Terabajty danych osobowych na wyciągnięcie ręki – czy banki oprą się pokusie skorzystania z nich? Oczywistym faktem jest, że banki gromadzą informacje o wszystkich naszych transakcjach finansowych. Jednak co się stanie gdy postanowią stworzyć nasz profil statystyczny na ich podstawie? Jest to marzenie każdego działu marketingu spersonalizowanego lub analizy zdolności kredytowej. To nie koniec, co się stanie gdy postanowią zestawić zgromadzone przez siebie informacje z tymi, które sami udostępniamy na portalach społecznościowych, w sposób automatyczny i to w ciągu kilku sekund.
Praktycznie cały poprzedni rok minął pod znakiem „Big Data”, na wszelkich konferencjach oprogramowania i targach informatycznych nie mówiło się o niczym innym jak tylko o bardzo dużych rozproszonych bazach danych i oprogramowaniu do ich odsiewania i analizowania. W dzisiejszych czasach problemem nie jest już dostęp do informacji, gdyż tej jest pod dostatkiem, a skuteczne jej łączenie i analizowanie. Tu na pomoc przychodzi skomplikowane oprogramowanie, które wymaga bardzo dużej mocy obliczeniowej, więc nie wszystkie banki od razu będą mogły sobie pozwolić na tworzenie statystycznych obrazów klienta.
Od czego to się zaczęło
Badanie dużych ilości danych ma swoje korzenie głównie w meteorologii i różnych niezależnych od siebie badaniach socjologicznych. Zestawianie różnych niekiedy bardzo dużych baz danych pozwalało i nadal pozwala przewidywać zjawiska atmosferyczne, czy społeczne. Początki były niewinne, głównie dlatego, że nie naruszały praw jednostki. Jednak problem pojawia się w momencie gdy szczegółowość analizowanych danych dochodzi do punktu, w którym przedmiotem analizy staje się jeden człowiek, jego dane osobowe (wrażliwe) i to w czasie rzeczywistym.
Badanie zdolności kredytowej
W jaki sposób banki decydują o tym, czy pożyczyć nam pieniądze czy raczej nie? Pierwotnie było to schematyczne zestawienie podstawowych informacji o nas, które najczęściej zawierały się we wniosku kredytowym. Podstawowym danymi osobowymi, decydującymi o naszej zdolności kredytowej były wiek, historia kredytowa, zobowiązania bieżące oraz dochód. Jednak analiza ta okazywała się często zupełnie nieskuteczna, gdyż bazowała w dużej mierze na oświadczeniu wnioskodawcy. Obecnie banki większy nacisk kładą na historie klienta w ich banku, niż na jego oświadczenie. Jednak te informacje powoli już nie wystarczają, gdyż nadal prognozy banku statystycznie się nie sprawdzają. Naturalnym kolejnym krokiem jest sięgnięcie po inne dane, niezależne od wnioskodawcy czy od banku. I tu pojawia nam się już Big Data i systemy informatyczne, które mają w ciągu bardzo krótkiego czasu (rozmowa telefoniczna) przeanalizować wszystkie dostępne informacje o kliencie i przedstawić jasny i czytelny wynik. Udzielić kredytu czy nie.
A co naszą prywatnością?
Formalnie i zgodnie z Ustawą o ochronie danych osobowych, ten sposób gromadzenia danych o osobie nadal jest prawnie dopuszczalny. Dane udostępnione przez nas w Internecie mają status powszechnie dostępnych i korzystają z ochrony w bardzo niewielkim zakresie. Informacje, które bank sam posiada są objęte tajemnicą bankową więc są one zabezpieczone i nie są udostępnione innym podmiotom. Nasza zgoda nie jest bankom potrzebna by poszukiwać informacji na nasz temat w publicznie dostępnych bazach danych (cały Internet – w tym i portale społecznościowe). Istotą rzeczy dla banku jest tu cel przetwarzania danych osobowych adekwatny do gromadzonych danych, czyli po co bank gromadzi dane o nas, a taki cel jak najbardziej posiada – zbadanie naszej zdolności kredytowej.
Karty kredytowe są kluczem
To wciąż jednak za mało, jest masa innych informacji, które są dostępne na wyciągnięcie ręki, a przepisy – ciągle z poprzedniej epoki – o tym milczą. Dlaczego banki tak namawiają i nalegają na korzystania z kart kredytowych? Pierwotnie z pewności było to ograniczenie kosztów obrotu gotówkowego jednak obecnie ma to już minimalne znaczenia ale na szczęście znalazł się kolejny cel – historia korzystania przez nas z karty kredytowej. I tu pojawia się pierwszy problem o ile bank może badać ilość transakcji i kwoty o tyle już przetwarzanie danych o tym, gdzie i kiedy dokonywaliśmy transakcji już narusza naszą prywatność. Monitoring naszego przemieszczania się na podstawie historii karty kredytowej jak najbardziej będzie się kwalifikował jako wykroczenie banku poza ww. cel przetwarzania. Tu powinniśmy interweniować w GIODO lub KNF, jeżeli oczywiście takie informacje do nas dotrą co przy szczelnej tajemnicy bankowej jest mało prawdopodobne.
Paypass, czyli jeszcze dokładniej
Kolejnym krokiem do przyspieszenia analizy bankowej są karty zbliżeniowe. Z jednej strony ma to zachęcić do częstszego korzystania z płatności bezgotówkowych, a z drugiej ułatwić monitoring naszej działalności. Jeżeli przykładowo udajemy się na zakupy z kartą zbliżeniową to bank wie, że z rana wyjechaliśmy samochodem i pojechaliśmy na stację benzynową (pierwsza płatność), potem pojechaliśmy do centrum handlowego i zjedliśmy śniadanie (kolejna płatność) z całą rodziną, dalej kupowaliśmy sprzęt narciarski (kolejna płatność). W tym momencie system analizujący Big Data mógłby zaproponować nam preferencyjny kredyt na wakacje w górach. W świetle obecnie obowiązujących przepisów byłoby to naruszenie naszej prywatności, ale czy dowiedzielibyśmy się o tym? Wszystkie te działania banku zmierzają do przygotowania ogromnych baz danych, które będą mogły być użyte jak tylko zlikwidowana lub złagodzona zostanie ostatnia bariera, czyli nasze prawo do prywatności.
Gotówka największy wróg
Najgorszym wrogiem współczesnego banku jest klient, który ma jedno jedyne źródło dochodu, nie posiada karty kredytowej, nie korzysta z bankowości elektronicznej, raz w miesiącu osobiście wypłaca gotówkę w oddziale banku. Taki klient dla banku jest bezużyteczny, gdyż nie ma żadnej historii, która mogłaby być pokarmem dla systemu Big Data. W momencie kiedy wypłaci gotówkę ślad po nim ginie bank nie wie gdzie i kiedy wydaje gotówkę, jakie ma zwyczaje, czy ma problemy finansowe, czy ma oszczędności. Podsumowując banki tym bardziej będą wkraczały w naszą prywatność im bardziej im na to pozwolimy. Czy dowiemy się gdy naruszy naszą prywatność? Zawsze możemy zwrócić się do banku jako administratora naszych danych osobowych o przekazanie nam informacji o wszystkich danych osobowych jakie gromadzi on na nasz temat. Takie prawo daje nam właśnie Ustawa o ochronie danych osobowych (Art. 32). Bank ma 30 dni na przekazanie nam takiej informacji. Możemy to robić jednak nie częściej niż raz na pół roku. Gdyby okazało się, że bank przetwarza o nas takie informacje jak zwyczaje zakupowe lub trasy płatności bezgotówkowych, to jest to ewidentna podstawa do tego by zgłaszać się ze skargą do GIODO.
Konrad Gałaj-Emiliańczyk
Ekspert ds. ochrony danych osobowych w ODO24, Prawnik i Administrator Bezpieczeństwa Informacji w państwowej jednostce budżetowej o zasięgu ogólnokrajowym. Autor i prelegent branżowych szkoleń z zakresu ochrony danych osobowych, praw autorskich i praw pokrewnych, świadczenia usług drogą elektroniczną oraz dostępu do informacji publicznej.
