Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Kilka dni po starcie odnowionej wersji serwisu Swistak.pl do redakcji Dziennika Internautów trafiło zgłoszenie dotyczące danych osobowych, których przy zmianie nazwiska domaga się administrator. W jakim celu jest serwisowi potrzebny numer mojego dowodu osobistego, mój PESEL oraz inne informacje, których nie podaje się w procesie zwykłej rejestracji? - zastanawia się nasza Czytelniczka. O wyjaśnienie kontrowersji poprosiliśmy obsługę Świstaka, GIODO oraz współpracującego z redakcją prawnika.

robot sprzątający

reklama


Jedna z Czytelniczek Dziennika Internautów (nazwisko do wiadomości redakcji) założyła jakiś czas temu konto w serwisie aukcyjnym Swistak.pl. Zanim je aktywowała, zdążyła jednak wyjść za mąż i zmienić nazwisko. Aby dokonać aktywacji, należy wpłacić przelewem 1 zł. Nadawcą przelewu musi być osoba, na którą zarejestrowane jest konto - sensowne, bo faktycznie, bank dokonuje tu najlepszej weryfikacji moich danych osobowych - pisze Czytelniczka.

Nie byłoby problemu, gdyby przed dokonaniem wpłaty nie musiała zmienić nazwiska na aktualne. Okazało się, że nie da się tego zrobić od ręki, trzeba administratorowi serwisu przesłać skan dowodu osobistego. Oto fragment listu naszej Czytelniczki:

Dobrze zatem, wysłałam skan, z tym że zamazałam na nim swoje zdjęcie oraz nr PESEL i nr dowodu (w końcu proszona jestem tylko o nowe nazwisko oraz aktualny adres zamieszkania). Uznałam, że do niczego nie są Świstakowi potrzebne pozostałe moje dane, zresztą zgodnie z ustawą o ochronie danych osobowych powinni zbierać tylko te, które są im niezbędne.

Notabene - przy "nowej" rejestracji nie trzeba przesyłać żadnych skanów, wystarczy ów złotówkowy przelew. Jako że otrzymałam odpowiedź, że taki skan "jest zły" i że zapewne chciałam ich oszukać modyfikując skan (tak jakby nie można było sobie wszystkich danych w Photoshopie pozmieniać, zamiast zamazywać). I że potrzebne są wszystkie dane. Do rejestracji nie - wystarczy tylko przelew; do zmiany nazwiska tak - przelew już nie wystarczy. Czyli założyć konto na Świstaku mogę. Ale zmienić nazwiska nie, nawet jeżeli w obu przypadkach wyślę "weryfikacyjny" przelew.

Tak czy inaczej, konto zlikwidowałam, jako że nie chcę udostępniać wszystkich, niepotrzebnych serwisowi danych osobowych. Na marginesie: z Allegro nie ma takich problemów, po prostu zmienia się nazwisko i tyle. I tak sobie myślę, że każda kobieta, która ma na Świstaku konto, w momencie zmiany stanu cywilnego musi przesyłać cały skan. Zastanawiam się również, w jakim celu jest serwisowi potrzebny numer mojego dowodu osobistego, mój PESEL oraz inne informacje, których nie podaje się w procesie zwykłej rejestracji?

No i samo zdjęcie/skan dowodu... Pamiętam zamieszanie wokół Naszej-Klasy, które dotyczyło danych osobowych. Ciekawa jestem, kto i kiedy pomyśli nad tym, aby sprawdzić np. gdzie Świstak trzyma tego typu skany dowodów...

Redakcja Dziennika Internautów, po zapoznaniu się z listami, które nasza Czytelniczka wymieniła z obsługą serwisu Swistak.pl, zwróciła się z prośbą o wyjaśnienia do Krzysztofa Szarskiego, który pełni funkcję Marketing & PR Managera. Otrzymaliśmy następującą odpowiedź:

Rzeczywiście założenie konta na Swistak.pl nie wymaga przesyłania skanu dowodu osobistego, a jedynie weryfikacji za pomocą przelewu - czyli de facto opieramy się na weryfikacji dokonywanej przez bank, który podczas zakładania konta prosi klientów o szereg dokumentów, w tym również dowód osobisty. Jeśli użytkownik zmienia dane osobowe (nazwisko, miejsce zamieszkania) w przypadku założonego już i zweryfikowanego konta - wymagamy dodatkowego uwierzytelnienia, bo to dokonane wcześniej przez bank może się okazać niewystarczające.

