DAJ CYNK
  • Wszystko, co dotyczy telefonii komórkowej - usługi, promocje, opinie, itp. Nie o telefonach komórkowych! (patrz niższe działy)
Wszystko, co dotyczy telefonii komórkowej - usługi, promocje, opinie, itp. Nie o telefonach komórkowych! (patrz niższe działy)

Moderator: Moderatorzy

Regulamin forum: Zanim założysz nowy temat upewnij się, że wybrałeś odpowiedni dział! W przeciwnym razie wyląduje w koszu! Tak samo będą traktowane nowe posty pisane nie na temat.
 #1133578  autor: neotele
 08 lip 2022, 17:41
iphoneski pisze: Operator dostaje jedynie imię, nazwisko i PESEL, czyli dane niezbędne do rejestracji.
...
Żadnych dostępów do konta bankowego nie ma
Jeśli tak by było, to dla mnie byłoby do zaakceptowania. Ale to powinno być jasno sformułowane przez operatora na jego stronie i w jakimś Regulaminie, tak aby klient chcący skorzystać z promocji lub tylko założyć konto, nie miał tu żadnych wątpliwości.
 #1133579  autor: iphoneski
 08 lip 2022, 18:22
W regulaminie to chyba nie może być, bo to są zasady Moje ID, więc to jest określone w jakichś zasadach działania ich systemu. Orange mogłoby jedynie dodać komunikat PDF na swojej stronie, w którym wyjaśniłoby jak to się odbywa. Właściwie to nawet nie jest taki zły pomysł, żeby taki komunikat zrobili. Mi były potrzebne 2 zdania napisane w czasie wolnym, więc tym bardziej oni mogliby zrobić to w godzinach pracy, żeby mniej świadomi klienci mogli ogarnąć zasady działania tej weryfikacji.
 #1133581  autor: Remington
 08 lip 2022, 18:28
Dokładnie to samo miałem napisać. Jeśli ktokolwiek miałby to zawrzeć w regulaminie to bank przystępujący do MojeID, względnie KIR. Może już to robią? Orange nie ma wpływu czy bank nie przyśle mu więcej danych niż potrzebuje, to już jest sprawa KIR i banków.
 #1133583  autor: neotele
 08 lip 2022, 19:09
Klient chce założyć konto we Flex, wiec wchodzi na ich stronę i tu powinno być klarownie opisane, jakie informacje będą żądane od banku i przekazane do aplikacji Flex.
Tu także powinna być, choćby skrócona informacja, co to jest Moje ID, bo nie każdy, nawet korzystający z tego forum, miał z czymś takim wcześniej do czynienia i może nie jest świadomy, że istniej strona https://www.mojeid.pl/ , jak się domyślam, związana z usługą Moje ID w aplikacji Flex.
Ale raz jeszcze podkreślam - nie może to być wynik przypuszczeń klienta i dyskusji na forach, ale powinna być jasna informacja ze strony Orange Flex.
 #1133599  autor: iphoneski
 09 lip 2022, 11:16
@Remington
A może wydzielić tę dyskusję do osobnego wątku, bo przecież takie wątpliwości będą się pojawiać. Teraz już T-M pozwala rejestrować karty przez ID, w 01 jest od dawna, inji też pewnie pójdą w tym kierunku.
 #1133604  autor: biala1991
 09 lip 2022, 16:38
Zdalna weryfikacja tożsamości świadczona przez banki i Bluemedia
Kiedy rejestrowałam kartę Orange przez Millenium bank potwierdził tylko nazwisko i Pesel a kiedy próbowałam zrobić to przez ING dodatkowo wymagany był jeszcze numer dowodu. Dwa banki (w obu dostarczycielem usługi są Bluemedia) i ten sam operator, w jednym banku żądają numeru dowodu a w drugim nie. Jak to wytłumaczyć, Orange ma kaprys, żeby w jednym banku domagać się dowodu a w innym zadowala się Peselem, czy to jednak poszczególne banki decydują jaki zakres danych będą potwierdzać/przekazywać?
 #1133607  autor: iphoneski
 09 lip 2022, 21:06
To są (prawdopodobnie) zasady banku. Niektóre mają mniej, a inne bardziej restrykcyjne podejście co do danych klientów. Widać to choćby przy zmianie metody weryfikacji. W jednym banku wybierasz, potwierdzasz i gotowe, a w innym masz 10 okienek i 20 kodów do wpisania. Ja korzystam z PKO i tam nigdy nikt dowodu nie chciał - nazwisko i PESEL załatwiały sprawę.
 #1133608  autor: Remington
 09 lip 2022, 21:10
Ja odwrotnie - winnego upatrywałbym w Blue Media. Przecież bank sam z siebie nie dałby im danej, o którą kiedyś (gdy nawiązywali współpracę) nie poprosili. Różnica między dwoma bankami może natomiast wynikać z bardzo wielu czynników - ten, który wprowadzał to jako drugi mógł dostać już bardziej aktualny zakres danych. Choć równie dobrze to może być jakaś kulawa proteza na potrzeby osób bez PESEL (wtedy rejestracja obejmuje nr dokumentu). Bez skargi do UODO (na przetwarzanie nadmiernej danej) się nie dowiemy 😉.
 #1133611  autor: biala1991
 10 lip 2022, 08:00
Nie wydaje mi się, żeby to była "kulawa proteza", bo w ING dowód nie jest zamiast Peselu tylko oprócz, jeśli ktoś Peselu nie posiada i wpisze sam dowód to wątpię, żeby system przepuścił go z niewypełnionym okienkiem Pesel.

