15 września 2021

Pan Dominik zalogował się na swoje konto, a tam… konto innej osoby. Złamane zasady RODO i gwałt na prywatności. Zaskakująca reakcja banku

Pan Dominik zalogował się na swoje konto, a tam… konto innej osoby. Złamane zasady RODO i gwałt na prywatności. Zaskakująca reakcja banku

Czy za złamanie przepisów o ochronie danych osobowych bank powinien odpowiadać finansowo? Bankowcy wychodzą z założenia, że jeśli nie doszło do straty materialnej, to za nic nie muszą płacić. W przypadku pana Dominika bank złamał zasady RODO i naraził klienta na niebezpieczeństwo. Zamiast odszkodowania, polecił, by klient… skorzystał z alertów BIK

Co chwilę opisujemy absurdy z życia klientów banków, firm ubezpieczeniowych czy inwestycyjnych. Wydaje się, że już nic nie może nas zaskoczyć. A jednak. Dziś mam dla Was historię, jaka kilka miesięcy przydarzyła się panu Dominikowi. Jest w niej wątek bankowych zabezpieczeń (a raczej ich braku), złamanie zasad RODO (o ochronie danych osobowych) i gwałt na prywatności klienta.

Zobacz również:

Ale od początku. Pan Dominik jest klientem banku BNP Paribas. W maju zalogował się na swoje konto i… zdębiał. Okazało się, że jednocześnie ma dostęp do rachunku nieznanej sobie osoby.

„Miałem możliwość wpłat i wypłat środków pieniężnych, podgląd historii bankowej oraz wgląd do zaciągniętych zobowiązań kredytowych przez osobę trzecią, ponieważ widniałem w systemie jako współwłaściciel konta”

– opisuje nasz czytelnik. Co więcej, nowy „współwłaściciel” konta też miał dostęp do środków pana Dominika, mógł przejrzeć jego historię konta. Słowem – miał dostęp do wszystkiego, na co pozwala bankowość elektroniczna. Po zgłoszeniu bankowi tego faktu (bank ponoć twierdzi, że to on wykrył błąd, a nie klient), rachunek naszego czytelnika został zablokowany.

„Zablokowanie dostępu do bankowości elektronicznej spowodowało, że nie byłem w stanie wywiązać się z zobowiązań bieżących, które posiadałem na ten moment. Nie mogłem wykonać przelewów elektronicznie, jak również osobiście w placówce, ponieważ wszystkie oddziały banku w tym dniu były zamknięte”

– opisuje czytelnik. Jego zdaniem, zaniedbanie banku było na tyle duże, że zażądał od banku „odszkodowania i zadośćuczynienia za doznaną krzywdę materialną, jak i niematerialną” w wysokości 10 000 zł.

„Uważam, że odszkodowanie i zadośćuczynienie jest adekwatne do naruszenia tajemnicy bankowej i udostępnienia danych osobowych. Chciałbym też poinformować, że sprawa będzie zgłaszana przeze mnie do KNF i UODO.”

Przeczytaj też: Pociąg podmiejski pełen taryfowych tajemnic. Czy bilet ulgowy może być droższy od normalnego? Prawidłowa odpowiedź: „To zależy”

Jak bank połączył konta klientów?

Do sprawy odszkodowania jeszcze wrócę. Ale wyjaśnijmy najpierw, jak to się w ogóle stało, że dwie nieznane sobie osoby nagle stały się „współwłaścicielami” swoich kont? Bank BNP Paribas przyznał, że on tu zawinił. Podczas procesu KYC (ang. Know Your Customer – procedura polegająca m.in. na aktualizacji danych klientów) do kartoteki klienta – na skutek nieuwagi pracownika banku – numery PESEL dwóch klientów (w tym pana Dominika) zostały połączone w jednej kartotece.

Bank przyznaje też, że takie połączenie skutkowało tym, że obaj klienci mogli widzieć w swojej bankowości internetowej oprócz swojej kartoteki kartotekę drugiego klienta wraz z danymi osobowymi. Chodzi o imię, nazwisko, serię i numer oraz datę ważności dowodu osobistego, adres zamieszkania, numer telefonu i operacje na rachunku.

