Banka nas pozna bolje kot obveščevalci in dacarji skupaj
Osebna privolitev je potrebna za podatke za segmentiranje in profiliranje kupcev, ki služi trženju bančnih storitev.
Odpri galerijo
Vsaka storitev pušča sled. FOTO: Leon Vidic/Delo
Ljubljana – Da naša banka ve, kolikšno plačo nam odmeri delodajalec in na kakšen način poravnavamo račune, je vsakomur logično. Manj pa, da ve, kje dopustujemo, kakšen računalnik imamo v intimi svojega doma in koliko minut ali ur preždimo na njem ... V resnici nas banka pozna bolje kot obveščevalci in dacarji skupaj, zato velja razmisliti, kaj ji bomo dovolili početi z bogato bero svojih osebnih podatkov.
Pogledali smo, kakšne sledi puščamo s povsem običajnim poslovanjem z banko, in povprašali, katere informacije o nas morajo in smejo zbirati banke ter o čem lahko odloča posameznik sam. To nam razkrivajo banke na svojih spletnih straneh v dokaj natančno razdelanih splošnih informacijah o varstvu posebnih podatkov tako, kot od njih zahteva splošna uredba o varstvu osebnih podatkov (GDPR) in kot jim svetuje Združenje bank Slovenije.
Iz objav razberemo, da banka ne pozna le osnovnih indentifikacijskih podatkov svojih strank (ime, priimek, kraj in datum rojstva, prebivališče, davčna številka, telefon, elektronski naslov), ampak tudi socialne in demografske (spol, starost, naslov, raven izobrazbe, vir in višino dohodka, zaposlovalca, podatke o družinskih članih). Plačevanje s kartico razkriva, kje kupujemo, kaj kupujemo, ali uporabljamo limit, ali smo disciplinirani plačniki, ali zamujamo, ali rokujemo z gotovino, smo najeli sef, kje dvigamo denar. Ne nazadnje tudi, kam potujemo. Ker iz takšnih podatkov lahko sklepajo o vedenju, povezanem s transakcijami, »ali bolj pogosto plačujete s kartico kot dvigujete gotovino na bankomatih, kako pogosto, kje, kakšen je vaš dohodek, ali prihaja vaš dohodek od več delodajalcev, v katerih trgovinah nakupujete, koliko plačujete za nakupovanje« ... V NLB pravijo, da nam lahko ponudijo dostopnejše in uporabnejše storitve.
A to še ni vse. Z uporabo spletnega in mobilnega bančništva ter aplikacij računalnik samodejno pošlje naš IP-naslov na bančni strežnik in banka zazna omrežje, v katerem je naš računalnik, izve, kaj vse in koliko časa smo počeli v spletni banki, dobi informacije o našem operacijskem sistemu pa tudi tehnične podatke o naših napravah. Seveda ve tudi, katere njene storitve uporabljamo, kako pogosto in kaj vse plačujemo s kartico, smo bolj nagnjeni k varčevanju ali izposojanju denarja, koliko smo kreditno sposobni, ali kredit plačujemo redno ali zamujamo. Vodi evidenco stikov z banko ali osebnim bančnikom in o vzrokih zanj. Za vrat nam diha prek družbenih omrežij (s ciljno usmerjanimi tržnimi aktivnostmi, če smo privolili vanje), iz posebnih dnevnikov razbere našo geolokacijo. Sledi nam pravzaprav kamorkoli.
Preveč? In če gremo še korak naprej: kaj od tega banka samo zbira, kaj pa tudi obdeluje? In kje lahko rečemo: stop? Obdelava osebnih podatkov je kakršnokoli rokovanje s temi podatki in zbiranje je le ena od oblik obdelave (poleg beleženja, urejanja, strukturiranja, shranjevanja, prilagajanja ali spreminjanja, priklica, vpogleda, uporabe, razkritja s posredovanjem, razširjanja, prilagajanja, kombiniranja, omejevanja, izbrisa ali uničenja), pojasnjuje informacijska pooblaščenka Mojca Prelesnik. Banke zbirajo različne vrste podatkov vseh uporabnikov njihovih storitev, nekaj v elektronski, druge tudi v fizični obliki. Za identifikacijo in prepoznavo strank večina bank hrani fotokopije osebnih dokumentov, ki se ne smejo hraniti v elektronski obliki.
In za večino tega nabora ne potrebuje osebne privolitve komitenta, ta je le ena od pravnih podlag za obdelavo osebnih podatkov. Ni potrebna za na primer osnovne bančne storitve, za katere je stranka z banko sklenila pogodbo pod določenimi splošnimi pogoji (na primer vodenje osebnega računa, odobritev in črpanje kredita). Osnovno pravilo pri tem pa je, da lahko banka obdeluje le tiste in toliko osebnih podatkov, kolikor je za določeno storitev nujno potrebno. Prav tako ne potrebuje privolitve, ko gre za zakonske obveznosti banke in različnih nadzornih organov (davkarija, preprečevanje pranja denarja ...). Podatke o najetih kreditih, limitih in kreditnih karticah mora posredovati v centralni kreditni register Sisbon, podatke o letnih izplačanih obrestih na hranilne vloge in depozite Fursu ...
Na osebni privolitvi praviloma sloni le manjši del obdelav, in to, kot pojasni Prelesnikova, za komplementarne storitve z dodano vrednostjo za banko in posameznika. Če ta obdelavo odreče, to ne sme poslabšati njegovih pogojev pri osnovnih bančnih storitvah. In koliko časa lahko traja hramba? Dokler ni izpolnjen namen, za katerega jih je upravljavec zbiral, ali če ugasne pravna podlaga; nato se izbrišejo, uničijo, blokirajo ali anonimizirajo.
Takšna so pravila. Kako pa je v praksi? Informacijski pooblaščenec redno nadzira bančno zbiranje osebnih privolitev, po uradni dolžnosti ali na podlagi prijav. Pogosto se pokaže, da je banka strankam dala zahtevane informacije, vendar je to storila površno: ne na dovolj razumljiv način, jedrnato, jasno, ampak skrito v obsežnih splošnih pogojih ali pogodbah. Ključno je ločevanje med »obveznimi osebnimi podatki«, ki so jih banke dolžne obdelovati že na podlagi zakonodaje in drugih predpisov, in »prostovoljnimi podatki«, za obdelavo katerih potrebujejo banke eno od drugih možnih pravnih podlag – kot rečeno, je to najpogosteje pogodba oziroma privolitev.
Pogledali smo, kakšne sledi puščamo s povsem običajnim poslovanjem z banko, in povprašali, katere informacije o nas morajo in smejo zbirati banke ter o čem lahko odloča posameznik sam. To nam razkrivajo banke na svojih spletnih straneh v dokaj natančno razdelanih splošnih informacijah o varstvu posebnih podatkov tako, kot od njih zahteva splošna uredba o varstvu osebnih podatkov (GDPR) in kot jim svetuje Združenje bank Slovenije.
Razkošje podatkov
Iz objav razberemo, da banka ne pozna le osnovnih indentifikacijskih podatkov svojih strank (ime, priimek, kraj in datum rojstva, prebivališče, davčna številka, telefon, elektronski naslov), ampak tudi socialne in demografske (spol, starost, naslov, raven izobrazbe, vir in višino dohodka, zaposlovalca, podatke o družinskih članih). Plačevanje s kartico razkriva, kje kupujemo, kaj kupujemo, ali uporabljamo limit, ali smo disciplinirani plačniki, ali zamujamo, ali rokujemo z gotovino, smo najeli sef, kje dvigamo denar. Ne nazadnje tudi, kam potujemo. Ker iz takšnih podatkov lahko sklepajo o vedenju, povezanem s transakcijami, »ali bolj pogosto plačujete s kartico kot dvigujete gotovino na bankomatih, kako pogosto, kje, kakšen je vaš dohodek, ali prihaja vaš dohodek od več delodajalcev, v katerih trgovinah nakupujete, koliko plačujete za nakupovanje« ... V NLB pravijo, da nam lahko ponudijo dostopnejše in uporabnejše storitve.
Obdelava osebnih podatkov je kakršnokoli rokovanje z njimi, tudi zbiranje.
Nikoli več anonimni FOTO: Matej Družnik/Delo
A to še ni vse. Z uporabo spletnega in mobilnega bančništva ter aplikacij računalnik samodejno pošlje naš IP-naslov na bančni strežnik in banka zazna omrežje, v katerem je naš računalnik, izve, kaj vse in koliko časa smo počeli v spletni banki, dobi informacije o našem operacijskem sistemu pa tudi tehnične podatke o naših napravah. Seveda ve tudi, katere njene storitve uporabljamo, kako pogosto in kaj vse plačujemo s kartico, smo bolj nagnjeni k varčevanju ali izposojanju denarja, koliko smo kreditno sposobni, ali kredit plačujemo redno ali zamujamo. Vodi evidenco stikov z banko ali osebnim bančnikom in o vzrokih zanj. Za vrat nam diha prek družbenih omrežij (s ciljno usmerjanimi tržnimi aktivnostmi, če smo privolili vanje), iz posebnih dnevnikov razbere našo geolokacijo. Sledi nam pravzaprav kamorkoli.
Tudi zbiranje je obdelava
Preveč? In če gremo še korak naprej: kaj od tega banka samo zbira, kaj pa tudi obdeluje? In kje lahko rečemo: stop? Obdelava osebnih podatkov je kakršnokoli rokovanje s temi podatki in zbiranje je le ena od oblik obdelave (poleg beleženja, urejanja, strukturiranja, shranjevanja, prilagajanja ali spreminjanja, priklica, vpogleda, uporabe, razkritja s posredovanjem, razširjanja, prilagajanja, kombiniranja, omejevanja, izbrisa ali uničenja), pojasnjuje informacijska pooblaščenka Mojca Prelesnik. Banke zbirajo različne vrste podatkov vseh uporabnikov njihovih storitev, nekaj v elektronski, druge tudi v fizični obliki. Za identifikacijo in prepoznavo strank večina bank hrani fotokopije osebnih dokumentov, ki se ne smejo hraniti v elektronski obliki.
Poleg osebne privolitve je temelj za zbiranje tudi pogodba s stranko ali zakon.
Banka ve, kje smo, ko dvigamo denar. FOTO: Nebojša Tejić/STA
In za večino tega nabora ne potrebuje osebne privolitve komitenta, ta je le ena od pravnih podlag za obdelavo osebnih podatkov. Ni potrebna za na primer osnovne bančne storitve, za katere je stranka z banko sklenila pogodbo pod določenimi splošnimi pogoji (na primer vodenje osebnega računa, odobritev in črpanje kredita). Osnovno pravilo pri tem pa je, da lahko banka obdeluje le tiste in toliko osebnih podatkov, kolikor je za določeno storitev nujno potrebno. Prav tako ne potrebuje privolitve, ko gre za zakonske obveznosti banke in različnih nadzornih organov (davkarija, preprečevanje pranja denarja ...). Podatke o najetih kreditih, limitih in kreditnih karticah mora posredovati v centralni kreditni register Sisbon, podatke o letnih izplačanih obrestih na hranilne vloge in depozite Fursu ...
Zgolj za trženje
Na osebni privolitvi praviloma sloni le manjši del obdelav, in to, kot pojasni Prelesnikova, za komplementarne storitve z dodano vrednostjo za banko in posameznika. Če ta obdelavo odreče, to ne sme poslabšati njegovih pogojev pri osnovnih bančnih storitvah. In koliko časa lahko traja hramba? Dokler ni izpolnjen namen, za katerega jih je upravljavec zbiral, ali če ugasne pravna podlaga; nato se izbrišejo, uničijo, blokirajo ali anonimizirajo.
Banke zbirajo več podatkov, kot jih potrebujejo.
Takšna so pravila. Kako pa je v praksi? Informacijski pooblaščenec redno nadzira bančno zbiranje osebnih privolitev, po uradni dolžnosti ali na podlagi prijav. Pogosto se pokaže, da je banka strankam dala zahtevane informacije, vendar je to storila površno: ne na dovolj razumljiv način, jedrnato, jasno, ampak skrito v obsežnih splošnih pogojih ali pogodbah. Ključno je ločevanje med »obveznimi osebnimi podatki«, ki so jih banke dolžne obdelovati že na podlagi zakonodaje in drugih predpisov, in »prostovoljnimi podatki«, za obdelavo katerih potrebujejo banke eno od drugih možnih pravnih podlag – kot rečeno, je to najpogosteje pogodba oziroma privolitev.
