7 marca 2019

Revolut ma problem z RODO? „Nie mogłem wyłączyć zgód marketingowych!” – alarmuje czytelnik. A Revolut prosi, żeby… zajrzał do apki

Tak jak Uber napsuł dużo krwi licencjonowanym taksówkarzom, tak niebankowe aplikacje finansowe denerwują bankowców. Dostarczają usługi, których banki dostarczać nie potrafiły lub nie chciały, kuszą klientów brakiem jakichkolwiek opłat i coraz częściej zyskują popularność nie tylko w wąskiej niszy fanów technologii. Ale czasem jadą tak szybko, że faulują. Jeden z moich czytelników oskarżył aplikację Revolut o ciężkie naruszenie ochrony danych osobowych

Revolut nie ma ostatnio dobrej passy. Odkąd uzyskał paneuropejską licencję bankową (w Polsce musi ją jeszcze notyfikować, żeby być traktowany jak rasowy bank) wszedł na nowe, większe boisko i chyba do końca nie umie się na nim odnaleźć.

Najpierw pojawiły się spekulacje o tym co by było, gdyby Revolut miał kłopoty z wypłacalnością. Wielkość firmy w porównaniu z gabarytami litewskiego funduszu gwarantowania depozytów budzi wątpliwości (czy Litwini wiedzą na co się piszą?). Ostatnio wykwitła z kolei afera z wykorzystywaniem kont Revoluta do prania pieniędzy, czego nie wychwycił jego system antyfraudowy (dyrektor finansowy firmy podał się do dymisji). Kursy wymiany walut proponowane przez aplikację też znalazły się pod lupą.

A dziś muszę napisać dwa słowa o wątpliwościach dotyczących tego czy najszybciej rosnąca aplikacja finansowa w Polsce przestrzega reguł dotyczących używania danych osobowych klientów. W tle jest oczywiście RODO i bardziej restrykcyjne zasady uzyskiwania zgód klientów, nim „zaatakuje się” ich marketingowo.

Revolut poszedl na skróty?

Rozporządzenie RODO sporo zmieniła w naszym poczuciu „praw własności” do danych osobowych. Kto myślał jeszcze kilka lat temu o tym, by czynić pretensje np. firmie telekomunikacyjnej za to, że udostępniła nasze dane telemarketerom nie pytając nikogo o zgodę? To było normalne: firmy traktowały nasze dane jak każdy inny towar w magazynie, po prostu jak swoją własność.

RODO formalnie aż tak wiele nie zmieniło, ale szumu wokół wprowadzania tej dyrektywy było tyle, że bardzo się wyedukowaliśmy na temat ochrony naszych danych. I już wiemy, że jeśli ktoś chce je w jakikolwiek sposób wykorzystywać marketingowo, to musi ładnie poprosić i uzyskać precyzyjną zgodę. Nie ma już „automatycznie zaptaszkowanych” zgód marketingowych podpiętych do regulaminu świadczenia usług. No właśnie, ale czy na pewno?

Czytaj również: Zgoda marketingowa dobrowolna, ale… obowiązkowa. Bez niej ani rusz

Czytaj też: Swoje dane znalazła w banku, któremu nigdy ich nie przekazywała. Ki diabeł?

Czytaj też: Zamknęła konto w Getinie i poprosiła bank, by „zapomniał” jej dane. Odmówił. Miał prawo?

Napisał do mnie czytelnik, który jest użytkownikiem aplikacji i karty płatniczej Revolut, ułatwiającej płacenie za granicą bez ponoszenia dodatkowych kosztów. Czytelnik lubi Revoluta, ale ostatnio dostrzegł niepokojącą rzecz – apka zaczęła mu proponować usługi innych firm, mimo że klient nie udzielił zgody na taką marketingową inwazję. Chciał się skupić na korzystaniu z podstawowych funkcji aplikacji, bez żadnych wartości dodatkowych.

„Ostatnio jestem spamowany mailowymi prośbami Revoluta o rekomendowanie aplikacji znajomym. To jeszcze zniosę. Ale wyprowadzili mnie z równowagi, gdy dostałem ofertę marketingową Play. Zadałem sobie trochę trudu, by sprawdzić gdzie i w jaki sposób wyrażałem zgodę na tego typu oferty. Okazuje się, że wyraziłem wyłącznie akceptację regulaminu. Nie wyraziłem dodatkowej zgody na przetwarzanie danych do celów marketingowych firm trzecich, czy nawet dla celów marketingowych Revoluta.”

Mój czytelnik twierdzi, że o taką zgodę Revolut w ogóle nie wystąpił. Wystawił po prostu regulamin, w którym określił, że będzie używał danych marketingowych klienta tak długo, dopóki ten klient w aplikacji nie wyłączy tych zgód. Na poziomie akceptacji regulaminu w ogóle nie było możliwości, by wypisać się ze zgód marketingowych. Dokładnie wygląda to tak:

„5.1 We want to make it crystal clear how we use your data for marketing purposes and how you can ‚opt-out’ from receiving any marketing communications from us whenever you want.
5.2 We strive to provide you with choices regarding certain personal data uses, particularly around marketing and advertising. We have established a ‚Privacy’ section within the ‚Profile’ section of the App where you can view and make certain decisions about your personal data use in relation to marketing emails and push notifications. Please see the ‚Privacy’ section within the ‚Profile’ section of the App for more details.
5.3 We may use your personal data (such as your Submitted Information, Location Information or transaction information) to form a view on what we think you may want or need, or what may be of interest to you. This is how we decide which products, services and offers may be relevant for you.
5.4 You will receive marketing communications from us if you have signed up to and/or utilise the Revolut Services and, in each case, you have not opted out of receiving marketing notifications.
5.5 We will obtain your express opt-in consent before we share your personal data with any company outside the Revolut group of companies for marketing or promotional purposes.
5.6 You can ask us or third parties to stop sending you marketing messages at any time by adjusting your marketing preferences via ‚Privacy’ section found within the ‚Profile’ tab of the App or by following the unsubscribe links on any marketing message sent to you”

Czytelnik porusza niebo i ziemię, a Revolut prosi go, żeby zajrzał do apki

Mój czytelnik zadzwonił do Revoluta z pytaniem czy przypadkiem taki układ nie łamie dyrektywy RODO, która zabrania „zaszywania” zgód marketingowych w regulaminach jako quasiobowiązkowych. Jeżeli w procesie rejestracji do usługi i akceptacji regulaminu nie ma wydzielonej zgody na wysyłanie informacji marketingowej, to w praktyce firma takiej zgody nie ma. W helpdesku firmy dowiedział się tylko tyle, że Revolut działa zgodnie z prawem, bo umożliwia wypisanie się z marketingu.

Tutaj: Szczegółowe zasady ochrony danych konsumentów

Czytaj też: Revolut przygotowuje się do wakacji. Napisz po ile chcesz kupić walutę, a oni zajmą się resztą

Mój czytelnik napisał więc do inspektora danych osobowych w Revolucie, zadając proste pytanie: „co tu jest grane?” Odpowiedzi żadnej nie otrzymał (widać w Revolucie byli zajęci rozwojem biznesu i nie mieli czasu zajmować się gnomem, który rzuca im kłody pod nogi).

W związku z tym mój czytelnik zawiadomił Urząd Ochrony Danych Osobowych o nie spełnianiu przez Revoluta zasad RODO przy procesie rejestracji do usługi.

„Będę chciał podobne doniesienia złożyć bezpośrednio do odpowiednika naszego UODO w Wielkiej Brytanii, gdzie jest zarejestrowany Revolut. Ale najbardziej mnie przeraża to, że aplikacja obsługująca w Polsce 300.000 klientów nie ma tutaj nawet ludzi, którzy rozumieją problem. To jest totalny brak świadomości istnienia regulacji dotyczących danych osobowych”

– pisze czytelnik. Biorąc pod uwagę, że problem dotyczy setek tysięcy polskich klientów Revoluta, pobiegłem natychmiast do siedziby polskiego oddziału firmy zarządzającej aplikacją i zapytałem jak to jest z tym RODO i zgodami marketingowymi, na które klient nie może się nie zgodzić podpisując regulamin, a co najwyżej może je wyłączyć z poziomu aplikacji. Firma wyjaśnia:

„Mniej więcej raz na kwartał wysyłamy do naszej bazy klientów informacje o promocjach naszych partnerów, a ci partnerzy do swojej bazy informacje o promocjach u nas. Żadne dane naszych klientów nie są przekazywane firmom zewnętrznym. Co istotne, wysyłamy taki mailing tylko osobom, które wyraziły na to zgodę. Mogą one w każdej chwili włączyć lub wyłączyć zgodę na otrzymywanie mailingów lub powiadomień push (More -> Profile -> Privacy -> marketing emails -> switch to ‚grey’). Osobom, które nie wiedzą o tym lub zapomniały, że mogą wyłączyć zgodę, a napiszą do nas na czacie, że nie chcą mailingów, nasz helpdesk je wyłącza.”

Zapewne spór pomiędzy moim czytelnikiem – skądinąd wiem, że nie jest to jedyny klient Revoluta, który w tej sprawie interweniował – będzie przedmiotem analizy Urzędu Ochrony Danych Osobowych. Jakkolwiek wyłączenie zgód z poziomu aplikacji nie zajmuje więcej niż pięć sekund (z tego punktu widzenia nie ma o co kruszyć kopii), to nie jest wykluczone, że wielu klientów aplikacji o tej opcji nie wie. A gdyby mieli możliwość, to przy rejestracji wyłączyliby zgody marketingowe.

„Jeżeli instytucja finansowa ma problem ze zgodnością z prawem w kwestii używania danych osobowych klientów, to być może podobnie beztrosko podchodzi do regulacji finansowych, łącznie z tymi dotyczącymi bezpieczeństwa pieniędzy klientów?”

– zwraca uwagę mój czytelnik. Cóż, niezależnie od tego jak fajna i jak potrzebna jest usługa dostarczana przez jakąkolwiek niebankową firmę, to tego typu firmy w sposób szczególny powinny przykładać się do budowania klarownej relacji z klientami dotyczącej ochrony ich danych. Bo już na starcie pod względem stopnia zaufania klientów są o trzy długości za bankami. Nie ma sensu, by ten dystans pogłębiać.

Czytaj też: Revolut na poważnie zaatakuje banki? W aplikacji pojawią się… depozyty i kredyty

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Czytaj też: Mapa dłużników live, czyli aplikacja pokaże ci, że zbliża się nierzetelny płatnik

19
Dodaj komentarz

avatar
7 Comment threads
12 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
10 Comment authors
EdinRedMkoDon Q.gosc Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Gosia
Gość
Gosia

Czy zgodna z RODO jest praktyka Dotpay, który podczas dokonywania płatności podsuwa domyślnie zaznaczoną zgodę na otrzymywanie wiadomości marketingowych? I na drugi dzień na maila już przychodzą reklamy od nich. Czy wyrażenie takiej zgody nie powinno wymagać świadomego zaznaczenia jej?

Krzysztof A.
Gość
Krzysztof A.

Odznaczenie mogłoby zajmować nawet 1 milisekundę, to nie ma znaczenia. RODO wyraźnie wskazuje na procedurę „opt-in” jako jedyny słuszny sposób pozyskania jakiejkolwiek zgody. Wspomniany użytkownik nie wyraził w taki sposób zgody na otrzymywanie emaili marketingowych, czyli jego adres email, będący daną osobową jest przetwarzany w sposób niezgodny z RODO 🙂
Ba, nawet to:
„A gdyby mieli możliwość, to przy rejestracji wyłączyliby zgody marketingowe.” nie byłoby zgodne z przepisami – musieliby aktywnie zaznaczyć zgody marketingowe, inaczej nie byłyby one pozyskane w sposób pozwalający na ich wykorzystanie.

Edin
Gość
Edin

Niektórzy ludzie to już kompletnie lenie, masz regulamin który akceptujesz. Wszystko tam jest. Dzisiaj Eu musi wam wszystko pod nos podsuwać. Zidiocenie społeczeństwa postępuje z każdym dniem do przodu.