„W związku z tym zawarte w bankowości elektronicznej dane dotyczące Pana mogły zostać udostępnione osobom nieuprawnionym”

– czytam w piśmie banku do naszego czytelnika. Bank precyzuje, że skontaktował się w tej sprawie „niezwłocznie”, choć od błędu pracownika do wykrycia problemu minęło 9 dni. Polemizowałbym ze stwierdzeniem, że było to niezwłocznie. W dalszej części pisma bank opisuje, że „ podjął natychmiastowe działania w celu likwidacji błędu” i że pracownikowi odpowiedzialnemu za niedociągnięcie przypomniano o zasadach przetwarzania danych osobowych. „Został też pouczony, by dochowywał należytej staranności podczas wpisywania danych klientów do systemu bankowego”.

Przeczytaj też: Straszna historia. Śmierć kredytobiorcy i odmowa wypłaty odszkodowania. Bo „USG coś wykazało”. Pani Kamila zapewnia: „mąż nic nie zataił, bo nic nie wiedział”

Bank przyznaje, że złamał zasady RODO, ale płacić nie zamierza

Problem został rozwiązany. Bank „odseparował” klientów, ale dla pana Dominika takie wyjaśnienie nie jest wystarczające. Uznał, że został narażony na duże niebezpieczeństwo, z czym trudno polemizować. Zresztą bank – w piśmie do klienta – sprecyzował, na jakie konsekwencje wystawił klienta. Nie zrobił tego z własnej inicjatywy, taki obowiązek nakłada rozporządzenie RODO.

A zatem pan Dominik był narażony na kradzież lub sfałszowanie tożsamości, utratę kontroli nad własnymi danymi osobowymi lub ograniczenie praw do nich oraz inne szkody gospodarcze lub społeczne w tym na stratę finansową, naruszenie dobrego imienia lub utratę poufności danych osobowych chronionych tajemnicą bankową. Na tożsamość naszego czytelnika ktoś mógł zawrzeć np. umowę najmu nieruchomości czy wyłudzić kredyt lub pożyczkę.

Bank przyznał się, że nieźle nabroił, ale nie zamierza odpowiadać za to finansowo. Przypomnijmy, pan Dominik domagał się od banku 10 000 zł zadośćuczynienia. W odpowiedzi na reklamację bank napisał, że nie może uznać żądania. Jaki podał powód?

„W przypadku wypłaty odszkodowania (rekompensaty) poszkodowanemu przysługuje roszczenie o naprawienie szkody (czyli odszkodowanie) rozumianej jako uszczerbek, na który składają się: strata, czyli uszczerbek, który poszkodowany poniósł w swych dobrach majątkowych; utracone korzyści, czyli takie, które mógłby osiągnąć, gdyby nie wyrządzono mu szkody.”

Bank dodał, że przy podejmowaniu decyzji o uznaniu roszczeń odszkodowawczych weryfikuje związek przyczynowo-skutkowy pomiędzy zaniechaniem, jakiego się dopuścił, a wskazywaną szkodą. A że takiego związku się nie dopatrzył, nie widzi podstaw do wypłaty żądanej kwoty odszkodowania.

Przeczytaj też: Montaż kuchni z IKEA. Drobny błąd projektanta i ogromne problemy klienta: „Mam czekać albo odesłać do sklepu 144 paczki z częściami”

Bank do klienta: „Przepraszamy. Proszę wykupić Alerty BIK”

Nie jest tak, że bank zachował się całkowicie bezdusznie. Przyznał się do złamania zasad RODO i poprosił klienta o przyjęcie przeprosin. A żeby klient – przez błąd banku – nie wpadł w poważne tarapaty, np. kredyt wzięty na jego nazwisko, zasugerował panu Dominikowi, żeby ten wykupił „Alerty BIK” (można mieć je od niedawna w aplikacji w smartfonie). To usługa, która powiadamia nas (SMS-em, e-mailem), jeśli ktoś sprawdza nas w bazie BIK. Dzięki temu możemy szybko zareagować, gdyby ktoś próbował wyłudzić pożyczkę na nasze dane. Bank przesłał też linki do stron, na których opisano, jak nie dać się oszukać cyberprzestępcom.

Przyznam, że to dość dziwna reakcja. Bank mówi klientowi, że naraził go na potencjalne zagrożenia i teraz tłumaczy mu, jak się nie dać oszukać. Wiosną tego roku media obiegła informacja o tym, że z Rządowego Centrum Bezpieczeństwa wyciekły dane osobowe ponad 20 000 funkcjonariuszy publicznych, m.in. policjantów. Co zrobił Komendant Główny Policji? Z policyjnego budżetu miał wykupić dla wszystkich funkcjonariuszy, których dane wyciekły, usługę „Alerty BIK”.

