Płacisz kartą w sieci? Mogą zapytać Cię o PESEL. No właśnie, mogą?
Przeglądasz sieć w poszukiwaniu akcesoriów potrzebnych przy remoncie. Znajdujesz ofertę, wkładasz parę rzeczy do koszyka, chcesz zapłacić za nie kartą, a operator płatności nieoczekiwanie prosi Cię o PESEL. Czy aby na pewno tak ma być?
Z opisaną wyżej sytuacją zetknął się jeden z naszych Czytelników, który planował coś zamówić w sklepie Conrad.pl. Gdy chciał zapłacić za zakupy, PayU zaskoczył go komunikatem: „Przy pierwszej płatności kartą podaj numer PESEL”. Wydało mu się to dziwne, informacja ta nie jest bowiem zazwyczaj potrzebna do uwierzytelniania kartowych transakcji płatniczych. Postanowiliśmy sprawę wyjaśnić, choć okazało się to nieprostym zadaniem, bo trudno było ustalić odpowiedzialność za to zdarzenie.
Czytelnik zrobił zrzut ekranu i zapytał nas o zdanie, a my sięgnęliśmy do źródła, tzn. wysłaliśmy prośbę o komentarz bezpośrednio do operatora płatności.
Formularz płatności kartą z prośbą o PESEL
Odpowiedziała nam Justyna Grzyl, PR & Communications Manager firmy PayU: „Podawanie numeru PESEL jest związane z oceną ryzyka transakcji. Ma to na celu niedopuszczenie do sytuacji, aby kartę wykorzystała osoba trzecia, która nie jest faktycznym jej posiadaczem. W procesie oceny ryzyka brane są pod uwagę różne parametry, a podanie numeru PESEL wymagane jest bardzo rzadko – zależy to bowiem od sposobu integracji merchanta (sklepu) z systemem płatności. Sklep internetowy korzystający nadal z POS-a typu Checkout Protected może zmienić ustawienia i zamiast numeru PESEL poprosić o podanie numeru telefonu”.
Dowiedzieliśmy się także, że „analiza ryzyka wykonywana jest bez względu na wartość transakcji, zgodnie z rekomendacjami KNF (Komisji Nadzoru Finansowego) oraz Ustawą o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu”. Poziom ryzyka ocenia system monitorowania transakcji, o którym przedstawicielka PayU nie chciała za wiele mówić. „Żadne dane wykorzystywane w procesie analizy ryzyka nie są dalej przekazywane do sklepu realizującego zamówienie. Dane osobowe traktujemy na równi z kartowymi i stosujemy tutaj bardzo restrykcyjne standardy PCI” – zapewniła.
Pomieszanie z poplątaniem
Bogatsi o te informacje postanowiliśmy skontaktować się ze sklepem Conrad.pl. Jedna z najważniejszych zasad dotyczących przetwarzania danych osobowych, nazywana zasadą adekwatności, wymaga, by administrator przetwarzał tylko takie dane, które są konieczne ze względu na cel ich pozyskiwania. Zapytaliśmy więc (mailowo i przez social media), czy obsługa sklepu planuje zmienić ustawienia, o których przeczytaliśmy w komentarzu PayU.
Odpowiedź uzyskaliśmy za pośrednictwem oficjalnego fanpage’a na Facebooku: „Chcielibyśmy poinformować, że nie wymagamy podania numeru identyfikacji PESEL podczas realizacji zamówienia w naszym sklepie. Co więcej nie posiadamy w funkcjonalnościach naszego sklepu pola, by to zrobić. Jednocześnie chcielibyśmy nadmienić, że dbamy o całkowite bezpieczeństwo danych osobowych naszych Klientów, prosząc ich o podanie tylko tego rodzaju danych i tylko o takiej treści, które są wymagane do realizacji usługi”. Ciekawe, prawda?
Próbując wyjaśnić wszystko do końca, zadaliśmy kolejne pytania. Nie obyło się też bez rozmów telefonicznych z przedstawicielkami obu firm. Okazało się, że po naszym zgłoszeniu PayU, nie czekając na ewentualną reakcję sklepu, odgórnie zmodyfikował ustawienia i zablokował możliwość dalszych zmian. Gdy obsługa Conrad.pl zajrzała do ustawień, wszystko było jak trzeba, stąd taka, a nie inna odpowiedź. Dowiedzieliśmy się również, że do końca lutego rozwiązanie typu Checkout Protected zostanie wycofane z użytku i podawanie PESEL-u nie będzie potrzebne w żadnym sklepie współpracującym z PayU. Naszym zdaniem jest to bardzo dobra wiadomość.
