Obraz Pete Linforth z Pixabay

Prawo w branży nowych technologii często stwarza problemy, a to czegoś nie można zrobić, a to trzeba zebrać zgody albo rzuca sto innych kłód pod nogi. Czasem jednak błędnie jest wykorzystywane jako wymówka przed wdrożeniem rozwiązania korzystnego dla klientów. Oto przykład z naszego codziennego życia, gdy czytanie przepisów „po łebkach” pozwala nas wszystkich okradać z pieniędzy.

Nie tak dawno portal Niebezpiecznik opisał problem okradania klientów polskich banków z pieniędzy poprzez wyłudzanie kart SIM. Całość znajdziecie w artykule “Szkoda, że nie ma tego w Polsce, czyli jak Mozambik położył kres wyłudzeniom kart SIM?”. W dużym skrócie problem wygląda następująco: oszust stara się przejąć login i hasło do konta w banku, jeśli się mu to uda wyłudza w salonie kopię karty SIM z naszym numerem, na który przychodzą kody z banku i dosłownie okrada nas z wszystkich pieniędzy. Istnieje proste rozwiązanie tego problemu, stosowane nawet w Mozambiku (sic!), wystarczyłaby współpraca operatorów z bankami by ukrócić cały proceder. Wystarczyłoby odpytać po API czy karta SIM uległa wymianie w ciągu ostatnich 48h. Niestety, pomysł by wdrożyć podobne rozwiązanie został zablokowany przez prawników, cytując Niebezpiecznika:

Chcieliśmy wprowadzić dla banków podobną usługę, ale prawnicy to przyblokowali – powiedziało nam nasze źródło – Chodzi głównie o konieczność zebrania zgód od wszystkich abonentów, że zgadzają się na udostępnienie informacji o ich numerze instytucjom bankowym i w jakim celu – RODO + prawo telekomunikacyjne.
(Żródło: Niebezpiecznik Szkoda, że nie ma tego w Polsce, czyli jak Mozambik położył kres wyłudzeniom kart SIM?)

Wypowiedź osoby stanowiącej źródło Niebezpiecznika świadczy o użyciu RODO jako wymówki przy zamieceniu problemu pod dywan lub o bardzo pobieżnej lekturze obowiązujących przepisów. RODO (GDPR) nie wymaga w takim wypadku zbierania zgód, oczywiście można je zbierać ale nie ma takiego obowiązku, bo zamiast zgody banki i operatorzy telekomunikacyjni mogliby powołać się na ochronę „żywotnych interesów osoby, której dane dotyczą” (dla zainteresowanych art. 6 ust. 1 lit. d RODO). Znani prawnicy np. dr Paweł Litwiński czy dr Dominik Lubasz w swoich komentarz wskazują, że żywotny interes to także ochrona majątku drugiego człowieka. Innymi słowy RODO wprost pozwala na korzystanie z informacji o klientach do ochrony ich pieniędzy przed oszustami na drodze współpracy pomiędzy bankami a operatorami. Operatorzy nie muszą więc pytać klienta o to czy ten zgadza się na przekazanie takich informacji do banku, mogą to robić powołując się wprost na RODO z zachowaniem wszystkich innych zasad.

Oczywistym jest, że taki system wymaga wydania pieniędzy, wszak trzeba nawiązać współpracę pomiędzy bankami i operatorami, stworzyć nowe rozwiązanie, następnie je wdrożyć i płacić za jego utrzymanie. W takim wypadku RODO (GDPR) stanowi bardzo dobry powód by nie musieć wydawać tych pieniędzy. Jest tylko jeden problem, by uznać, że RODO jest taką wymówką trzeba je przeczytać bardzo pobieżnie, bo RODO nie zawiera tylko sytuacji, gdy można przetwarzać dane osobowe, RODO narzuca też pewne obowiązki. Jednym z takich obowiązków jest projektowanie usług, w tym bankowych, tak by chroniły prawa i wolności klientów. Obowiązek ten jest szerzej znany jako privacy by design i dotyczy nie tylko ochrony samych danych osobowych w ramach RODO ale ochrony wszystkich praw i wolności. Klienci mają m.in. prawo do własnego majątku, co wynika z polskiej Konstytucji. Dlatego też nie tyle można legalnie i bez zgody wdrożyć rozwiązanie chroniące przed oszustami ile trzeba i banki nie są w stanie uwolnić się od tego obowiązku.

Banki i operatorzy telefoniczni którzy takich rozwiązań nie wdrożą a których klienci zostali lub zostaną okradzeni poprzez wyłudzenie kopii karty SIM mogą spotkać się z kilkoma problemami.
Po pierwsze niedotrzymanie obowiązków nałożonych przez RODO odpowiadają finansowo, w Polsce decyduje o tym Prezes Urzędu Ochrony Danych Osobowych. Niedawno za niezrealizowanie innego obowiązku – informowania ludzi zgodnie z RODO – Prezes UODO nałożył prawie 1 milion złotych kary dla spółki mniejszej niż najmniejszy polski bank czy operator.
Po drugie, każdy okradziony w ten sposób klient może żądać od banku oddania swoich pieniędzy, powołując się na brak wdrożenia odpowiednich zabezpieczeń wymaganych przez RODO. W Polsce mieliśmy już sytuacje gdy bank za błąd w zabezpieczeniach musiał oddać klientowi pieniądze.

Ale klienci banków mają też prostszą drogę do odzyskania swoich pieniędzy po takiej kradzieży. Mogą pozwać bank i operatora o ich zwrot na podstawie RODO w procesie, w którym to bank i operator będą musieli udowodnić swoją niewinność, mogą tak zrobić bo w przypadku naruszenia RODO prawo wymaga od firm by te udowadniały swoją niewinność.