Tomasz
Gość
Tomasz

Ciekawa sprawa. Sprawdziłem u siebie i u żony i oboje mamy zgody marketingowe odznaczone, a na pewno tego nie zmienialiśmy. Podpytałem też znajomych i o dziwo 2 z 7 ma zaznaczone, i wszyscy twierdzą, że raczej tego sami nie przestawiali. Czyżby Revolut włączał domyślnie tylko „wybrańcom”?

Tobiasz
Gość
Tobiasz

Potwierdzam mam wyłączoną. Ja ostatnio nawet zastanawiałem się czemu ludzie piszą o tym że mają specjalne promocje z Revoluta a ja nie mam.
Sprawdziłbym czy ta osoba nie zakładała konta przed wejściem dyrektywy.

Krzysztof A.
Gość
Krzysztof A.

Dyrektywa wymaga ponownego zebrania zgód, chyba że firma jest w stanie udowodnić, że zebrała je wcześniej w sposób zgodny z nią 😉

gosc
Gość
gosc

Panie Macieju a jak do RODO ma się praktyka wielu firm (banki, operatorzy komórkowi itp), które po rozmowie telefonicznej z ich infolinią próbują zachęcić nas do „wypełnienia” ankiety. Zwykle jakiś czas po zakończeniu rozmowy dzwoni automat i prosi nas o wypełnienie ankiety (albo dostajemy smsa z linkiem). Sprawdziłem, że wyłączenie wszystkich zgód marketingowych nie pomaga. Potem zadzwoniłem do tych firm i część z nich na moją prośbę wyłączyła te ankiety, część z nich odmówiła. Czy próby przeprowadzenia takich ankiet wbrew woli klienta (bez możliwości rezygnacji) są zgodne z prawem? W praktyce sprowadza się to przecież do nękania klienta, który sobie… Czytaj więcej »

gosc
Gość
gosc

Jestem ciekawy czy ktoś zwrócił uwagę, że wyrażenie zgód marketingowych zwiększa ryzyko kradzieży tożsamości oraz naraża nas na poniesienie większych strat kiedy do kradzieży tożsamości dojdzie. 1) Większe ryzyko kradzieży tożsamości wynika z tego, że: a) wyrażając zgody marketingowe pozwalamy na przekazanie naszych danych do innych podmiotów. Przykładem może być outsourcing procesu sprzedaży produktów bankowych. b) otrzymujemy więcej telefonów, e-maili oraz smsów z różnych instytucji, które chcą nam przedstawić swoją ofertę – a to usypia nasza czujność – oszustowi łatwiej się pod te instytucje podszyć 2) Ryzyko poniesienia większych strat podczas kradziezy tożsamości może mieć miejsce w następujący sposób: –… Czytaj więcej »

Don Q.
Gość
Don Q.

„bank przedstawia mu w serwisie internetowym ofertę kredytu na kliknięcie” — coś takiego także wymaga wyrażenia zgody? Nie mieści się to w zakresie realizacji usług bankowych? Skoro taka oferta wymaga wyrażenia przez klienta zgody, to gdzie znajduje się granica? Czy chodzi o liczbę kliknięć? A może banki nie posiadając od danego klienta zgody na oferowanie mu produktów przez Internet w ogóle nie mogą w bankowości internetowej umieszczać możliwości założenia dodatkowych produktów? Np. jeśli ktoś ma tylko ror, to nie wolno mu umożliwiać wyklikania debetu w koncie, karty kredytowej, kredytu, konta oszczędnościowego, lokat? W każdym razie póki co wyklikać kredyt (np.… Czytaj więcej »

Don Q.
Gość
Don Q.

* Miało być: „w przypadku utraty kontroli nad swoim kontem, a nie kompem, choć utrata kontroli nad kompem i telefonem może oznaczać właśnie utratę kontroli nad kontem…

gosc
Gość
gosc

Miałem na myśli to, że kiedy klient ma wszystkie zgody marketingowe na Tak to po zalogowaniu się do bankowości internetowej swojego banku są dla niego przygotowane różne oferty np kredytu w rachunku bieżącym. Aby skorzystać z tego kredytu wystarczy kliknąć i zaakceptować taką ofertę – wtedy pieniądze są od razu dostępne. Właśnie taką przygotowaną przez bank ofertę kredytu miał wspomniany klient mBanku, który padł ofiarą oszusta. Opróżnił on wszystkie rachunki tego człowieka, dodatkowo skorzystał również z przygotowanej przez bank oferty kredytu. Gdyby ten klient miał wszystkie zgody marketingowe na Nie, to wtedy w jego bankowości internetowej nie byłaby widoczna oferta… Czytaj więcej »

Don Q.
Gość
Don Q.

