SČS: Ochrana osobních údajů klientů bank před úniky. Jaké jsou šance pro spotřebitele?

V minulých dnech se na SČS opakovaně obracela média s žádostí o komentování záležitosti velmi nepříjemné pro klienty Komerční banky, a tedy i pro banku samotnou. Jak je známo, běžný klient se bez obtíží dostal k databázi klientů penzijního pojištění; dostupná data bylo dokonce možno upravovat. SČS se proto rozhodlo se formou odpovědí na nejčastěji kladené otázky k věci vyjádřit.

Předseda Dupal k tomu uvádí: „Pro klienta, spotřebitele je to jasné: V podobných případech má banka věc otevřeně sdělit a vysvětlit, informovat o přijatých krocích a opatřeních k nápravě a prevenci. Komunikovat jasně a stručně. Realita je ovšem jiná. Banky obecně volí taktiku co nejmenší medializace; zaměřují se (doufejme, že obvykle) na přímé řešení s konkrétními postiženými klienty. A to i v případech „násilných“ průlomů a ataků přes zabezpečovací bariéry do databází banky, což nebyl diskutovaný případ."

Ohledně zahraničních zkušeností Dupal k tomu doplňuje: „Únik dat se ve světě děje poměrně často, a je téměř vždy se spojen s úmyslným, hackerským narušením obranného systému banky. V takovýchto případech je ovšem také posuzováno, zda a jak banka sama chybovala ve vytvoření a aplikaci systému ochrany dat," a zakončuje: „Klient sám ale nemá možnost posoudit objektivně kvalitu obranných systémů „své“ banky. Je otazné, zda se v daném případě jednalo o nějaké jednorázové pochybení, to ale běžný klient opět těžko dokáže posoudit, takže věc nutně vnímá iracionálně, případně i emotivně."

K této zprávě přikládáme podrobnější komentář k jednotlivým otázkám. Podstatou celkového postoje SČS je vnímání způsobu komunikace uvedené banky, který byl velmi „nešťastný“. Vinu a zodpovědnost v zásadě přesouval na svého dodavatele informačních technologií. SČS bohužel vnímá, že bankovní sektor a poskytovatelé služeb finančního trhu obecně v podobných případech mají tendenci řešit problém „utajeně“, bez mediálního zviditelnění. Byť by se i takový přístup mohl pochopit, máme za to, že přispívá k obecné nedůvěře, ba averzi evropských občanů vůči bankovnímu sektoru. Oblast bankovních služeb je při tom pro každého občana, ať již z hlediska konečného spotřebitele, či jako podnikatele, naprosto zásadní, a nemůže se jí zříci.

A protože v minulých krizových letech došlo „obecně“ k výraznému selhání služeb bank z důvodu nezodpovědnosti mnohých z nich (ale zdůrazňujeme, že nejenom – též a možná především z důvodu nezodpovědnosti států, resp. jejich vlád!), je nasnadě, že prudce narostla tendence centrální evropské regulace.

Banky, které obecně regulaci vnímají jako zatěžující a nepřiměřeně svazující, však samy svým chováním přispívají k vytváření prostředí, které pak regulaci vyžaduje.

1. Jakou formu komunikace by měly společnosti (konkrétně banky) vůči svým klientům v momentě nastalého problému zvolit?

Pro klienta, spotřebitele je to jasné: otevřeně věc sdělit, vysvětlit, informovat o přijatých krocích a opatřeních k nápravě a prevenci. Spíše jasně a stručně než složitě a dlouze.

Realita je ovšem jiná. Banky, které ostatně na vyvíjení a provádění komunikačních mají rozsáhlé odborné týmy, volí obecně taktiku co nejmenší medializace; zaměřují se na přímé řešení s konkrétními postiženými klienty. A to i v případech „násilných“ průlomů a ataků přes zabezpečovací bariéry do databází banky, což nebyl diskutovaný případ.

Naše sdružení před několika lety u nás realizovalo evropský projekt, jehož součástí i bylo posílit spolupráci mezi bankami na principu jakéhosi „alert“ systému, ohlašování případů narušení ochranných bankovních systémů tak, aby spotřebitelé byli lépe a včas varováni. Toto banky odmítly a komunikaci v této oblasti řeší zcela individuálně. Chci zdůraznit, že naše spolupráce s bankami a jejich asociací je v řadě oblastí velmi konstruktivní a přínosná. Jen uvedeným příkladem dokládám, že banky v daném případě volí obecně jiné postupy, než by přivítal spotřebitel.

2. Jaké jsou zkušenosti s podobným únikem dat v zahraničí? Jak se řeší podobné problémy v zahraničí?

Únik dat se ve světě děje poměrně často, a je téměř vždy spojen s úmyslným, hackerským narušením obranného systému banky. V takovýchto případech je ovšem také posuzováno, zda a jak banka sama chybovala ve vytvoření a aplikaci systému ochrany dat. Takové selhání, aby data byla „volně“ přístupná, je ovšem hodně neobvyklé a vlastně o takovém případu nevíme.

Komunikace bank v takových případech je různá, např. naprosto „děsivá“ byla údajně ze strany CEC Bank v Rumunsku v roce 2011. Přece jen bychom chtěli být více na Západ, kde případy porušení a úniků jsou komunikovány otevřeněji, ale nemůžeme si naneštěstí dělat iluze, „opatrnost“ k otevřené komunikaci je zřejmá všude. S únikem dat o svých klientech se v poslední době setkalo několik významných značek – Sony či Google, ale zejména banky (v USA například Citi či Bank of America).

Bankovní sektor je jako celek v současnosti obecně postižen hlubokou nedůvěrou spotřebitelů a klientů a je tomu po celé Evropě. Předseda Sdružení českých spotřebitelů je členem poradní skupiny Evropské komise – European Financial Services Users‘ Group, v jejímž rámci se projednává mnoho regulačních opatření připravovaných v Evropské komisi pro finanční služby. Z jednání je zřejmá osobní zkušenost členů skupiny z domovských zemí po celé EU spočívající ve značné nespokojenosti spotřebitelů se situací v řadě oblastí služeb finančního trhu – v pojišťovnictví, včetně penzijního, v drobných kapitálových investicích, v široké škále bankovních služeb. Problémy tedy rozhodně nejsou spjaty pouze s „novými“ členy EU. Je to obecně výzvou pro banky a další poskytovatele služeb, aby svoji komunikaci vůči klientům a své praktiky výrazně změnily ve prospěch větší otevřenosti vůči spotřebitelům.

3. Jak mají podobným případům banky v budoucnosti předejít?

Je nepochybné, že banky pracují na neustále výkonnějších, dokonalejších a sofistikovanějších modelech obrany před úmyslným prolomením své ochrany. Tento případ jim zřejmě dále „připomene“, že toto úsilí nemá konce, zejména když selhání se projevilo tak, že do systému se dostal náhodný klient bez úmyslu a záměru vlámat se do něj. A dramaticky závažná je možnost editace údajů a jejich přepisu a úprav.

Pro nás spotřebitele to není dobrá zpráva. Víme sice, že i špičkový výrobce aut někdy ohlásí technologickou vadu některé součásti a vyzve uživatele k její bezplatné výměně atp. Určitě jsme schopni pochopit, že se může stát chyba. To pro nás ale není a nemůže být omluvou. Banka je povinna chránit jak naše vklady či investice, tak naše osobní údaje.

Ochranné systémy musí důsledně vylučovat či alespoň minimalizovat vliv osobní chyby. Lidský faktor samozřejmě selže, ale systém to musí odhalit a svému vlastnímu hlubokému selhání zabránit. U nás je ovšem odkazování managementu při selhání systému na chybu jedince tolerováno a přijímáno – ovšem nikoliv na chybu jedince z managementu, nýbrž na pochybení pěšáka. Vzpomeňme na pracovnice hypermarketů přelepující data prošlé spotřeby na salámech a sýrech. Ony byly vinny. Nikoliv manažeři či nedůsledně zavedené systémy kvality a řízení rizikových bodů v provozu. Takovéto výmluvy považujeme ovšem za naprosto nepřijatelné.

4. Jak mohou nepříjemnostem předcházet spotřebitelé?

To je složitá otázka, protože vezmeme-li ji doslova, je to prakticky nemožné. Spotřebitel se při výběru banky řídí různými faktory a reputace a důvěryhodnost jsou obvykle zásadní. Je pak věcí, každého poskytovatele služby, aby klientovi svoji reputaci a důvěryhodnost unikátně a úspěšně prezentoval, spolu s dalším (kvalita i cena služeb, atd.); a že podobné kauzy s únikem osobních dat mohou pracně vybudovanou či budovanou image nabourat, je nepochybné.

Klient ale nemá možnost posoudit objektivně kvalitu obranných systémů „své“ banky. Je otazné, zda se v daném případě jednalo o nějaké jednorázové pochybení, to ale běžný klient opět těžko dokáže posoudit, takže věc nutně vnímá iracionálně, případně i emotivně.

Pro korektnost našeho přístupu připomeňme, že je to často spotřebitel, který se k sobě a svým penězům nechová „ohleduplně“ – uzavírá smlouvy, které si nepřečetl, nesleduje a nedodržuje pokyny banky pro své zabezpečení při provádění elektronického bankovnictví či a platbách kartou atd. To ale nic nemění na tom, že banka má bezvýhradně plnit své povinnosti ochrany našich peněz i osobních dat.

Sdružení českých spotřebitelů (SČS) si klade za cíl hájit oprávněné zájmy a práva spotřebitelů na vnitřním trhu EU a ČR, přičemž zdůrazňuje preventivní stránku ochrany zájmů spotřebitelů: „Jen poučený spotřebitel se dokáže účinně hájit“. SČS působí v řadě oblastí - pokrývají odbornosti ve vztahu k bezpečnosti a kvalitě výrobků a služeb, normalizaci, finančním službám aj. Ve více regionech, kde má zastoupení prostřednictvím regionálních kontaktních míst, vyhlašuje soutěž Spokojený zákazník kraje, kterou zaštiťují a předávají hejtmané. Touto cenou se SČS snaží přispívat k „pozitivnímu přístupu“ při vytváření lepších vztahů mezi spotřebiteli a poskytovateli služeb.