Swoje dane znalazła w banku, któremu ich… nigdy nie przekazała. RODO kontra brutalna rzeczywistość bankowego biznesu

Dane o klientach to najcenniejsze aktywa każdego banku. Sami klienci coraz częściej zdają sobie doskonale sprawę z tego, jak dużą wartość mają informacje na ich temat. Tym bardziej denerwujące jest, gdy okazuje się, że bank nie chce „zapomnieć” informacji o kliencie, albo gdy „pochwali” się danymi, których nie powinien w ogóle posiadać

Czasem dane klientów wędrują przez lata wraz z fuzjami, przejęciami i przenosinami banków. Klient za każdym razem powinien po takim transferze jego danych zostać poinformowany, że teraz przetwarzać je będzie taka a taka instytucja, a wcześniej robił to ktoś inny, np. bank. Przydałoby się także wiedzieć, w związku z jaką okolicznością taki transfer został dokonany.

Ciekawe? Po przeczytaniu wróć tutaj, kliknij i odkryj sprawdzone patenty Samcika na ochronę przed inflacją

Niestety, przez lata obrót danymi był nieomal nieskrępowany. I dziś odbija się to wszystkim czkawką. Moja czytelniczka, pani Z. (poprosiła, bym nie podawał jej imienia i nazwiska) napisała do mnie, bo dotknął ją problem z danymi osobowymi i sposobem ich pozyskiwania. „Różne absurdy bankowe przerabiałam w ostatnim czasie, ale ten przebił wszystko” – pisze czytelniczka.

Bank: trzeba zostawić dane osobowe

Pani Z. poszła do placówki Alior Banku w związku z dyspozycją złożoną przez jej tatę. Chciał on przekazać wkład na koncie na rzecz pani Z. w przypadku swojej śmierci. A w banku powiedzieli mu, że beneficjent takiej operacji musi się zarejestrować jako klient Alior Banku (czyli po prostu zostawić w banku swoje dane i otrzymać numer klienta). Później okazało się, że rejestracja jest niepotrzebna, ale to inna historia.

„Tu niespodzianka: dowiedziałam się, że bank ma już moje dane, chociaż nigdy wcześniej nie miałam z nim do czynienia. Byłam tam tylko raz w życiu, towarzyszyłam tacie, który przelewał na moje konto pieniądze i bał się, że coś pokręci. Okazało się, że bank ma moje dane zarejestrowane mniej więcej 15 lat temu. Numer dowodu, adres zameldowania i korespondencyjny, telefon… I nie wiem, skąd miał. Miły pan nie potrafił tego wyjaśnić.”

Po przeprowadzeniu małego śledztwa okazało się, że ślady wiodą do Pekao i BPH. Moja czytelniczka przed laty brała kredyt mieszkaniowy w Banku BPH. Po podziale tego banku i jego częściowym przejęciu przez Pekao rachunek do spłaty kredytu został przeniesiony właśnie do „żubra”. Z kolei Pekao znalazł się ostatnio w tej samej grupie kapitałowej, co Alior Bank (właścicielem obu jest PZU).

Czyżby więc w ramach banków należących do PZU (Aliora i Pekao) doszło do wymieszania danych klientów? To byłoby dziwne, bo oba banki działają jako samodzielne, konkurujące ze sobą instytucje. Owszem, był plan ich połączenia, ale został na razie ukatrupiony. Zatem ta ścieżka przepływu danych klientki raczej odpada.

Czytaj też: Zamknęła konto w Getinie i poprosiła bank, by „zapomniał” jej dane. Odmówił. Miał prawo?

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Czytaj też: Mapa dłużników live, czyli aplikacja pokaże ci, że zbliża się nierzetelny płatnik

Jest i druga hipoteza. Może przed laty, przy przenoszeniu klientów z „wykastrowanego” BPH do Pekao, menedżerowie w BPH pozwolili sobie zachować kopie danych? Jeśli zostały one w BPH, to mogły teraz znaleźć się w Aliorze, bo jakiś czas temu – po po kolejnym podziale działalności BPH – jego część przejął właśnie Alior. I ta hipoteza wydaje się bardziej prawdopodobna.

„Mam pytanie: czy bank BPH miał prawo zachować moje dane, skoro nie miałam już tam konta? I czy powinnam pofatygować się tam osobiście, żeby zażądać usunięcia swoich danych? Jeśli już raz zostały skopiowane, zamiast usunięte, to może wciąż są również w bazach BPH? Dlaczego ktokolwiek przechowuje moje dane bez mojej wiedzy i zgody?”

– pisze pani Z. I trudno jej się dziwić. Skoro stara się panować nad tym kto posiada jej dane, to nie dziwię się, że szlag ją trafia, gdy okazuje się, że są one w posiadaniu instytucji finansowej, z którą nie miała nigdy nic wspólnego.

Era przed i po wejściu RODO

Dziś, pod rządami unijnego rozporządzenia RODO przekazywanie danych osobowych między podmiotami wymaga naszej zgody, a za zaniedbania firmom i instytucjom grożą ciężkie kary finansowe. Wcześniej też nie było całkiem „luźno”, a w każdym razie nie na tyle „luźno”, by takie numery mogły przechodzić.

„Przepisy RODO stanowią, że interesy osoby, której dotyczą udostępniane dane są ważniejsze niż cele administratora. W związku z tym, musi on uzyskać zgody od osób, których dane są przetwarzane. Sposób pozyskania zgody nie został szczegółowo określony przez RODO. Wskazuje się jedynie, że zgoda powinna być pozyskana w taki sposób, aby można było udowodnić, że osoba, której dotyczą przetwarzane dane faktycznie jej udzieliła”

– czytam w interpretacji RODO. Patrząc na tę historię zastanawiam się, czy przypadkiem nie powinien powstać jakiś rejestr na modłę bazy rachunków bankowych Ognivo, w którym można byłoby sprawdzić, które instytucje administrują większymi pakietami naszych danych. Bo zakładam, że takich historii, jaka dotyczy pani Z., mogą być dziesiątki i setki tysięcy.

Alior Bank po publikacji tego artykułu poprosił klientkę o kontakt i zaproponował pomoc w wyjaśnieniu jej sprawy.

„Mogło dojść do sytuacji, że kredyt bohaterki artykułu po podziale banku BPH mógł zostać przekazany do Pekao, a jej rachunek pozostać w banku BPH i po fuzji z Alior Bankiem trafić do naszego systemu. W tej hipotetycznej sytuacji nie ma żadnych nieprawidłowości. Pragniemy podkreślić, że fuzje międzybankowe są legalną podstawą pozyskania danych klientów przejmowanego banku, w tym zakresie działamy w ramach prawa. Fuzja prawna podmiotów nie wymaga zgody klientów, klienci powinni być tylko o niej poinformowani, co zostało dopełnione przez banki”

zdjęcie: Pixabay.com