Przyczyną obowiązywania takiej procedury jest zabezpieczenie internautów przed oszustami. Pierwszy etap zakładania konta i weryfikacji dostarcza nam informacji przede wszystkim nt. miejsca zamieszkania użytkownika i jego nazwiska. Łącznie te dane są dla nas kluczowe w monitorowaniu kolejnych zakładanych kont pod kątem informacji, czy ktoś wykorzystując ten sam adres lub/i nazwisko nie próbuje założyć konta. Jeśli wykryjemy, że nowy użytkownik rejestrując się wpisał dane, które już figurują w systemie przypisane innemu użytkownikowi - natychmiast wyjaśniamy sprawę, jeśli trzeba zawieszając funkcjonowanie konta do czasu ustalenia faktów.

Zmiana jednej z tych danych na koncie, które jest już zweryfikowane i ma swoją historię (komentarze osób, listę transakcji itd.), jest sytuacją, w której musimy przeprowadzić powtórną weryfikację. Dokonujemy jej, aby wykluczyć sytuację przejęcia konta użytkownika (osoby rzadko korzystającej z konta, osoby, która utraciła na rzecz oszusta swoje loginy i hasła, lub osoby zmarłej, na której konto udało się oszustowi włamać), prosimy o przesłanie skanu dowodu osobistego.

Dzięki powyższemu mechanizmowi udało nam się już wielokrotnie wychwycić próby oszustwa i odpowiednio zareagować - zanim jakikolwiek internauta został poszkodowany. Dodam, że początkowo zgadzaliśmy się na zamazywanie części pól dowodu osobistego, jednak po kilku przypadkach prób przesłania nam fałszywych danych prosimy o przesyłanie - tylko dla celów weryfikacji - skanu dowodu osobistego ze wszystkimi danymi.

Skany dowodów osobistych są dostępne tylko i wyłącznie na jednym komputerze i poza weryfikacją nie wykorzystujemy ich ani nie przetwarzamy, ani nie udostępniamy w żaden sposób. Byliśmy kilkukrotnie kontrolowani przez GIODO - i kontrole potwierdziły, iż przechowujemy dane naszych użytkowników w sposób zgodny z prawem i bezpieczny.

Zgadzamy się jednak z tym, że opisana wyżej procedura nie jest doskonała, i może być uciążliwa dla niektórych internautów. Dlatego pracujemy nad jej zmianą, która zapewne nastąpi w ciągu 30 dni od startu nowej wersji Swistak.pl. Jednak dopóki nie będziemy dysponować lepszą procedurą, zapewniającą równe lub większe bezpieczeństwo naszym użytkownikom, nie możemy zrezygnować z obecnej, która realizuje swój najważniejszy cel - i znacząco utrudnia oszustwa na Swistak.pl.

Zwróciliśmy się też z prośbą o komentarz do Rzecznika Prasowego Generalnego Inspektora Ochrony Danych Osobowych. Małgorzata Kałużyńska-Jasak przesłała Dziennikowi Internautów następującą odpowiedź:

Uprzejmie informuję, że ze względu na specyfikę serwisu Świstak, który jest serwisem aukcyjnym, umożliwiającym między innymi dokonywanie operacji finansowych, zarówno administrator danych, jak i użytkownicy korzystający z ww. serwisu winni przywiązywać szczególną wagę do ochrony tożsamości, w tym do uniemożliwienia jej przejęcia przez osoby nieupoważnione. Stąd też ważnym elementem polityki bezpieczeństwa jest sposób zmiany danych identyfikujących osobę w serwisie (imię i nazwisko).

Wg informacji przedstawionych przez Panią, podczas aktywacji konta weryfikacja tożsamości w serwisie Świstak wykonywana jest w oparciu o dane zawarte w przelewie bankowym. Uzasadnione wydaje się być, aby operację zmiany imienia i nazwiska mógł wykonywać wyłącznie administrator serwisu lub upoważniona przez niego osoba na podstawie przekazanych przez zainteresowaną osobę dokumentów.

W serwisie Świstak przyjęto zasadę, że zmiany takie muszą być udokumentowane i w związku z tym, operator przed wykonaniem takich zmian, żąda udokumentowania tożsamości osoby zwracającej się o zmianę danych oraz udokumentowanie wiarygodności nowych danych, w opisanym przypadku dokumentu potwierdzającego zmianę nazwiska. W stosowanej przez serwis procedurze żąda się przesłanie kopii dowodu osobistego, która zawiera oprócz imienia, nazwiska i miejsca zamieszkania (zameldowania) również szereg innych danych, w tym kwestionowany PESEL oraz nr dowodu osobistego.

Wydaje się, że zakres żądanych danych jest zbyt szeroki, w porównaniu do danych pierwotnych, których wpisanie jest wymagane podczas rejestracji. Trudno, bez dokładnego przeanalizowania sprawy znaleźć uzasadnienie, aby dla potrzeb weryfikacji zmienianych danych żądać od użytkowników serwisu Świstak innych danych, niż te, które są wymagane podczas rejestracji. Z drugiej jednak strony warto się zastanowić, czy dane wymagane w serwisie Świstak są wystarczające do jednoznacznego zidentyfikowania osoby zakładającej konto.

Udzielenie szczegółowej odpowiedzi na postawione przez Panią pytanie wymaga przeprowadzenia szczegółowej analizy procedur obowiązujących w serwisie, co nie jest możliwe bez przeprowadzenie w ww. zakresie kontroli lub co najmniej wykonania rejestracji, która jak wspomniano wyżej wymaga dokonania przelewu w celu weryfikacji danych.

Dziennik Internautów zwrócił się do Małgorzaty Kałużyńskiej-Jasak z pytaniem, czy w najbliższym czasie planowane jest przeprowadzenie kontroli Świstaka, o której wspomniano w ostatnim akapicie powyższego komentarza.  Dowiedzieliśmy się, że GIODO - ze względu na otrzymany od nas sygnał - przeanalizuje zasady przetwarzania danych przez serwis aukcyjny i w przypadku stwierdzenia niejasności rozważy zasadność przeprowadzenia w nim kontroli.

Zapytaliśmy też o zdanie współpracującego z Dziennikiem Internautów prawnika - Olgierda Rudaka, redaktora naczelnego Lege Artis. Poinformował on nas, że przetwarzanie danych osobowych przez elektronicznych usługodawców regulują art. 16-22 ustawy o świadczeniu usług drogą elektroniczną:

Zgodnie z art. 18 ust. 1 usługodawca może gromadzić i przetwarzać wyłącznie takie dane, które są "niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi". Przepis wskazuje rodzaj danych, które mogą być przetwarzane na tej podstawie; w pkt. 2 seria i numer dowodu osobistego wspomniane są alternatywnie, nie obok, lecz zamiast numeru PESEL. Usługodawca może przetwarzać numer dokumentu tożsamości tylko wówczas, gdy usługodawca nie ma nadanego numeru PESEL.

Za zgodą usługobiorcy, usługodawca może przetwarzać inne dane, lecz wyłącznie w celach reklamowych, marketingowych lub w celu ustalenia preferencji usługobiorców (art. 18 ust. 4 w zw. z art. 19 ust. 2 pkt 2). Z pewnością takie dane, jak dodatkowe zbieranie numeru dowodu obok numeru PESEL, nie mieści się w tym pojęciu.

Natomiast nie zmienia to faktu, iż ustawa daje uprawnienie do żądania podania tych danych, nie zaś sporządzania kopii czy żądania wydania kopii dokumentów!

Osobną sprawą jest ogólnie pojęta kwestia proporcjonalności gromadzonych danych ze względu na rodzaj świadczonych usług. Przyjmuje się bowiem, że nawet jeśli generalna norma ustawowa zezwala na przetwarzanie jakiegoś rodzaju danych, to żądanie podania tych danych musi być uzasadnione rodzajem tej działalności.

Zachęcamy Czytelników do wyrażenia własnej opinii na dany temat w komentarzach lub w listach do redakcji.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl