Nasz Czytelnik po wylogowaniu się z systemu mBanku zauważył reklamę w postaci kalkulatora AC/OC. Kalkulator prosił o podanie numeru PESEL w celu weryfikacji wieku. Czytelnik skusił się na wyliczenie składki i bardzo zaskoczył go telefon, który po chwili odebrał… W sprawie ubezpieczenia zadzwonił nie ubezpieczyciel (AXA) a …mBank. I to pomimo tego, że czytelnik nie podał w kalkulatorze swojego numeru telefonu…

Kto jest administratorem danych osobowych?

Wspomniany wyżej kalkulator ubezpieczeniowy jest dostępny na stronie mBanku. Wygląda tak

Jak widzicie, w formularzu jest miejsce na kod pocztowy i PESEL. Nieco mniej widoczna jest informacja o administratorze danych osobowych. Trzeba najechać na znak zapytania na dole, aby przeczytać, że

Administratorem danych osobowych jest AXA Ubezpieczenia (…) Dane osobowe będą przetwarzawane w celu podjęcia działań przed zawarciem umowy ubezpieczenia (…) Podanie danych jest dobrowolne

Tak więc administratorem danych jest AXA. Pytanie brzmi, jak rozumieć “podjęcie działań przed zawarciem umowy ubezpieczenia“? Okazuje się, że w tym zapisie mieści się także przekazanie danych agentowi ubezpieczeniowemu, którym jest …mBank. Ale tego niestety już się nie dowiecie z informacji o administratorze danych. Można jednak dotrzeć do tej informacji w regulaminie świadczenia usług AXA za pomocą systemu mBanku. Taką interpretację zapisu potwierdza też nasza rozmowa z przedstawicielką mBanku, Kingą Wojciechowską, która oświadczyła, że bank pełni rolę agenta, któremu powierzane są dane AXA.

To oczywiste, że jeśli ktoś jest klientem mBanku, a bank otrzyma jego PESEL od AXA, to zaglądając w swoje bazy, bez problemu odczyta inne informacje dotyczące danego klienta. Pytaliśmy mBank, czy dane pozyskane przez kalkulator są używane przy profilowaniu klienta, ale akurat na to pytanie nie dostaliśmy odpowiedzi od rzeczniczki… Historia naszego Czytelnika zdaje się jednak potwierdzać nasze przypuszczenia, że profilowanie i korelacja danych następuje.

Podajesz PESEL do AXA, a mBank oddzwoni

Czytelnik napisał…

Po wyliczeniu składki pokazała się opcja prośby o kontakt w którą NIE klikałem. Chwil parę po przeliczeniu kalkulacji dostałem wiadomość na mój adres e-mail (którego nigdzie [w kalkulatorze — dop. red.] nie podawałem) że skontaktuje się ze mną osoba w sprawie porozmawiania o OC (…) Co więcej faktycznie po paru minutach ktoś z mBanku do mnie dzwonił na MÓJ PRYWATNY numer

W tej sytuacji jest dość oczywiste, że mBank musi łączyć dane z kalkulatora (tj. PESEL) z danymi o swoich klientach. Czytelnik twierdzi, że “nie kliknął żadnej zgody na przetwarzanie danych osobowych wpisanych w ten formularz“. Pojawia się jednak pytanie, czy Czytelnik nie wyraził zgody na przetwarzanie danych już wcześniej (np. przy otwieraniu konta lub braniu kredytu)?

Zazwyczaj podpisując umowę z bankiem nie przywiązujemy dużej uwagi do treści wyrażanych zgód. Warto więc zauważyć, że np. w umowach mBanku na korzystanie z karty kredytowej można znaleźć okienka zgody na: “otrzymywanie informacji handlowych za pomocą środków komunikacji elektronicznej” oraz zgody na “przetwarzanie danych osobowych w celu otrzymywania materiałów marketingowych, usług i produktów AXA” (sic!). Nie powinno nas to dziwić, bo w ubiegłym roku Grupa AXA stała się nowym właścicielem BRE Ubezpieczenia TUiR, a mBank stał się nowym strategicznym partnerem AXA.

Oczywiście musimy zaznaczyć, że nie zaglądaliśmy w umowy naszego Czytelnika i nie wiemy jakich zgód na przetwarzanie danych mógł on udzielić mBankowi. Możemy jedynie odnotować, że czasem udzielenie zgody może nastąpić wcześniej niż nam się wydaje, przy okazji “byle umowy”, a efekty tej zgody mogą być odczuwane dużo później.

Chcą mojego PESEL-u — co robić, jak żyć?

Obecnie nie mamy powodów by sądzić, że mBank zrobił coś niezgodnego z prawem. Niemniej jednak, tym tekstem chcemy zwrócić uwagę na dwie kwestie.

Po pierwsze, jako klienci, możecie być zaskoczeni jak szybko wasze dane zebrane w różnych miejscach mogą być połączone . Historia naszego Czytelnika jest świetnym tego przykładem — od wypełnienia kalkulatora jednej firmy do kontaktu ze strony innej firmy w tej samej sprawie minęło kilkanaście minut.

. Historia naszego Czytelnika jest świetnym tego przykładem — od wypełnienia kalkulatora jednej firmy do kontaktu ze strony innej firmy w tej samej sprawie minęło kilkanaście minut. Po drugie mBank mimo wszystko powinien się zastanowić nad poprawieniem kalkulatora. Nie chodzi tu o to, czy bank może tak robić. Spytajmy raczej, czy powinien tak robić? Informacja o admistratorze danych powinna być bardziej klarowna, a link do regulaminu usług powinien być bardziej widoczny. Należy się też zastanowić, czy wymaganie numeru PESEL można uznać za dobrą praktykę w kontekście współczesnych zagrożeń (o datę urodzenia można przecież poprosić w inny sposób, ale fakt — traci się wtedy identyfikator umożliwiający unikatowe dopasowanie klienta w swojej bazie).

PESEL to dość znacząca informacja. Nie należy przyzwyczajać ludzi do podawania takiej informacji w “byle formularzu”. Wiele nieuczciwych serwisów prosi o numery PESEL (np. serwisy “pobieraczkowe” nieuczciwie wciskające niekorzystne umowy o dzieło pod pozorem przystąpienia do rekrutacji). Właściwie każda prośba o PESEL powinna uruchomić w naszej głowie ostrzegawczą “czerwoną lampkę”. Proszenie o numer PESEL do weryfikacji wieku w czymś, co jest właściwie reklamą, nie wydaje się praktyką godną banku. I jak widać, powoduje zaniepokojenie u bardziej świadomych klientów.

Co zatem robić, gdy kalkulator ubezpieczenia AC/OC prosi o PESEL? Może nie warto głosować swoim portfelem za taką metodą sprzedaży?

PS. Czy to właśnie ten modelowy przykład użycia tzw. “Big Data”, zapowiadany przez wiceprezesa Alior Banku? Miejmy nadzieję, że w tle nie poszło także zapytanie do bazy LuxMedu/Scanmedu/Enelmedu czy Medicover w sprawie stanu zdrowia klienta. Za nałóg alkoholowy albo kurzą ślepotę możnaby przecież naliczyć wyższą kwotę składki, bo i ryzyko wypadku po zmroku jest większe.

Przeczytaj także: