata. Jednak zgoda na to jest od klienta pobierana.
Poza tym standardowe formułki: że rozumiemy, że dane mogą być przekazywane na podstawie obowiązujących przepisów i na potrzeby organów państwa (np. policji) lub podmiotom zewnętrznym działającym na zlecenie (np. dostawcy IT). No i oczywiście do Revoluta, bo w końcu o to chodzi.
Samo pobranie danych z naszego rachunku bankowego polega na zalogowaniu się – za pośrednictwem aplikacji Revolut – do naszego banku, do którego wpływa nasze wynagrodzenie. Po zalogowaniu się musimy jeszcze autoryzować odpowiednią dyspozycję. W zależności od banku te powiadomienia różnie wyglądają. Ja musiałem potwierdzić dyspozycję: „udostępnienie danych o rachunku”.
Taka zgoda na pobieranie danych z naszego rachunku bankowego jest jednokrotna i ważna przez godzinę. Czego Revolut będzie się mógł o nas i o naszych domowych rachunkach dowiedzieć? Udostępniamy listę swoich rachunków płatniczych wraz z podstawowymi danymi (nazwa, waluta, saldo). Możemy wybrać, który rachunek udostępniamy, a więc mając ich kilka możemy udostępnić tylko jeden. Kontomatik wyszczególnia liczbę i rodzaj danych, które mogą się tam znaleźć, bo tak naprawdę zależy to od interfejsu naszego banku:
Lista udostępnianych informacji wydaje się długa, ale to tak naprawdę po prostu dostęp do historii wybranego rachunku. To oczywiście są dane, które w jakimś sensie nas obnażają, ale ich zakres nie jest szerszy, niż to, co pobierają banki – analogowo lub w formie cyfrowej – badając naszą zdolność kredytową.
Chociaż trzeba tu od razu dodać, że gdy przychodzi klient „z ulicy”, to choć banki też zadają dużo pytań, to oczywiście nie wszystkie „umieją” zajrzeć potencjalnemu klientowi na konto bankowe. A Revolut umie. W tych danych o ruchach na naszym rachunku oczywiście jest więcej informacji, niż moglibyśmy udzielić w najbardziej nawet szczegółowym wniosku kredytowym (w tej części, która dotyczy naszych dochodów i wydatków).
Jak długo nasze dane finansowe i dane osobowe w Revolut pozostaną?
W zależności od banku Revolut może dostać trochę więcej lub trochę mniej naszych danych. (jeden bank poda numer karty przy liście transakcji, a inny go wygwiazdkuje, itd.). Kontomatik zastrzega, że jeżeli z przyczyn technicznych otrzyma dostęp do szerszego zakresu danych, niż ten wnioskowany, to nie będzie ich przetwarzać do żadnych celów i usunie ze swoich serwerów w ciągu 14 dni. Natomiast warto zwrócić uwagę, że część z tych danych Revolut i tak posiada (chociażby wszystkie dostępne na dokumencie tożsamości).
Często zdarza się, że zaciągając gdzieś zobowiązanie musimy podzielić się wyciągiem z konta. Tutaj proces jest automatyczny i osobiście uważam, że jest to bezpieczniejsze niż zostawianie komuś papierowej wersji wyciągu (nawet z trochę mniejszą ilością danych) lub – o zgrozo – logowanie się w jakiejś placówce do swojego banku i pokazywanie wyciągu (a takie historie też słyszałem).
Rzeczywiście nie doszukałem się informacji o zakresie czasowym badania danych z naszych wyciągów, które udostępniane są partnerowi Revoluta. Kontomatik zaznacza, że przetwarza dane za okres wskazany przez Revolut. Ale nie widziałem, by tenże Revolut konkretny okres wskazywał. Innymi słowy: trzeba założyć, że Revolut i Kontomatik uzyskują dostęp do całej historii wskazanego przez nas rachunku. Czyli np. za 10 lat, o ile mamy konto w danym banku od dawna. I to jest pewna pułapka.
Postanowiłem zapytać o to na czacie obsługę Revoluta. Dowiedziałem się, że w celu uzyskania zdolności kredytowej w Revolut trzeba otrzymywać przez minimum cztery miesiące wynagrodzenie (netto) w kwocie nie mniejszej niż 1.500 zł oraz maksymalnie 40% tego dochodu przeznaczać na istniejące zobowiązania finansowe. Dlatego tylko taki okres na naszym wyciągu powinien być analizowany. No, ale to tylko odpowiedź konsultanta. W „papierach” takiego zobowiązania Revolut nie składa.
Aktualizacja: Revolut skontaktował się też z nami po publikacji tego artykułu i zapewnił, że długość historii pobieranej z banku zależy od konkretnego banku i wynosi zazwyczaj 90 dni. Maksymalnie, w niektórych przypadkach, może wynieść do 180 dni.
A jak to jest w bankach?
Dla porównania sprawdziłem, jak wyglądają podobne klauzule w polskich bankach. Wybrałem bank Millennium, który – co tu dużo pisać – ma dosyć rozwiniętą i nowoczesną aplikację mobilną (a aplikacje banków sporo już potrafią).
Za jej pośrednictwem możemy zobaczyć pełny obraz swoich finansów dodając konta z innych banków (na razie z mBanku, PKO, Pekao, Santandera, Aliora, ING, BNP Paribas, Inteligo i Citi handlowego). Co znajdziemy w regulaminie tej usługi?
W celu świadczenia usługi Millennium „pozyskuje informacje o rachunkach płatniczych użytkownika i związanych z nimi transakcjami płatniczymi za pośrednictwem tej usługi”. Zakres pozyskanych danych wygląda więc podobnie.
Otrzymujemy jedną z czterech usług: dostęp do informacji o rachunku (czyli widzimy nasz rachunek z innego banku), inicjowanie transakcji płatniczej (czyli możemy zlecić przelew w innym banku za pośrednictwem Millennium), weryfikacja dochodu (ocena zdolności kredytowej, coś a la Revolut wyżej) i weryfikacja tożsamości.
Bank pobiera dane za maksymalnie 24 pełne miesiące plus za bieżący miesiąc. Dane są aktualizowane na bieżąco – do czasu wycofania zgody. Bank Millennium zastrzega sobie też prawo do działań marketingowych na podstawie tych danych (jeżeli wyraziliśmy osobną zgodę na kontakt marketingowy).
Podsumowując: Revolut dostanie nasze dane, ale – poza danymi osobowymi, które i tak już posiada – będzie to przede wszystkim wynik scoringu w BIK oraz historię wybranych rachunków w zasadzie od początku posiadania przez nas konta w banku, który „podglądamy”). Ze wszystkich tych danych będzie mógł korzystać przez długie lata. W zamian oferuje wygodny kredyt online. Jeśli nie macie wystarczającego zaufania do Revolut, żeby się na to pisać – możecie złożyć wniosek w swoim głównym banku. Chociaż znam takie, które i tak poproszą o wyciąg z konta.
Trzeba też pamiętać, że od wejścia w życie RODO zarządzanie naszymi danymi osobowymi jest łatwiejsze i bardziej przejrzyste. Przysługuje nam teraz szereg praw odnośnie danych osobowych. Między innymi mamy prawo do wglądu, zmian i ograniczenia przetwarzania danych.
Zdjęcie główne: Sophie Dupau / Unsplash