O co tyle szumu, czyli opinia prawnika
Z punktu widzenia ustawy o usługach płatniczych wszystko jest w porządku – potwierdził to dla nas Marcin Jaworski, ekspert ds. komunikacji i edukacji w biurze Rzecznika Finansowego, który doradził kontakt z Generalnym Inspektorem Ochrony Danych Osobowych. Niestety mimo dwóch wysłanych e-maili nie doczekaliśmy się z biura GIODO żadnej odpowiedzi.
Opinią na temat zaistniałej sytuacji podzielił się z nami jednak radca prawny Rafał Cisek, ekspert w zakresie prawa nowych technologii współpracujący z Kancelarią Prawa Gospodarczego i E-commerce SynergyPRO.pl oraz twórca serwisu NoweMEDIA.org.pl.
Wydaje się, że żądanie numeru PESEL przez podmiot przetwarzający transakcję z kart może naruszać zasadę adekwatności i proporcjonalności przetwarzania danych osobowych. Pozyskanie numeru PESEL nie jest konieczne do weryfikacji transakcji kartą kredytową. Wystarczą dane z karty i kod CVV, zwłaszcza że polskie banki powszechnie zabezpieczają transakcje internetowe kodem 3D Secure. Co ważne, nic mi nie wiadomo, czy da się połączyć PESEL z danymi karty i sprawdzić, czy PESEL do danej karty „pasuje”. Jest to tym bardziej bez sensu, że przecież posiadacz może legalnie płacić np. kartą firmową wystawioną na jego spółkę prawa handlowego, która ma osobowość prawną, a identyfikuje taki podmiot nie PESEL, a numer KRS (ewentualnie NIP, REGON). Nie wiem też, na jakiej zasadzie PayU może ewentualnie porównać PESEL z danymi z ewidencji ludności i zweryfikować np. podane imię i nazwisko osoby fizycznej. Nie wydaje mi się, ażeby podmiot ten miał bezpośredni dostęp do danych z ewidencji ludności. A zatem ciekaw jestem, czy transakcja zostałaby odrzucona, gdyby wszystkie dane karty były prawidłowe, natomiast PESEL był autentyczny, ale jakiejś innej osoby. Myślę, że transakcja by przeszła, więc tym bardziej zastanawia, czy PESEL jest niezbędny do weryfikacji transakcji i czy rzeczywiście dodatkowo ją zabezpiecza. Zgodnie ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w aktualnie obowiązującym brzmieniu (Dz.U.2016.922 t.j. z późn. zmianami):
Art. 26. [Główne obowiązki administratora danych]
1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem;
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
(…)
Zasada adekwatności oznacza, że administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Ta adekwatność (określana też jako relewantność) danych powinna być oceniania najpóźniej w momencie ich zbierania. Zatem administrator ma obowiązek dokonania w tym względzie oceny.
Zgodnie z orzecznictwem dotyczącym omawianego zagadnienia, zakres danych osobowych adekwatnych do celu przetwarzania oceniać trzeba każdorazowo z uwzględnieniem określonego stosunku prawnego, w związku z którym administrator przetwarza dane osobowe (wyrok NSA z dnia 27 listopada 2003 r., II SA 209/2003). W odniesieniu do umów uwzględnić należy ich charakter i znaczenie (wyrok NSA z dnia 19 grudnia 2001 r., II SA 2869/2000, ONSA 2003, nr 1, poz. 29).
Zdarza się, że przepisy określają wprost zakres danych adekwatnych do celu przetwarzania. Przepisy takie mają charakter lex specialis i wyłączają stosowanie ogólnej zasady adekwatności (którą w innych przypadkach należy każdorazowo rekonstruować zależnie od konkretnego stanu faktycznego). Przykładem takiej sytuacji jest art. 112b ustawy Prawo bankowe, zgodnie z którym banki mogą przetwarzać – w celach prowadzonej działalności bankowe – informacje zawarte w dokumentach tożsamości osób fizycznych (co obejmuje PESEL). Tu chodzi jednak o konkretny rodzaj działalności i podmioty (konkretnie banki), co do których istnieje szczególny status wynikający z wymogów, jakie musi spełnić podmiot, ażeby prowadzić działalność bankową. PayU nie ma takiego szczególnego przyzwolenia i w przypadku tego podmiotu należy odnosić się do zasad ogólnych ustawy o ochronie danych osobowych i wynikających z niej oraz orzecznictwa zasad adekwatności i proporcjonalności, które należy odnosić do konkretnych stanów faktycznych / stosunków prawnych. Osobiście nie wydaje mi się, ażeby PESEL był niezbędny do bezpiecznego przeprowadzenia transakcji w ramach ogólnie akceptowalnych ryzyk dla tego typu operacji na rynku.
W takim kontekście rezygnacja przez PayU z opisanych praktyk wygląda na dobrą decyzję. Jeśli zatem natrafiliście (lub kiedyś natraficie) na dziwne prośby lub inne niecodzienne zdarzenia w trakcie płacenia za zakupy, dajcie znać – zapytamy, wyjaśnimy, opiszemy, naprawimy.
Podobne wpisy
- Podstawy Bezpieczeństwa: Bezpieczne zakupy online – jak rozpoznać fałszywą bramkę płatności
- Następna banda internetowych oszustów w rękach policji
- Masowe zatrzymania polskich cyberprzestępców – wpadli „bramkarze”, „sklepikarze” i „bankierzy”
- Uwaga na nowy scenariusz ataku na klientów InPost i największych banków
- Uwaga na najnowszy scenariusz oszustwa „na prognozę pogody”
Tego typu sytuację z dostawcami płatności są bardzo częste. UI sprzedawcy od konfiguracji jest maksymalnie okrojony. Wiele parametrów usługi zostało zatwierdzonych na etapie podpisywania umowy i widział tą umowę dyrektor, który już 10 lat nie pracuje w firmie. Opis API i produktu dla osób technicznych często milczy o pewnych brzegowych warunkach użycia. Jak działa to działa, ale jak? A już szczytem jest zmiana parametrów usługi przez dostawcę w sposób samowolny, a potem swieć oczami przed klientami. Ale… wszystko zgodnie z umową.
Ja bym chętnie transakcje kartą kredytową podpisywał profilem zaufanym. Niestety nikt na to jeszcze nie wpadł.
Nie da sie polaczyc PESELu z danymi z karty, wiec zapewne PayU zbiera te dane dla siebie. Zapewne mozna bylo podac PESEL z generatora. Najprosciej wytlumaczyc to np. tym, ze robiac zakupy zza granicy przy uzyciu zagranicznej karty, zagraniczny bank nie ma twojego PESELu, bo jest im taka informacja zbedna. Bedac np w UK najwzaniejszym numerem jest NIN. Szkoda, ze UOKiK czy inny wlasciwy urzad nie naklada za takie numery dotkliwych kar typu 100mln pln zamiast 5tys pln od ktorych sie mozna z powodzeniem odwolac.
A jak jest z obsługą ratalna online?
Spotkałem się nie tylko z PESELEM ale i nr dowodu osobistego jak i miejscem pracy…
To jest kredyt, a nie płatność.
No dobrze, jak w takim razie wygląda powszechne domaganie się numeru PESEL we wszystkich umowach z operatorami poczynając od kablówki przez dostawcę energii elektrycznej po dostawcę wody?
Opisywany przypadek to umowa. W ramach umowy obie strony mają prawo do udokumentowania procesu identyfikacji każdej ze stron.
Tylko że PESEL jest numerem tajnym, do użytku w relacjach z organami państwowymi, który to numer w założeniu masz znać Ty i urzędnik…
hehehe
Od kied?
@kot – PESEL nie jest żadnym tajnym numerem. Nie należy także do danych wrażliwych, lecz do danych osobowych.
Muszę was bardzo pochwalić za te mniej techniczne ale związane z bezpieczeństwem artykuły. Szczególnie zasięgnięcie języka w wielu firmach/instytucjach przydaje im wartości. Po skali opisywanych problemów widać jak dużo jest do zrobienia w kwestii edukacji społeczeństwa pod kątem nowych technologii i prawa.
Z punktu bym zrezygnowal z zakupow. PESEL? I co jeszcze. Niech spi…
Prawnicy – wiadomo: wymyślili Internet oraz płatności elektroniczne. Są wprost niezbędni do tłumaczenia zapisów ustaw i innych regulacji na coś, co będzie zrozumiałe dla zwykłych ludzi… i pewnie dlatego w większości firm szefami bezpieczeństwa są ludzie po studiach prawniczych. Bo najlepiej wiedzą na czym polega bezpieczeństwo w świecie transformacji cyfrowej w drugiej dekadzie XXI wieku…
Z tego co pamitam, Play zawsze pytal o PESEL przy doladowywaniu prepaida przez ich strone internetowa. Nwet uzywajac ZAGRANICZNEJ karty :) Domyslam sie ze nie maja mozliwosci sprawdzic tego, wiec zawsze mozna wygenerowac PESEL aby tylko sumy kontrolne sie zgadzaly i tyle.
Mam prepaida Play od kilku lat, doładowuję go przez internet i nigdy nie wpisywałem numeru PESEL (nie ma tam chyba nawet takiej rubryki).
Nawet gdyby PESEL faktycznie był poufny (tylko do wiadomości obywatela i urzędów państwowych), to nie nadaje się do uwierzytelnienia, bo zna go więcej niż jedna osoba – to tak, jakby urzędnik bankowy miał wgląd do Twego PIN-u.
PESEL poufny nie jest, bo jest drukowany na chyba każdym dokumencie ze zdjęciem wydawanym w Polsce: paszporcie, dowodzie osobistym, karcie pobytu, prawie jazdy, legitymacjach itp.
Wymuszanie podania numeru PESEL czy nawet daty urodzenia przez podmioty prywatne do „identyfikacji podmiotu” jest moim zdaniem wątpliwe (w świetle zasady zbierania danych „adekwatnych”), bo numer dowodu osobistego albo paszportu jednoznacznie identyfikuje daną osobę. Jest to szczególnie widoczne wtedy, gdy nie mają problemu by zawrzeć umowę z cudzoziemcem, który (nie zawsze, ale najczęściej) numeru PESEL nie posiada, w dodatku władzom polskim bardzo trudno zweryfikować prawdziwość numerów paszportów wydanych poza UE.
Ale nie łudzę się, że to się zmieni. Nawet będzie coraz gorzej, bo państwo gdzieś tak od końca lat 90. zaczęło używać numeru PESEL jako klucza do wszystkich państwowych baz danych i firmy prywatne po prostu to naśladują. Nasila się to od kilku lat, odkąd podanie numeru PESEL pozwanego jest warunkiem koniecznym złożenia pozwu w sądzie.
Taki klucz to zło samo w sobie – nie da się zmienić, więc jeden wyciek (a było już ich bardzo dużo) powoduje, że człowiek ma przechlapane do końca życia. Ostatnio rząd wymyślił, że będzie można wymienić dowód osobisty jeżeli doszło do kradzieży danych osobowych właściciela. Ale na to, że ukradzionego PESEL-u nie da się zmienić, już nie wpadli.
Jedynym rozwiązaniem jest po prostu zniesienie tych numerów, ale żaden rząd się na to moim zdaniem nie odważy, bo nie wezmą na siebie ryzyka sporego zamieszania w urzędach państwowych.
Niestety, cały system PESEL został źle pomyślany od samego początku (w sumie nic dziwnego: został stworzony nie celem identyfikacji, ale inwigilacji – jego pierwsze masowe użycie to grudniowa noc w 1981 r.) i jest zaprzeczeniem idei zbierania jak najmniejszej ilości danych osobowych.
Jedyny sposób dzisiaj to odmawiać podania PESEL-u wszędzie gdzie się da (podawać numer dokumentu) i trzymać kciuki, że nasz PESEL nie wycieknie z bazy banku/urzędu/uczelni (które mają ustawowe prawo i obowiązek pobierania tego numeru przy kontakcie z obywatelem).
Tak samo pomyśleli w PayU („Przy pierwszej płatności kartą podaj numer PESEL”). Oznacza to nie mniej nie więcej powiązanie idealnego identyfikatora z zdanymi karty, płatniczej, IP, oraz danymi trudnymi do walidacji (name, surname, email etc).
Z punktu widzenia PayU rozumiem takie pójście na skróty :-) łatwiej zakodować regułę w systemie monitoringu – algorytm kontrolny z niezmienną regułą tworzenia numeru (nie to co KOWALSKI/kowalski/Kowalski/Kowalskii) – mamy jeden identyfikator posiadacza kart(y).
Ale…taka reguła ma coraz mniejszy sens jako dodatkowy element monitoringu – banki polskie wymagają w większości 3-D Secure co istotnie ogranicza próby fraudów, a dla osób z zagranicy pojęcie PESEL nie istnieje. Oczywiście są też Polacy posiadający karty w innych bankach, ale to jest niewielki procent transakcji i takie przypadki można monitorować inaczej.
Dana nieadekwatna – dobrze, że wycofują.
przesylanie.pl też wymaga podania numeru PESEL, zrezygnowałem i wybrałem innego pośrednika kurierskiego.
Ja bym nie zastanawiał się kto i czy słusznie żąda numeru PESEL, tylko poszedłbym o dwa kroki naprzód, a właściwie to do maja, kiedy to zacznie działać RODO. Wtedy nikt nie będzie zastanawiał się czy firma słusznie żąda nr PESEL, tylko czy firma pozbiera się po ukaraniu jej za nadmiarowe przetwarzanie/gromadzenie danych. W mediach w ogóle nie mówi się o RODO, a tymczasem jak grzyby po deszczu powstają firmy, które będą pośrednio ściągać olbrzymie pieniądze za nieprzestrzeganie RODO!!!
Wiem też, że już wiele firm szykuje na swoją konkurencję tzw. „haki”. Tak oto w maju wyruszą do konkurencji w poszukiwaniu błędów i uchybień tylko po to aby później patrzeć jak forma upada no i oczywiście mieć też jakieś pieniążki dla siebie. Wszak osoby fizyczne także będą miały z tego profity.
Wiele firm wymaga od klientów podania numeru PESEL, bo jest potrzebny w przypadku ewentualnej egzekucji wierzytelności. Więc warunek adekwatności jest spełniony i nic nie można im zarzucić.
Ale jaka egzekuja? Przy płatności? Przecież tu nikt nie bierze nic na kredyt ani nie zawiera żadnej umowy na usługi, jedyne płaci.
To niech PESEL pozyskują od banku lub z rejestru MSWiA dopiero, gdy będzie trzeba dochodzić wierzytelności – mają wówczas interes prawny i na pewno ten numer uzyskają. To jesy pewien wysiłek, ale z drugiej strony zbieranie takiego unikalnego numeru od wszystkich jest nieuzasadnione.
Rozumiem w takim razie, że prze zawieraniu umowy z gazownią i elektrownią złożyłaś też na nich skargi do GIODO?
Radcy prawni sprawujący nadzór nad wzorami umów potrafią sugerować dopisanie polana na PESEL, więc w razie czego składamy prośbę o ponowną weryfikację w związku z RODO i roszczenie regresowe będzie do nich.
Jestem przeciwniczką niezmienialnych unikalnych identyfikatorów dla osób fizycznych. Legalność konkretnych przypadków zbierania takich danych ma tu marginalne znaczenie, bo te numery są co do zasady zagrożeniem dla prywatności i kropka.
Dawno temu, na początku PayU czy wtedy jeszcze Platnosci.pl praktycznie w każdej transakcji wymagało podawania nr PESEL. Samodzielnie wygenerowany też był ok, tylko trzeba było mieć zapisane który PESEL do której karty.
Swoją drogą GIODO jest mało aktywne w udzielaniu odpowiedzi na takie maile. Po rzuceniu im ciekawej sprawy i tygodniach oczekiwania przychodzi enigmatyczny mail „dziękujemy za zainteresowanie tematyką bezpieczeństwa danych”. Koniec sprawy.
Chyba rzeczywiście lepiej uruchamiać z3s :)
Bo żeby zainteresować sprawą GIODO trzeba kupić znaczek skarbowy za 10 zł. Inaczej nie kiwną nawet palcem.
PayU od dawna ma nieadekwatnie duze wymagania. Jakis czas temu zostalem oszukany przez sprzedawce na allegro i zlozylem reklamacje. Pomimo, ze platnosc z panelu allegro byla za posrednictwem PayU i PayU powinno miec wszystkie potrzebne dane. To jednak w reklamacji chcieli oprocz podania wszystkich danych transakcji abym dodatkowo im przeslal poczta SKAN DOWODU OSOBISTEGO. Oprocz oczywiscie zgloszenia tego na policje. Co do adekwatnosci to najsmieszniejsze bylo to, ze i kwota reklamacji byla naprawde smieszna, bo ponizej 50zl. Rozpoczalem procedure reklamacji nie ze wzgledu na strate pieniedzy(mala kwota) ale chcialem zobaczyc czy i jak dziala Ochrona Kupujacego na Allegro. I zostalem uswiadomiony, ze praktycznie jej nie ma, bo koniec koncow jednak nie dostalem zwrotu pieniedzy.
PayPo też prosi o pesel, przy zakupach z Allegro. Nie podałam i nie podam bo to jest wg mnie nadużycie. Karta i Pesel? Żadnej nie ma korelacji, natomiast fatalnie wygląda, gdy jest pytanie o tak drażliwe dane jak PESEL przy zakupach.
Kk