Nie wiem, czy żądanie pana Dominika (10 000 zł), to adekwatna kwota. Nie stracił pieniędzy, choć twierdzi, że nie mógł wykonać płatności, gdy bank zablokował konto. Może wśród osób, które nas czytają, są prawnicy, którzy są w stanie ocenić, czy sprawa o odszkodowanie w takiej lub nieco mniejszej wysokości byłaby do wygrania w sądzie.

Moim zdaniem udzielanie rad panu Dominikowi – w obliczu tak poważnego naruszenia – jest słabe. Bank mógłby wziąć przykład z policjantów i przynajmniej zafundować klientowi wypasiony abonament w BIK, w ramach którego są m.in. wspomniane alerty. Jeśli nie chce wypłacić odszkodowania, mógłby zaproponować lepsze warunki korzystania z usług, np. zwolnić z opłat za kartę czy wypłaty z bankomatów. Błędy się zdarzają (choć w przypadku banku nie powinny, a zwłaszcza takiego kalibru), ale dzięki takim gestom klient mógłby poczuć, że bank naprawdę żałuje, że popełnił błąd.

Czytaj też: „Dopuścili do wyceiku danych i udają, że nic się nie stało” (subiektywnieofinansach.pl)

Źródło zdjęcia: Pixabay

Subscribe
Powiadom o
18 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
~marcin
1 miesiąc temu

Odszkodowanie i zadośćuczynienie to dwie różne rzeczy.

Odszkodowanie to naprawienie szkody materialnej (tu by podpadał zwrot kosztu wykupienia alertów BIK przez klienta).

Zadośćuczynienie to naprawienie szkody NIEmaterialnej (np. naruszenie dobrego imienia poprzez bezpodstawne wpisanie do baz dłużników).

Według treści artykułu pan Dominik domagał się zadośćuczynienia, a bank mu odpisał na temat odszkodowania.

Jakieś zadośćuczynienie być może dałoby się wywalczyć – tu jest artykuł na temat naruszenia RODO, tyle że w branży ubezpieczeń. Pani domagała się 10 tysięcy PLN, ale sąd jej przyznał tylko 1,5 tysiąca PLN: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8082983,rekompensaty-za-zlamanie-rodo-dla-poszkodowanych.html

Tu inny wyrok: http://orzeczenia.mst.warszawa.so.gov.pl/content/$N/154505250000503_I_C_001723_2018_Uz_2020-02-24_001

A tu jeszcze inny: https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/i-aca-281-17-bezprawne-naruszenie-dobr-osobistych-522521900

Aaa
1 miesiąc temu

Zgłosił klient do PUODO żeby bank dostał te kilkadziesiąt tysięcy kary (lub więcej) ?

Admin
1 miesiąc temu
Reply to  Aaa

Tylko co klientowi po karze dla banku?

Kucharz
1 miesiąc temu
Reply to  Maciej Samcik

A modlitwę sąsiada z „Dnia świra” zna? To ma odpowiedź, co klientowi po karze dla banku 😉

Dominika
1 miesiąc temu
Reply to  Maciej Samcik

W przyszłości bank rozważy wypłacenie klientowi zadośćuczynienia i zawarcie ugody zamiast płacić karę. Zanalizuje które ryzyko będzie bardziej dotkliwe jak się zmaterializuje.

Edek
1 miesiąc temu
Reply to  Maciej Samcik

Bezpośrednio nic, chyba tylko satysfakcja „no to macie dziady jedne”. Ale… kara dla banku to jednak klaps za złe zachowanie, za słabe procedury i niewyszkolonych pracowników. Dzięki temu jest szansa, że nikt więcej w takiej sytuacji się nie znajdzie, a bank (a może też inne, bo sprawa publiczna) będzie lepszy.

tom
1 miesiąc temu

Ten bank ogólnie jest jakiś zryty. Niedawno (kilka tygodni temu) urządzili promocję – za aktywację alertów SMS, kosztujących 5 zł, dawali 50 zł premii, więc skorzystałem. I niby wszystko OK, bonus przyznany, alerty z powrotem wyłączone… tylko w historii rachunku nie ma śladu po tych 5 zł, które wzięli za aktywację alertów.

gosc
1 miesiąc temu

Za drobniejsze sprawy banki w ramach przeprosin cofały mi prowizje (luźno związane z problemem) czy dawały upominki warte kilkadziesiąt złotych. Bank się w tej sprawie nie popisał.

