Povrat novca je mamac za privatnost
Upotreba elektronskih instrumenata plaćanja: povrat novca
(autor Giuseppe Gorga, član Aidr-a) Pandemija Covid-19 dala je snažno ubrzanje digitalizaciji usluga mobilnosti, revoluciji koja igra prioritetnu ulogu u industrijskim strategijama i novim poslovnim modelima koji uključuju zaštićena područja i kompanije. Konstantan rast rješenja za elektronsko plaćanje potvrdio je trend, koji je već prije krize bio podržan u sektoru transporta, koji se kreće prema principu „mobilnosti kao usluge“ S obzirom na sve aktivniju ulogu korisnika u pametnoj mobilnosti, nekoliko kompanija ima osjetio potrebu za usvajanjem jedne jednostavne infrastrukture koja građanima omogućava direktan pristup svim uslugama mobilnosti.
Među primjerima "manjeg" opsega treba istaknuti platformu koju je razvila SIA, kompanija pod kontrolom CDP Equity. Digitalni alat uključuje kompletan paket usluga za plaćanje karata za autobus, metro i parking direktno karticom ili pametnim telefonom, uz garanciju najbolje cijene. Inovativna usluga vam omogućava da platite kartu za metro i vlak direktno na okretištu pomoću beskontaktnih kreditnih i debitnih kartica (Mastercard, VISA i American Express), također virtualiziranih na pametnim telefonima i nosivim uređajima, na jednostavan, brz i siguran način moguće koristiti vašu kreditnu karticu kao da je mjesečna karta: metoda dostupna korisnicima koji, nakon što su propusnicu kupili putem interneta beskontaktnom kreditnom karticom, mogu koristiti istu karticu za putovanje cijelom mrežom javnog prijevoza građana.
Fenomen je dobio značajnu važnost i stoga, kao masivan fenomen, nije mogao ne pasti u zamku regulacije privatnosti kao široko rasprostranjenog fenomena povrata novca. S tim u vezi, usvojen je nacrt uredbe - koju ispituje Uprava za garante privatnosti - Ministarstva privrede i finansija, a koja sadrži uslove i kriterijume za dodelu nagrađnih mera za korišćenje instrumenata elektronskog plaćanja, tzv. na član 1, stavovi 288 do 290, zakona od 27. decembra 2019. godine, br. 160, odredbe izmijenjene i integrisane zakonskom uredbom od 14. avgusta 2020. godine, br. 104 do čl. 73 koji dodaje dva paragrafa 289-bis i 289-ter (Zakon o državnom budžetu za finansijsku 2020. i višegodišnji budžet za trogodišnji period) dio je strategije, koju je dugo promovirala italijanska vlada, koja želi da obeshrabri korištenje gotovine u transakcijama između privrednih subjekata i potrošača, obezbjeđujem i gotovinski povrat na plaćanje izvršenim elektronskim putem, tzv. "lutriju" primitaka sadržanih u ovom najnovijem zakonu o budžetu.
U konkretnom slučaju, novim paragrafom 289-bis predmetnog regulatornog teksta predviđeno je da će za implementaciju mjere nagrađivanja Ministarstvo privrede i finansija morati koristiti tehnološku platformu za međusobno povezivanje i interoperabilnost između javnih uprava i ovlaštenog platnog servisa. provajderi, predviđeni članom 5, stav 2, zakonske uredbe od 7. marta 2005. godine, br. 82, kojim upravlja kompanija PagoPA SpA. Zatim je precizirano da će Ministarstvo morati da povjeri usluge projektovanja, implementacije i upravljanja informacionim sistemom koji je instrument za obračun nadoknade kompaniji PagoPA SpA. Nadalje, paragrafom 289-ter predviđeno je da isti odjel povjeri Consap-u - Concessionaria Servizi Assicurazioni Pubblico SpA - sve usluge koje se odnose na operacije isplate nadoknade i dalje pomoćne i instrumentalne aktivnosti, uključujući upravljanje sporom.
Uredba o povratu novca
Uredba – koja se sastoji od 12 članova – koja se ovdje razmatra na suštinski i blagovremen način, diktira uslove, slučajeve, kriterijume i načine primjene za pripisivanje novčane naknade licima punoljetnim licima, sa prebivalištem na teritoriji Republike Srpske. države, koji, mimo obavljanja posla, umjetnosti ili profesije, kupuju od trgovaca pomoću elektronskih platnih instrumenata (čl. 2). Kao što je vidljivo iz izbora predmeta, zakonodavac je prvenstveno vodio računa o sprečavanju maloletnih lica da učestvuju u ovoj vrsti „lutrije“, a potom i na sprečavanju punoletnih lica da učestvuju u obavljanju poslovne delatnosti, umetnosti ili profesije.
Kako je predviđeno, program refundacije, koji se realizuje kroz „Cashback sistem“, pripremilo je i njime upravlja kompanija PagoPA Spa u okviru tehnološke platforme – predviđene i regulisane članom 5. stav 2. CAD-a – koja prikuplja podatke, za svrhe učešća u Programu, "članova" i "trgovaca", a koji, nakon što je rangiranje definisano, prenosi relevantne informacije IO APP-u i sistemima koji su dostupni od strane tzv. “ i, u svrhu isplate nadoknade, Consap-Concessionaria Servizi Assicurazioni Pubblico SpA.
U članu 3. detaljno su navedeni načini uključivanja u program refundacije, a posebno se ističe dobrovoljnost učešća u samom programu koji uključuje objavljivanje ličnih podataka u rasponu od vrlo invazivnih, poput poreskog zakona do bankovnih. Pravilo, u stvari, predviđa da se "pridruženi" subjekt mora registrovati u IO APP, ili u sistemima koji su dostupni od strane povezanog izdavaoca, svoj porezni broj i jedan ili više elektronskih alata koje namjerava koristiti za plaćanje , izjavljujući, u trenutku registracije, da koristi registrovane instrumente plaćanja isključivo za kupovinu izvršenu van obavljanja delatnosti, umetnosti ili profesije (čl. 3, st. 1, 2 i 3).