O nadgorliwość podejrzewałabym bardziej bank ale doszła jeszcze rejestracja przez Moje ID i aplikację T-Mobile. Na instruktażowym video TM widać weryfikację z udziałem mBank, wpisujemy tylko nazwisko, Pesel i maila. Na logikę szablon w apce będzie chyba jednakowy dla wszystkich banków, co w takim razie z ING i wymaganym przez nich numerem dowodu? W przypadku klientów, którzy będą rejestrować numer w TM, ING przekaże operatorowi tylko PESEL a w przypadku klientów, którzy będą rejestrować numer w Orange (i Bluemedia), ING nadal będzie przekazywał dodatkowo nr dowodu.
 #1133693  autor: Grzegorz_mojeID
 12 lip 2022, 10:57
Sporo różnych wątków się pojawiło. Ja odniosę się do mojeID. To usługa, która funkcjonuje w Orange, ale też korzystacie z niej logując się w administracji państwowej np. do Internetowgo Konta Pacjenta (wybierasz zaloguj, przechodzisz na stronę login.gov.pl i wybierasz logo swojego banku). Również aktywacja wspomnianego w poście mObywatela odbywa się może z użyciem mojeID.
Jest wiele możliwości przekazania swoich danych, piszecie o nich. Skutek ten sam, Wasze dane trafiają do dostawcy usług z którego usługi zmaierzacie skorzystać. Aale podstawy prawne są różne i muszą/ powinny być opisane w Regulaminach podmiotów, z których usług właśnie zamierzacie skorzystać.
Dla mojeID jest następująco :
1. macie potrzebę skorzystać z usługi np. Orange,
2. Orange was informuje, że będzie potrzebował Waszych danych. iphoneski wskazał jakie dane są potrzebne, a jakie nie, ale oprócz ekranu z informacją możecie zapoznać się z Regulaminem Orange.
3. Po zalogowaniu, bank wydaje Wam zgodnie ze swoim Regulaminem, Środek Identyfikacji Elektronicznej, jak go już macie, bo nie pierwszy raz korzystacie, to nie wydaje. Ten Środek Identyfikacji to prawnie akceptowalne rozwiązanie dlatego jest stosowane przez administrację państwową, czy np. Orange. Dla zainteresowanych, prawne regulacje w sprawie środka identyfikacji elektronicznej określa rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
4. Po zalogowaniu do banku, jeśli już macie Środek Identyfikacji Elektronicznej w danym banku, bank prezentuje Wam ekran z informacją, o jakie dane i kto o nie poprosił np. Orange, czy administracja państwowa. Nie można uwolnić pokazanych danych bez każdorazowej akceptacji przez klienta. Jak się zgodzicie tylko te dane zostaną przekazane, jak się nie zgodzicie proces zostanie przerwany np. nie założycie konta w Orange, nie zalogujecie się do internetowego konta pacjenta.
5. I oczywiście Bank ma swój Regulamin. Akurat regulamin wspomnianego mBanku jest przystępnie napisany. Bank definiuje, jakie dane są w Środku Identyfikacji Elektronicznej. Ważne jest to, że te dane mogą mieć więcej informacji niż o które prosi np. Orange. Jednakże bank nigdy nie da więcej danych z wydanego Środka Identyfikacji, niż prosi o to np. Orange czy administracja państwowa. jak wspomnaiłem, czasem są dwa ekrany: jeden z utworzeniem Środka Identyfikacji Elektronicznej, drugi przy uwalnianiu danych. I obydwa mogą pokazywać różne zakresy danych. I to jest ok. Bezpieczeństwo rozwizania to zawsze wyrażacie zgode , wiecie komu i jakie dane zostaną udostępnione.
6. Lista dostawców usług, którzy wdrożyli usługę mojeID jest tutaj https://www.mojeid.pl/#dostawcy-uslug, lista banków, ale w rozumieniu prawnym to dostawcy tożsamości, jest tutaj: https://www.mojeid.pl/#dostawcy-tozsamosci
7. I może to kogoś zainteresuje, niektórzy dostawcy usług wymagają wpisania ręcznie danych, a następnie weryfikują poprzez mojeID, czy klient podał prawdziwe dane, inni robią trochę inaczej, dostają z banku dane (wszystko zgodnie z opisem powyżej) i nie żądają ich wpisywania w formularzu. To często kwestia przepisów obowiązujących dla danej branży lub konkretny podmiot.

A inne usługi nie muszą korzystać z ram prawnych opartych o wskazane rozporządzenie. Stąd np. weryfikacja danych w oparciu o przelew też działa, poprostu dostawca usług bierze na siebie ryzyko związane z potrzeba ustalenia tożsamości klienta, jak wdrożył usługę to je akceptuje, jego decyzja. Są też inne rozwiązania, można prosić o skan dowodu, wideoweryfikacja/selfi.

W razie pytań, spróbuję odpowiedzieć.
 #1133705  autor: biala1991
 12 lip 2022, 19:38
Grzegorz_mojeID pisze:
12 lip 2022, 10:57
4. Po zalogowaniu do banku, jeśli już macie Środek Identyfikacji Elektronicznej w danym banku, bank prezentuje Wam ekran z informacją, o jakie dane i kto o nie poprosił np. Orange, czy administracja państwowa. Nie można uwolnić pokazanych danych bez każdorazowej akceptacji przez klienta. Jak się zgodzicie tylko te dane zostaną przekazane, jak się nie zgodzicie proces zostanie przerwany np. nie założycie konta w Orange, nie zalogujecie się do internetowego konta pacjenta.
5. I oczywiście Bank ma swój Regulamin. Akurat regulamin wspomnianego mBanku jest przystępnie napisany. Bank definiuje, jakie dane są w Środku Identyfikacji Elektronicznej. Ważne jest to, że te dane mogą mieć więcej informacji niż o które prosi np. Orange. Jednakże bank nigdy nie da więcej danych z wydanego Środka Identyfikacji, niż prosi o to np. Orange czy administracja państwowa.

Ja rozumiem, że uwolnienie danych przez bank każdorazowo wymaga zgody klienta i rozumiem, że bank nie przekaże więcej danych niż np. operator poprosił i w tym rzecz, kto kontroluje czy ten przykładowy operator ma prawo prosić bank o nr dowodu przy rejestracji numeru, do której teoretycznie wymagany jest tylko Pesel?
Opisywana sytuacja z ING po zalogowaniu do banku widzę, że Orange (rękami Bluemedia) ma ochotę pozyskać nie tylko mój Pesel ale też dowód, oczywiście mogę się nie zgodzić ale wtedy nie zarejestruję zdalnie numeru.
A jeśli klient nie jest zorientowany to może pomyśleć, że skoro proszą o nr dowodu to znaczy, że jest on niezbędny i zaakceptuje przekazanie. Idąc dalej, jeśli operator poprosi o nazwisko panieńskie matki i nieświadomy klient się zgodzi to bank też ochoczo przekaże, bo przecież klient zatwierdził? :D
 #1133710  autor: iphoneski
 12 lip 2022, 22:12
Od tego jest urząd ochrony danych osobowych. Wysyłasz im skargę i oni się zajmują zasadnością chęci pozyskania tych danych. Nikt nie ma możliwości sprawdzania ustaleń pomiędzy setkami czy nawet tysiącami podmiotów. Na tej samej zasadzie policja nie jest w stanie kontrolować, czy każdy obywatel nie robi imprez co noc. To ty musisz zadzwonić i zgłosić, że od tygodnia u sąsiada jest balanga i nie możesz się wyspać do roboty.
 #1133720  autor: biala1991
 13 lip 2022, 06:39
Tylko kto jest odpowiedzialny i kto powinien ponieść finansowe konsekwencje przekazania/pozyskania nadmiarowych danych? Zachłanny operator, który o dane poprosił czy bank, który bezkrytycznie te dane przekazał? Po drodze mamy jeszcze pośrednika, BlueMedia współorganizujące cały proces, trzy podmioty biorą w tym udział, więc znając życie winnym będzie... klient, który zaakceptował przekazanie :D
 #1133721  autor: Remington
 13 lip 2022, 07:58
biala1991 pisze:
13 lip 2022, 06:39
finansowe konsekwencje przekazania/pozyskania nadmiarowych danych?

Jakie niby mogą być te konsekwencje? Raczej myślisz nie o konsekwencjach przekazania/pozyskania, lecz wycieku tych danych. Akurat karę od UODO za wyciek ponosi ten, któremu dana wyciekła. Za to pokrycie strat finansowych jakie poniosła ofiara np. oszustwa z użyciem tych danych można oczywiście włożyć między bajki, bo nie ma możliwości udowodnienia związku przyczynowo-skutkowego między konkretnym wyciekiem danych i konkretnym oszustwem. Czyli błędne koło i słynne RODO gdzie właściciel danych liczy się najmniej.
 #1133745  autor: biala1991
 13 lip 2022, 17:57
@babciagienia1p
Smutna prawda


@Remington
Uważasz, że to kwalifikuje się na wyciek? to że ING, BlueMedia i Orange ustaliły między sobą, że będą przekazywać nr dowodu, który przy rejestracji numeru jest zbędny? Moim zdaniem prawo jest tu łamane nie z powodu "wycieku" (bo przecież dane nie wypłynęły w sposób przypadkowy/przestępczy tylko zostały oficjalnie przekazane). Tu raczej chodzi o nielegalne przetwarzanie przez firmę, która nie ma obowiązku danych dowodu pobierać a nieuzasadnione przetwarzanie też jest karalne nawet jeśli w związku z tym przetwarzaniem żaden "prawdziwy" :) wyciek nie nastąpił. Jakie to są kary to już inna bajka :D
 #1133746  autor: Remington
 13 lip 2022, 18:23
To nie jest wyciek, dlatego nie ma tu mowy o żadnych finansowych konsekwencjach, które ktoś miałby ponieść, do tego się odnosiłem.

Nie ma tu też mowy o nieautoryzowanym dostępie do danych, bo osoba wyraża zgodę na przekazanie konkretnego zestawu. A że jest on szerszy niż wymaga prawo telekomunikacyjne - bank nie jest podmiotem rejestrującym w myśl ustawy (jest nim Blue Media), więc może umyć ręce i jemu żadna kara nie grozi. Inna sprawa to profesjonalizm i wizerunek, dla świętego spokoju bank mający przecież sztab prawników wprowadzając taką usługę powinien zweryfikować czy zewnętrzna firma nie wyciąga od jego klientów zbyt wielu danych.