Plusem tej sytuacji dla klienta może być fakt, że zdał sobie sprawę, że alerty BIK są przydatne i mogą zaoszczędzić wielu kłopotów.

Don Q.
1 miesiąc temu
Reply to  gosc
Stef
1 miesiąc temu

1. Niech mu bank opłaci alerty BIK.
2. Niech bank opłaci wymianę dowodu.

3. Pan Dominik powinien się zgłosić do GIODO.

Hieronim
1 miesiąc temu

10 tysięcy to akurat niewielka kwota za brak staranności w przetwarzaniu danych klienta. Jeśli bank wzdraga się, to kara od nadzorcy powinna być kilkadziesiąt razy wyższa.

Fabian
1 miesiąc temu

Tutaj wyraźnie zabrakło proklienckiego nastawienia więc bank na uporze zapewne więcej straci niż zyska. Co ciekawe BNP Paribas co kilka miesięcy robi nową promocję i za friko płaci kilkaset złotych za otwarcie konta z dosyć krótkim okresem karencji dla poprzednich użytkowników, co pozwala klientom jak w oscylatorze, co ok. dwa lata otwierać i zamykać tam rachunek i zyskiwać więcej niż na deponowaniu jakichkolwiek oszczędności. Z kolei Millennium zachował się ostatnio życzliwie, niemal jak banki w USA :). W cenniku kart kredytowych Millennium widnieje sztywna opłata 20 zł za zmianę okresu rozliczeniowego karty. Żona nieopatrznie zmieniła okres rozliczeniowy i zapłaciła tzw.… Czytaj więcej »

BdB
1 miesiąc temu
Reply to  Fabian

śp. Raiffeisen Bank w takich sytuacjach też zwracał, a później… wystawiał PIT, że się o taką kwotę wzbogaciliśmy.

Michał
1 miesiąc temu

W lipcu założyłem konto we wspomnianym w artykule banku czyli BNP Paribas. Konto obsługiwałem za pomocą aplikacji na smartfona. Kilka dni po tym jak aplikacja została aktywowana, a na koncie były już jakieś środki dostałem smsa od BNP Paribas, że właśnie dokonuje aktywacji aplikacji na telefon. SMS przyszedł w nocy, a ja go odczytałem rano po przebudzeniu się. Od razu zadzwoniłem do banku i poinformowałem że nie dokonywałem aktywacji aplikacji dzień wcześniej. Zostały mi zablokowane dostępy do konta i sprawa została przekazana do działu bezpieczeństwa. A teraz sedno sprawy. Jako klient chciałbym aby takie niepokojące sygnały sugerujące, że ktoś być… Czytaj więcej »

Last edited 1 miesiąc temu by Michał
TN2
1 miesiąc temu

Ty nawet nie chodzi o karę za pojedynczą winę banku.
Ale CAŁA procedura bankowa była źle zaplanowana. Jak gość przepisuje ręcznie numery PESEL, to nie ma prawa się nie pomylić. I to nie jest wina operatora komputera, że się pomylił (bo to ludzka rzecz), ale wina banku, że nie wdrożył żadnej procedury weryfikacji (np. czy po operacji zwiększyła się liczba właścicieli).

I jestem na 100% przekonany, że takich „panów Dominików” było jeszcze kilku (-nastu/-dziesięciu). Tylko się nie kapnęli, albo nie podnieśli szumu.

jsc
1 miesiąc temu
Reply to  TN2

(…)Jak gość przepisuje ręcznie numery PESEL, to nie ma prawa się nie pomylić.(…)
Do tej pory kilka razy wykonywałem tą czynność i zazwyczaj musiałem powtarzać po 3 razy… bo strzeliłem cyfrówkę.

dżej_dżej
11 dni temu

BNP Paribas i wszystko jasne!
wiecie jak tłumaczy się „BNP” ?

..
.
„Bardzo Nam Przykro” 🙂

Admin
11 dni temu
Reply to  dżej_dżej

To i tak dużo, jak na polskie standardy. Wciąż są banki, w których się nie przeprasza 🙂

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!