1. Przygotowana oferta nie powinna nic zmieniać, skoro to samo można wyklikać samodzielnie. Nie wiem, jak to jest w MBanku, ale świetnie to widać w Millennium, gdzie też często pojawiają się „gotowe” oferty, np. na kartę kredytową, ale jeśli klient samodzielnie wybierze wniosek o nową kartę kredytową, to — w zależności, jak go system banku ocenia — trafia na jedną z wielu ścieżek; w najprostszej podobnie, jak przy ofercie „przygotowanej przez bank” kartę można wyrobić kilkoma kliknięciami. 2. Bez względu na to, czy klient (lub oszust) korzysta z oferty gotowej, czy samodzielnie produkt kredytowy wyklikuje — powinno to być potwierdzanie… Czytaj więcej »

gosc
Gość
gosc

Widzę, że nie czytał Pan poniższego artykułu:
https://subiektywnieofinansach.pl/skopiowali-jego-dowod-wyludzili-duplikat-karty-sim-do-telefonu-i-ukradli-z-konta-11-mln-zl-trzy-rzeczy-ktore-warto-zrobic-zeby-tego-uniknac/
W tym ataku gdyby była jakaś przygotowana oferta kredytu to straty wzrosłyby o jego kwotę.
W tamtym ataku o ile dobrze pamiętam oszuści mieli kontrolę nad kodami sms dzięki złośliwemu oprogramowaniu na telefonie ofiary.

Don Q.
Gość
Don Q.

Powtórzę to kolejny raz, może dla lepszego bardziej wprost: automatycznie przygotowana oferta kredytu niczego nie zmienia, gdyż to samo można wyklikać samodzielnie; tzn. zmienia pod kątem marketingowym, pewnie niejeden prostaczek sobie pomyśli: „ojejku, ktoś w banku specjalnie dla mnie przygotował ofertę, ale muszę być dla nich ważnym klientem, ale to dobry bank, biorę!”. Pewnie są jakieś wyjątki, ale nie sądzę, by należał do nich MBank, gdyż właśnie oni są znani z bardzo szybkiego generowania ofert kredytowych; np. chwilę po odejściu od kasy po dużych zakupach i obniżeniu salda do bliskiego zera od razu można otrzymać sms z propozycją kredytu… Oczywiście… Czytaj więcej »

Mko
Gość
Mko

Nie do samego meritum, ale do wstępu mam zapytanie; czy czasem dyr.fin. Revoluta nie odwołał swojej rezygnacji do czasu wyjaśnienia sprawy systemu antyfraudowego? A jednocześnie Revolut skutecznie namówił gazety do zaprzestania podawania nieprawdziwych (zdaniem R) info o nieszczelności ich systemu? Z tego co pisano, to R wprowadzil nowy system automatycznego wykrywania podejrzanych transakcji, ktory okazal sie nadgorliwy, wiec go wylaczyli i przywrocili stary, a gazety napisaly tylko o wylaczeniu systemu. Coś to mocno wyglądało na czarny pr starej bankowości. Szkoda byloby być narzedziem w rekach PRowcow i powtarzac niepełne czy nieprawdziwe informacje

Red
Gość
Red

To samo w Play, przy zawieraniu umowy Pan z obsługi podsuwa do podpisu stronę z automatu zaznaczonymi zgodami na marketing. Ogólnie stron umowy jest tyle że w ramach zaufania zaczyna się podpisywać bez zastanowienia jedna po drugiej. Warto jednak czytać. Ponieważ już przez to przechodziłem, od razu zwróciłem uwagę osobie której towarzyszyłem, aby nie podpisywała tego pochopnie, bo zgody takiej nie wyrażała i Pan z obsługi też nie raczył o to spytać. Kombinatorstwo jest wszędzie..na zasadzie upchamy, wciśniemy i może się nie zorientują 😉

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin