Protecția datelor cu caracter personal și confidențialitatea în cadrul tranzacțiilor digitale

✒️ Autor: Lavinia Mihut

⌛️ 15.9.2021 (Timp de citit: 10 min.)

Protecția datelor cu caracter personal și confidențialitatea în cadrul tranzacțiilor digitale

Dependența crescândă a consumatorilor și a companiilor de tehnologie este un fapt incontestabil al vremurilor pe care le trăim. O dată cu ea cresc și riscurile de securitate și de confidențialitate la care se expun atât companiile, cât și noi, consumatorii, mai ales atunci când vine vorba de date sensibile, cum sunt cele legate de tranzacții financiare. Faptul că procesatorii datelor cu caracter personal au anumite obligații față de tine nu exclude responsabilitatea ta față de propriile date, pe care decizi să le partajezi online pentru a beneficia de anumite produse și servicii.

Când pot fi procesate datele tale cu caracter personal?

Ca cetățean al Uniunii Europene, ai garanția protecției datelor personale de fiecare dată când astfel de date sunt colectate, de ex. când faci cumpărături online, când trimiți o aplicație la un potențial loc de muncă, dar și atunci când completezi o solicitare de de credit online. Indiferent de forma în care sunt colectate datele cu caracter personal (în mod digital sau analog), atunci când ele te identifică direct sau indirect, drepturile tale cu privire la protecția datelor cu caracter personal trebuie să fie respectat atât de organizațiile din UE, cât și de cele care au sediul în afara UE dacă oferă bunuri și servicii către cetățeni UE.

Legislația Uniunii Europene cu aplicabilitate în domeniul protecției datelor cu caracter personal și al confidențialității este cuprinsă în Regulamentul 679/2016 și în Directiva 136/2009. Fiecare stat membru UE a transpus aceste corpuri de lege în legislația națională.

Există mai multe situații specifice în care companiile și organizațiile au dreptul să colecteze sau să reutilizeze date cu caracter personal:

  • Când ai încheiat cu contract cu o companie / organizație - de exemplu, un contract de furnizare de bunuri sau servicii (cum sunt furnizorii de utilități sau cumpărăturile online) sau un contract de muncă între tine și angajatorul tău
  • Când organizația sau compania respectă o obligație legală - de exemplu când angajatorul tău oferă informații despre salariul tău autorităților de stat (ANAF, CAS, etc)
  • Când prelucrarea datelor este în interesul tău - de exemplu, când acest lucru îți poate proteja viața
  • Când prelucrarea datelor este necesară pentru îndeplinirea unei sarcini publice, cum ar fi în cazul unităților de învățământ, al spitalelor sau al administrațiilor publice locale, etc.
  • Când organizația sau compania respectivă are un interes legitim - de exemplu, când banca utilizează datele tale cu caracter personal pentru a evalua dacă ai fi eligibil pentru o dobândă mai mare pentru contul tău de economii.

Acordul explicit și drepturile tale cu referire la prelucrarea datelor cu caracter personal

Pentru orice altă situație care nu se încadrează într-un din cele enumerate anterior, compania sau organizația cu care interacționezi nu poate colecta și/sau reutiliza datele tale cu caracter personal decât după ce a solicitat și obținut acordul tău (cunoscut și sub numele de „consimțământ”).

Consimțământul tău trebuie să fie exprimat în mod explicit, de exemplu prin semnarea unui acord (formular de consimțământ) sau prin selectarea unei opțiuni pe o pagină web prin care îți dai acordul pentru prelucrarea datelor personale într-un anume scop.

De asemenea, înainte de a-ți exprima acordul pentru prelucrarea datelor cu caracter personal compania care urmează să colecteze și/sau proceseze datele trebuie să te informeze, printre altele, cu privire la următoarele:

  • informații despre compania/organizația care va prelucra datele tale, inclusiv datele sale de contact și datele de contact ale responsabilului cu protecția datelor (DPO), dacă există
  • scopul pentru care compania/organizația va utiliza datele tale personale
  • Tipul de date cu caracter personal ce urmează a fi colectate și procesate
  • durata de timp pentru care va păstra datele tale cu caracter personal
  • detalii despre orice altă companie/organizație căreia îi va transfera datele tale cu caracter personal
  • Dacă datele tale vor fi transferate unor entități din afara Uniunii Europene
  • Dreptul tău de a formula o plângere către autoritatea națională de protecție a datelor cu caracter personal
  • Dreptul de a-ți retrage oricând acordul de prelucrare a datelor cu caracter personal
  • Drepturile tale în domeniul protecției datelor cu caracter personal (dreptul de acces, informații despre drepturile dvs. de protecție a datelor (dreptul de acces, dreptul la rectificare, dreptul de ștergere a datelor - de a fi uitat, dreptul la restricționarea prelucrării, dreptul la opoziție)

Toate aceste informații trebuie prezentate în mod concis, transparent și ușor de înțeles, folosind un limbaj clar și simplu.

În cazul în care datele tale cu caracter personal au fost furate, pierdute sau accesate ilegal - operatorul de date (persoana sau organismul care gestionează datele tale personale) trebuie să raporteze incidentul către autoritatea națională pentru protecția datelor personale. De asemenea, trebuie să te informeze și pe tine, direct, dacă ești expus unor riscuri grave din cauza accesării lor neautorizate. În România, autoritatea națională pentru protecția datelor personale A.N.S.P.D.C.P.

Cum colectează instituțiile financiare date cu caracter personal?

Industria serviciilor financiare este una dintre industriile care se bazează intensiv pe accesul la date personale. Avansul tehnologic recent a crescut foarte mult capacitatea furnizorilor de servicii financiare de a colecta, stoca, procesa și analiza o mare varietate de informații despre clienții lor, cum ar fi situația lor financiară, preferințe, obiceiuri de consum, dar și localizarea geografică.

Această tendință poate aduce beneficii consumatorilor, dar nu este lipsită de riscuri specifice sectorului serviciilor financiare. Printre beneficii se numără produse financiare potențial mai ieftine și mai relevante și accesul la credit pentru acei consumatori care nu au istoric de creditare.

De altă parte, există riscul ca nu toți consumatorii să fie conștienți de măsura în care le sunt utilizate datele personale, putând fi expuși fraudei și criminalității informatice. Instituțiile financiare colectează informații despre clienții lor în mai multe feluri, uneori clientul fiind conștient de procesul de colectare, alteori nu.

În calitate de client sau potențial client al unei instituții financiare, ești conștient de faptul că ți se colectează date personale atunci când

  • Completezi/semnezi un formular de cunoaștere a clientelei
  • Furnizezi informații pentru a obține un produs financiar
  • Furnizezi informații pentru a beneficia de un serviciu financiar
  • Folosești un serviciu financiar, de exemplu serviciile de plată

Situațiile în care poate nu ești conștient că ți se colectează date cu caracter personal pot fi următoarele:

  • Interacțiuni cu reprezentanți ai instituției financiare
  • Colectarea datelor personale existente în spațiul public (de exemplu, profile de social media)
  • Furnizarea de date personale de către terțe părți (de exemplu, Biroul de Credit)

Cantitatea de informații furnizate de noi, consumatorii, fără să fim conștienți că le furnizăm, este în continuă creștere, din cauza evoluției tehnologice care atinge fiecare aspect al societății noastre și care dă naștere unor noi date, dar și capacității de a analiza cantități tot mai mari de date cu caracter personal.

Este important să înțelegem că și informațiile oferite în mod conștient și voluntar contribuie la creșterea setului de date pe care furnizorii de servicii financiare le pot stoca cu privire la noi: digitalizarea interacțiunii consumatorilor cu furnizorii de servicii financiare le permite acestora din urmă să colecteze și să păstreze pe termen nedefinit informații cu privire la noi. Chiar și un apel telefonic la serviciul clienți este înregistrat și păstrat în baza de date.

Protejează-ți singur datele personale - cum să previi frauda

Indiferent de tipul de servicii sau produse bancare pe care le folosești, riscul de a fi fraudat - de a pierde bani și date personale - este mai mare decât în trecut. Datele încredințate furnizorilor de servicii financiare trebuie protejate de acestea, dar și tu, în calitate de consumator și utilizator de produse și servicii financiare, e nevoie să fii bine informat pentru a-ți proteja datele și conturile.

În cele ce urmează, vom descrie câteva metode de fraudă frecvent întâlnite, ca să le poți recunoaște și să nu le cazi pradă.

Skimming

Procesul de copiere a datelor stocate pe banda magnetică a cardului prin utilizarea de dispozitive electronice speciale. Această operațiune se poate realiza fie la ATM (prin fixarea unui dispozitiv de copiere pe fanta de introducere a cardului și a unei tastaturi false sau a unei minicamere video pentru înregistrarea PIN-ului în momentul introducerii acestuia), fie la POS (la comercianți), cardul fiind ulterior trecut suplimentar și printr-un alt dispozitiv pentru a copia informațiile de pe banda magnetică.

Cum previi skimmingul?

  • Nu utiliza un ATM dacă fanta prin care introduci cardul sau tastatura sunt detașabile sau se mișcă în plan vertical sau orizontal sau dacă ATM-ul prezintă urme de vandalism, de adeziv sau dacă observi dispozitive conectate sau cutii/stative de fluturași de marketing
  • Acoperă cu mâna liberă tastatura atunci când introduci codul PIN pentru retragerile de numerar la ATM
  • Nu lăsa comerciantul să manipuleze cardul tău. Comercianții trebuie să amplaseze POS-ul la vedere, iar cardul trebuie să fie tot timpul în raza ta vizuală.
  • Nu nota PIN-ul pe card sau pe o hârtie în proximitatea cardului
  • Solicită comerciantului toate chitanțele pentru tranzacțiile efectuate, chiar dacă acestea nu au fost aprobate.
  • Nu accepta ajutorul persoanelor care se oferă să te ajute la retragerea de numerar de la ATM sau la aparente erori ale bancomatului.
  • Verifică lunar extrasul de cont pentru a putea identifica tranzacțiile suspecte. Adresează-te băncii emitente cât mai curând după ce ai identificat o tranzacție suspectă.

Phishing-ul

O metodă de furt de identitate prin care se încearcă obținerea unor date personale sau confidențiale. Acestea pot fi folosite ulterior în mod ilegal de către răufăcători, pentru a efectua tranzacții din contul clientului păgubit. Pentru obținerea datelor personale, atacurile de phishing se folosesc de un canal electronic de comunicare (e-mail, telefon) sau de un program malware care exploatează vulnerabilitățile sistemului pentru a fura date.

De multe ori, subiectul mesajului va fi conceput, așa încât să atragă atenția. De obicei, mesajul de tip phishing conține măsuri punitive în cazul în care nu se va da curs solicitării. Cel mai frecvent, se solicită introducerea de date confidențiale folosind un link către un site indicat în textul mesajului. Acest link redirectioneaza clienții către un site fals, dar care reproduce foarte bine pagina originală, care va colecta datele personale. Prin introducerea datelor personale confidențiale, atacatorii intră în posesia acestora și le pot folosi pentru a derula operațiuni în contul identități furate.

Cum previi cazurile de phishing?

  • Nu da curs solicitărilor de actualizare de date care par a veni din partea băncilor
  • Nu da curs solicitărilor de transmitere de documente care par a veni din partea băncilor
  • Observă cu atenție emailurile care par fi trimise de bănci sau alte instituții financiare: ele sunt impersonale, fiind transmise în masă, și ajung, de cele mai multe ori, în folderul SPAM. De asemenea, de obicei conțin măsuri punitive și au o notă de urgență. Mai mult, ele sunt expediate de la adrese de email înregistrate pe alt domeniu decât cel al instituției în numele căreia pare că îți scrie.

Malware

Reprezintă un program informatic rău intenționat care încearcă să obțină acces la informații confidențiale care sunt stocate sau procesate prin intermediul sistemelor bancare online, funcționând precum calul troian din legenda cuceririi cetății Troia.

Aplicațiile de malware bancar se deghizează în aplicații inocente, dar perturbă operațiunile normale ale computerului, poate culege informații confidențiale, poate obține acces neautorizat la sistemele informatice, poate afișa reclame nedorite și multe altele. Ele au rolul de a instala fără știința ta coduri malițioase pe calculator pentru colectarea de date, accesarea rețelei, interceptarea datelor transmise, obținerea de drepturi de administrare asupra stației de lucru sau rețelei de sisteme, etc.

Aceste programe rău intenționate pot ajunge pe stația ta prin următoarele metode

  • Email: primești un email de la o organizație pe care o cunoști, ce conține informații fie în atașament, fie într-un link din email. Calculatorul se infectează atunci când dai click pe link sau când deschizi atașamentul, deghizat, de regulă, ca o factură sau ca o ofertă de muncă.
  • Descărcări nedorite: au loc atunci când vizitezi un anume site fără să intenționezi să descarci acel fișier de malware fie când dai click pe o fereastră pop-up înșelătoare.

Cum previi frauda prin malware

  • Instalează un program antivirus pe calculatorul tău. Actualizează-l în mod constant.
  • Folosește aplicații și sisteme de operare din surse sigure și actualizate atât pe telefonul mobil, cât și pe calculator.
  • Nu deschide link-uri necertificate sau atașamente din email-uri primite de la persoane pe care nu le cunoști.
  • Descarcă doar aplicații și fișiere din surse sigure.
  • Utilizează autentificarea cu doi factori și toate caracteristicile de securitate pe care le oferă serviciul online pe care îl utilizezi.
  • Utilizează un browser securizat atunci când faci cumpărături online sau când vizitezi site-uri web bancare.
  • Nu accesa internetul prin rețele WI-FI publice atunci când accesezi serviciul de internet banking sau când faci cumpărături pe internet.

Social engineering (Inginerie Socială)

Este un tip de fraudă ce constă în manipularea victimei prin telefon sau email în vederea efectuării de operațiuni financiare sau divulgării de informații confidențiale. Aceste fapte implică înșelarea încrederii, care determină victima să împărtășească informații confidențiale, să ofere acces la un sistem sau să faciliteze altfel un compromis al sistemului. Manipulatorul este o persoană, nu un robot sau un sistem informatic, experții în securitate digitală spunând că noi, oamenii, suntem veriga slabă în lanțul de securitate. Printr-o conversatie foarte plăcută la telefon, cu o persoana necunoscută, te vei trezi că îi oferi informații confidențiale, fără să-ți dai seama, doar pentru ca aceasta s-a folosit de informații pe care le-a manipulat pentru a-ți câștiga încrederea.

Cum previi frauda prin inginerie socială?

  • Nu oferi informații confidențiale (CNP, data nașterii, serie act identitate, număr card, user și parola cont online banking etc.) persoanelor/entităților neautorizate
  • Fii atent când o persoană necunoscută creează un sentiment de urgență: practic, starea de panică indusă este contextul potrivit ca tu să iei decizia irațională dea furniza informații confidențiale.
  • Nu oferi date personale, informații bancare unei persoane / organizații care ar trebui să le aibă deja.
  • Nu oferi nimănui parola unui cont bancar sau de altă natură
  • Fii suspicios când ceva pare „prea bun ca să fie adevărat”. De exemplu, ești anunțat că ai câștigat la loterie sau un concurs (chiar dacă nu te-ai înscris la loterie sau la un concurs) sau ți se propune o ofertă la „super-reducere”.

Riscurile tranzacțiilor online și cum îți poți proteja mai bine datele personale

Multe informații personale sunt găzduite online. Tot mai multe acțiuni și tranzacții financiare se mută în mediul digital. Așa cum există hoți de buzunare, există și hoți de bani în mediul virtual. Păstrarea informațiilor și a tranzacțiilor în siguranță este responsabilitatea platformelor și organizațiilor care colectează aceste date.

Ele fac eforturi pentru a-ți păstra banii în siguranță. Dar și noi, ca proprietari ai acestor date personale și ca utilizatori ai acestor platforme trebuie să fim informați și să ne protejăm datele, mai ales când vine vorba de tranzacții online.

În cele ce urmează, îți vom da câteva sfaturi cu privire la ce poți face tu pentru a-ți proteja banii din conturi. Ele se aplică indiferent de produsul financiar folosit, indiferent de banca cu care lucrezi.

  1. Autentificarea cu doi factori - este un strat suplimentar de securitate ce protejează datele sensibile ale clienților unei bănci, contribuind în același timp la prevenirea fraudelor. Prescurtată 2FA (de la englezescul two-factor authentication), este o metodă de implementare a politicii Autentificare Strictă a Clientului (ASC) - din englezescul STRONG CUSTOMER AUTHENTICATION - SCA, prevăzută de recenta directivă PSD2. Poate ai observat că banca ta a introdus deja un pas suplimentar când faci plăți online, mai ales de pe dispozitive mobile. Multe bănci au dezvoltat aplicații noi pentru a integra cât mai bine acest al doilea pas așa încât să incomodeze cât mai puțin clienții.

Directiva PSD2 a fost transpusă în legislația românească prin Legea 209 din 2019. Dacă dorești să parcurgi textul legii, îl găsești gratuit și actualizat aici.

Activează autentificarea cu doi factori și pentru căsuța ta de email, pentru a pune încă un strat de protecție între informațiile tale confidențiale și potențialii hoți.

  1. Nu folosi aceeași parolă pentru mai multe conturi

    O greșeală des întâlnită când vine vorba de conturile online este să utilizăm aceeași parolă pentru (mai) toate conturile noastre: emai, conturi de social media, conturi de online banking, etc. Este de înțeles într-un fel - așa nu trebuie să ții minte multe parole sigure, complicate, ci doar una. Riscul este prea mare, deoarece o dată spartă parola, sunt vulnerabilizate toate conturile care folosesc această parolă. Mai bine este să dezvolți un algoritm propriu cu ajutorul căruia să poți personaliza parola în funcție de serviciul folosit. De exemplu, ai putea crea o parolă puternică combinând o bază comună ușor de reținut cu o componentă variabilă ce ar putea conține câteva caractere din numele platformei pentru care stabilești parola.

  2. Schimbă regulat parolele

    Multe platforme online utilizate în scopuri de serviciu solicită schimbarea periodică a parolei cu una nouă, neutilizată anterior. Nu degeaba. Fii proactiv și modifică-ți și tu periodic parolele, măcar o dată la 3-6 luni.

  3. Folosește un manager de parole

    Dacă vrei să-ți faci munca mai ușoară, poți alege un manager de parole precum LastPass, Dashlane sau Nordpass. Un astfel de serviciu gestionează criptat toate parolele tale. Tot ce ai tu de făcut este să reții o parolă master pentru a te loga în aplicația manager de parole. Această parolă trebuie să fie una foarte puternică, pentru că ea este „poarta de access” către toate platformele conectate.

  4. Folosește doar situri securizate

    Majoritatea site-urilor web ale companiilor mari au activată funcția: au un lacăt în bara de adrese, în fața numelui de domeniu. Când apare acest lacat, este aproape imposibil ca cineva să intercepteze traficului tău pe acel site și să-ți fure date furnizate către el.

  5. Protejează-ți dispozitivele

    Creează parole puternice și pentru a debloca telefonul, laptopul sau tableta ta. Dacă permit autentificarea cu date biometrice, cu atât mai bine. Nu lăsa dispozitivele tale nesupravegheate atunci când ești cu alte persoane. Dispozitivele tale conțin multe date personale: furtul lor durează câteva secunde, iar tu riști să ți se fure identitate dintr-un moment de neatenție. Setează un timp cât mai scurt pentru a reintroduce parola în cazul în care obișnuiești să lucrezi în locuri publice de pe laptop/tabletă. Protează tastatura atunci când introduci parole și/sau PIN-uri atât pe telefon, cât și pe laptop.

Sperăm că ți-a fost util acest articol. Ai prieteni sau colegi care nu au aflat încă aceste lucruri? Simte-te liber să partajezi acest articol cu ei.