Tak jak Uber napsuł dużo krwi licencjonowanym taksówkarzom, tak niebankowe aplikacje finansowe denerwują bankowców. Dostarczają usługi, których banki dostarczać nie potrafiły lub nie chciały, kuszą klientów brakiem jakichkolwiek opłat i coraz częściej zyskują popularność nie tylko w wąskiej niszy fanów technologii. Ale czasem jadą tak szybko, że faulują. Jeden z moich czytelników oskarżył aplikację Revolut o ciężkie naruszenie ochrony danych osobowych
Revolut nie ma ostatnio dobrej passy. Odkąd uzyskał paneuropejską licencję bankową (w Polsce musi ją jeszcze notyfikować, żeby być traktowany jak rasowy bank) wszedł na nowe, większe boisko i chyba do końca nie umie się na nim odnaleźć.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Najpierw pojawiły się spekulacje o tym co by było, gdyby Revolut miał kłopoty z wypłacalnością. Wielkość firmy w porównaniu z gabarytami litewskiego funduszu gwarantowania depozytów budzi wątpliwości (czy Litwini wiedzą na co się piszą?). Ostatnio wykwitła z kolei afera z wykorzystywaniem kont Revoluta do prania pieniędzy, czego nie wychwycił jego system antyfraudowy (dyrektor finansowy firmy podał się do dymisji). Kursy wymiany walut proponowane przez aplikację też znalazły się pod lupą.
A dziś muszę napisać dwa słowa o wątpliwościach dotyczących tego czy najszybciej rosnąca aplikacja finansowa w Polsce przestrzega reguł dotyczących używania danych osobowych klientów. W tle jest oczywiście RODO i bardziej restrykcyjne zasady uzyskiwania zgód klientów, nim „zaatakuje się” ich marketingowo.
Revolut poszedl na skróty?
Rozporządzenie RODO sporo zmieniła w naszym poczuciu „praw własności” do danych osobowych. Kto myślał jeszcze kilka lat temu o tym, by czynić pretensje np. firmie telekomunikacyjnej za to, że udostępniła nasze dane telemarketerom nie pytając nikogo o zgodę? To było normalne: firmy traktowały nasze dane jak każdy inny towar w magazynie, po prostu jak swoją własność.
RODO formalnie aż tak wiele nie zmieniło, ale szumu wokół wprowadzania tej dyrektywy było tyle, że bardzo się wyedukowaliśmy na temat ochrony naszych danych. I już wiemy, że jeśli ktoś chce je w jakikolwiek sposób wykorzystywać marketingowo, to musi ładnie poprosić i uzyskać precyzyjną zgodę. Nie ma już „automatycznie zaptaszkowanych” zgód marketingowych podpiętych do regulaminu świadczenia usług. No właśnie, ale czy na pewno?
Czytaj również: Zgoda marketingowa dobrowolna, ale… obowiązkowa. Bez niej ani rusz
Czytaj też: Swoje dane znalazła w banku, któremu nigdy ich nie przekazywała. Ki diabeł?
Czytaj też: Zamknęła konto w Getinie i poprosiła bank, by „zapomniał” jej dane. Odmówił. Miał prawo?
Napisał do mnie czytelnik, który jest użytkownikiem aplikacji i karty płatniczej Revolut, ułatwiającej płacenie za granicą bez ponoszenia dodatkowych kosztów. Czytelnik lubi Revoluta, ale ostatnio dostrzegł niepokojącą rzecz – apka zaczęła mu proponować usługi innych firm, mimo że klient nie udzielił zgody na taką marketingową inwazję. Chciał się skupić na korzystaniu z podstawowych funkcji aplikacji, bez żadnych wartości dodatkowych.
„Ostatnio jestem spamowany mailowymi prośbami Revoluta o rekomendowanie aplikacji znajomym. To jeszcze zniosę. Ale wyprowadzili mnie z równowagi, gdy dostałem ofertę marketingową Play. Zadałem sobie trochę trudu, by sprawdzić gdzie i w jaki sposób wyrażałem zgodę na tego typu oferty. Okazuje się, że wyraziłem wyłącznie akceptację regulaminu. Nie wyraziłem dodatkowej zgody na przetwarzanie danych do celów marketingowych firm trzecich, czy nawet dla celów marketingowych Revoluta.”
Mój czytelnik twierdzi, że o taką zgodę Revolut w ogóle nie wystąpił. Wystawił po prostu regulamin, w którym określił, że będzie używał danych marketingowych klienta tak długo, dopóki ten klient w aplikacji nie wyłączy tych zgód. Na poziomie akceptacji regulaminu w ogóle nie było możliwości, by wypisać się ze zgód marketingowych. Dokładnie wygląda to tak:
„5.1 We want to make it crystal clear how we use your data for marketing purposes and how you can 'opt-out’ from receiving any marketing communications from us whenever you want.
5.2 We strive to provide you with choices regarding certain personal data uses, particularly around marketing and advertising. We have established a 'Privacy’ section within the 'Profile’ section of the App where you can view and make certain decisions about your personal data use in relation to marketing emails and push notifications. Please see the 'Privacy’ section within the 'Profile’ section of the App for more details.
5.3 We may use your personal data (such as your Submitted Information, Location Information or transaction information) to form a view on what we think you may want or need, or what may be of interest to you. This is how we decide which products, services and offers may be relevant for you.
5.4 You will receive marketing communications from us if you have signed up to and/or utilise the Revolut Services and, in each case, you have not opted out of receiving marketing notifications.
5.5 We will obtain your express opt-in consent before we share your personal data with any company outside the Revolut group of companies for marketing or promotional purposes.
5.6 You can ask us or third parties to stop sending you marketing messages at any time by adjusting your marketing preferences via 'Privacy’ section found within the 'Profile’ tab of the App or by following the unsubscribe links on any marketing message sent to you”
Czytelnik porusza niebo i ziemię, a Revolut prosi go, żeby zajrzał do apki
Mój czytelnik zadzwonił do Revoluta z pytaniem czy przypadkiem taki układ nie łamie dyrektywy RODO, która zabrania „zaszywania” zgód marketingowych w regulaminach jako quasiobowiązkowych. Jeżeli w procesie rejestracji do usługi i akceptacji regulaminu nie ma wydzielonej zgody na wysyłanie informacji marketingowej, to w praktyce firma takiej zgody nie ma. W helpdesku firmy dowiedział się tylko tyle, że Revolut działa zgodnie z prawem, bo umożliwia wypisanie się z marketingu.
Tutaj: Szczegółowe zasady ochrony danych konsumentów
Czytaj też: Revolut przygotowuje się do wakacji. Napisz po ile chcesz kupić walutę, a oni zajmą się resztą
Mój czytelnik napisał więc do inspektora danych osobowych w Revolucie, zadając proste pytanie: „co tu jest grane?” Odpowiedzi żadnej nie otrzymał (widać w Revolucie byli zajęci rozwojem biznesu i nie mieli czasu zajmować się gnomem, który rzuca im kłody pod nogi).
W związku z tym mój czytelnik zawiadomił Urząd Ochrony Danych Osobowych o nie spełnianiu przez Revoluta zasad RODO przy procesie rejestracji do usługi.
„Będę chciał podobne doniesienia złożyć bezpośrednio do odpowiednika naszego UODO w Wielkiej Brytanii, gdzie jest zarejestrowany Revolut. Ale najbardziej mnie przeraża to, że aplikacja obsługująca w Polsce 300.000 klientów nie ma tutaj nawet ludzi, którzy rozumieją problem. To jest totalny brak świadomości istnienia regulacji dotyczących danych osobowych”
– pisze czytelnik. Biorąc pod uwagę, że problem dotyczy setek tysięcy polskich klientów Revoluta, pobiegłem natychmiast do siedziby polskiego oddziału firmy zarządzającej aplikacją i zapytałem jak to jest z tym RODO i zgodami marketingowymi, na które klient nie może się nie zgodzić podpisując regulamin, a co najwyżej może je wyłączyć z poziomu aplikacji. Firma wyjaśnia:
„Mniej więcej raz na kwartał wysyłamy do naszej bazy klientów informacje o promocjach naszych partnerów, a ci partnerzy do swojej bazy informacje o promocjach u nas. Żadne dane naszych klientów nie są przekazywane firmom zewnętrznym. Co istotne, wysyłamy taki mailing tylko osobom, które wyraziły na to zgodę. Mogą one w każdej chwili włączyć lub wyłączyć zgodę na otrzymywanie mailingów lub powiadomień push (More -> Profile -> Privacy -> marketing emails -> switch to 'grey’). Osobom, które nie wiedzą o tym lub zapomniały, że mogą wyłączyć zgodę, a napiszą do nas na czacie, że nie chcą mailingów, nasz helpdesk je wyłącza.”
Zapewne spór pomiędzy moim czytelnikiem – skądinąd wiem, że nie jest to jedyny klient Revoluta, który w tej sprawie interweniował – będzie przedmiotem analizy Urzędu Ochrony Danych Osobowych. Jakkolwiek wyłączenie zgód z poziomu aplikacji nie zajmuje więcej niż pięć sekund (z tego punktu widzenia nie ma o co kruszyć kopii), to nie jest wykluczone, że wielu klientów aplikacji o tej opcji nie wie. A gdyby mieli możliwość, to przy rejestracji wyłączyliby zgody marketingowe.
„Jeżeli instytucja finansowa ma problem ze zgodnością z prawem w kwestii używania danych osobowych klientów, to być może podobnie beztrosko podchodzi do regulacji finansowych, łącznie z tymi dotyczącymi bezpieczeństwa pieniędzy klientów?”
– zwraca uwagę mój czytelnik. Cóż, niezależnie od tego jak fajna i jak potrzebna jest usługa dostarczana przez jakąkolwiek niebankową firmę, to tego typu firmy w sposób szczególny powinny przykładać się do budowania klarownej relacji z klientami dotyczącej ochrony ich danych. Bo już na starcie pod względem stopnia zaufania klientów są o trzy długości za bankami. Nie ma sensu, by ten dystans pogłębiać.
Czytaj też: Revolut na poważnie zaatakuje banki? W aplikacji pojawią się… depozyty i kredyty
Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?
Czytaj też: Mapa dłużników live, czyli aplikacja pokaże ci, że zbliża się nierzetelny płatnik
