Coraz więcej banków oferuje usługę tzw. fotoprzelewu. W tym przypadku posiadacz rachunku może zrobić zdjęcie rachunku, który chce zapłacić, za pomocą swojego smartfona. Rachunek ten jest następnie natychmiast opłacany za pośrednictwem odpowiedniej aplikacji bankowej.
Szybko pojawia się pytanie, które dane są przetwarzane gdzie podczas transferu zdjęć i jak należy to ocenić w świetle prawa ochrony danych osobowych. Odpowiedzi można poznać tutaj.
Jak działa fototransfer?
Jeśli dany bank oferuje usługę fotoprzelewu, klient może wygodnie zrobić zdjęcie rachunku do zapłaty za pomocą odpowiedniej aplikacji na smartfonie. Sztuczna inteligencja wyodrębnia z tego zdjęcia odpowiednie dane. Dane te są następnie wstawiane w odpowiednie miejsce na formularzu przelewu. Klient nie zauważa wiele z tego procesu, a jedynie widzi gotowy przelew kilka sekund po zdjęciu. Może go pobieżnie sprawdzić, a następnie zatwierdzić odpowiednią procedurą TAN, tak jak każdy przelew ręczny.
Gdzie odbywa się przetwarzanie transferu zdjęć?
Jeśli spojrzysz na typową fakturę, szybko zauważysz, że można tu znaleźć wiele wrażliwych i osobistych danych: Adres dostawy i adres rozliczeniowy, inne dane kontaktowe, takie jak numer telefonu lub e-mail oraz zamówione produkty, które mogą również pozwolić na wyciągnięcie wniosków na temat preferencji. Wątpliwe jest, gdzie odbywa się przetwarzanie tych danych. Możliwe byłoby przetwarzanie na własnym urządzeniu końcowym, na serwerach banku lub na serwerach podmiotu trzeciego.
W oświadczeniu o ochronie danych lub w ogólnych warunkach handlowych banków oferujących usługę przesyłania zdjęć zazwyczaj stwierdza się, że przetwarzanie odbywa się za pośrednictwem strony trzeciej jako podmiotu przetwarzającego (art. 28 DSGVO) oraz że dane ze zdjęć są również przetwarzane na ich serwerach i tymczasowo przechowywane. Klient musi wyrazić zgodę na tę procedurę, zanim będzie mógł skorzystać z usługi transferu zdjęć.
W większości przypadków jednak nadal nie wyjaśnia to, gdzie znajduje się serwer procesora dostarczającego sztuczną inteligencję. Zdecydowana większość wszystkich banków korzysta z usług dostawcy, który jako miejsce przetwarzania danych wskazuje serwery w Monachium. Okres przechowywania danych różni się w poszczególnych bankach, ale zazwyczaj wynosi 28 dni. Między innymi dane te są również wykorzystywane do szkolenia sztucznej inteligencji w okresie przechowywania.
Krytyka w świetle prawa ochrony danych
Przetwarzanie zdjęć faktur przez dostawcę zewnętrznego wykracza daleko poza zwykłe odczytanie odpowiednich danych, biorąc pod uwagę okres przechowywania i fakt, że dane są wykorzystywane do celów szkoleniowych. Klienci powinni być tego świadomi i sprawdzić, z jakich serwerów korzysta w tym celu ich własny bank.
Należy jednak również zauważyć, że banki regularnie składają w swoich oświadczeniach o ochronie danych jedynie mgliste oświadczenia, że przetwarzanie odbywa się "u dostawcy usług". W tym zakresie istnieje duża potrzeba poprawy. W końcu większość banków ostatecznie uzasadnia legalność przetwarzania zgodą klienta na te niejasne oświadczenia.
Ostatecznie fototransfer pozostaje przedsięwzięciem wymagającym dużej ilości danych. Otwartym pozostaje pytanie, dlaczego banki nie stosują już na szeroką skalę bardziej oszczędzających dane alternatyw, takich jak kody QR EPC, gdzie klient może mieć gotowy przelew wyświetlony w odpowiedniej aplikacji poprzez zeskanowanie kodu QR.
Chcesz uzyskać poradę dotyczącą procedur ochrony danych osobowych w Twojej firmie? Nasz zespół ekspertów z chęcią pomoże!