Član 4. Uredbe, naime, precizira posebno tehničke metode za uključivanje u sistem tzv. „ugovorenih sticalaca“ odnosno subjekata koji su sa „trgovcem“ zaključili ugovor o prihvatanju platnih instrumenata putem fizičkih uređaja, nosilaca ugovora sa PagoPA SpA za učešće u Programu, odnosno Bancomat SpA, o Osnova potpisivanja ugovora sa samim PagoPA SpA članom 5. predviđa posebne sporazume između Ministarstva privrede i finansija i PagoPA SpA i između navedenog ministarstva i Consap SpA za rad Programa. Konkretno, stav 1. člana 5. reguliše sporazum između Ministarstva i PagoPA SpA, za dizajniranje, implementaciju i upravljanje specifičnim funkcijama u okviru Cashback sistema, kao što je prikupljanje podataka koji se odnose na članove i uplate i samim tim značajan količina podataka pod visokim rizikom za samu slobodu i dostojanstvo subjekata koji učestvuju u programu. Stav 2, međutim, reguliše sporazum MEF-Consap SpA, za upravljanje povraćajima i reklamacijama, gde će postojati dodatni lični podaci koji takođe mogu završiti u sudskom postupku. Detaljni propisi o povratu novca nalaze se u članu 6. gdje su također utvrđene mjere i referentni periodi, dok je članom 7. predviđena privremena eksperimentalna faza, koja važi od 1. decembra 2020. do 31. decembra 2020. godine, a koja ima za cilj da omogući predviđanje implementacije program refundacije, isključivo za članove koji su izvršili određeni broj transakcija. Član 8, međutim, utvrđuje posebnu naknadu za prvih sto hiljada članova koji su ostvarili najveći broj transakcija sa elektronskim platnim instrumentima.
Oni su navedeni u čl. U 9. su opisani načini isplate povraćaja, koji se odvija uplatom putem IBAN koda koji je saopštio član prilikom pristupanja Programu, ili kasnije, dok je član 10. regulisao načine upravljanja reklamacijama. Konkretno, stav 1. predviđa da PagoPA SpA pruža uslugu Help Desk-a posvećenu pružanju pomoći članovima sa svim aspektima koji se odnose na upravljanje korisničkim profilom i uslugama koje se pružaju putem IO APP-a, uključujući sve sporove u vezi s tim u vezi s evidentiranjem izvršenih transakcija van. Konačno, član 12 – pod nazivom „Obrada ličnih podataka“ – reguliše neke važne aspekte zaštite podataka. Pre svega, identifikuje uloge, funkcije i odgovornosti različitih subjekata uključenih u sistem, odnosno Ministarstva privrede i finansija, PagoPA SpA, Consap SpA i povezanih izdavaoca i sticalaca – vlasništvo, odgovornost i pododgovornost tretman; st. 1-5-. Zatim se očekuje da će Ministarstvo prije obrade izvršiti procjenu uticaja u skladu sa članom 35. Uredbe i podvrgnuti je prethodnoj verifikaciji od strane Garanta; očekuje se da se za evaluaciju naznače i pripremljene i sprovedene tehničke i organizacione mjere koje garantuju nivo sigurnosti adekvatan riziku, pri čemu se regulišu vremena i načini odustajanja od Programa (stav 6. i 7.). U skladu s načelom svrha obrade, prikupljeni lični podaci mogu se obrađivati isključivo za implementaciju Programa i za realizaciju očekivane naknade, ograničavajući obradu podataka koji se odnose na identifikaciju trgovca isključivo u svrhu provere transakcija koje su uključene u reklamaciju (stav 8). Konačno, stav 9. ovog člana ovlašćuje Ministarstvo da vrši statistiku realizacije Programa, kao i obradu ličnih podataka članova, koji se odnose na učešće u Programu, broj i vrijednost izvršenih transakcija, kao i nadoknade. plaćeno, u skladu sa relevantnim etičkim pravilima (Etička pravila za obradu u statističke ili naučnoistraživačke svrhe koja se sprovode u okviru Nacionalnog statističkog sistema, navedena u Aneksu A Kodeksa, koja treba u celosti navesti u šemi).
Ovdje treba napomenuti da je jasno da obrada podataka koji su u osnovi funkcionisanja Programa predstavlja visoke rizike za prava i slobode zainteresiranih strana koji proizilaze iz masovnog i generaliziranog prikupljanja detaljnih informacija, potencijalno relevantnih za svaki aspekt života. svakodnevnom životu cjelokupne populacije, koji zahtijevaju posebne procjene u pogledu proporcionalnosti obrade i utvrđivanja mjera koje treba usvojiti kako bi se ispunili zahtjevi Uredbe. Zapravo, nalazi i prijedlozi Uprave za zaštitu privatnosti u vezi sa tekstom bili su precizni i relevantni. Dakle, ukratko, treba smatrati da pravni osnov koji to ovlašćuje treba da bude proporcionalan svrhama kojem se teži i da sadrži ostale zahtjeve zakonitosti predviđene evropskim i nacionalnim zakonodavstvom o zaštiti podataka (čl. 6, stav 3, Uredba). U tom smislu, propis predstavlja, zapravo, očigledna kritična pitanja jer nije precizirano da se predmetni IT sistem – Cashback System – ne poklapa sa tehnološkom platformom iz člana 5. stav 2. CAD-a, ali posluje u okviru istog. Štaviše, uloge i odgovornosti različitih subjekata uključenih u sistem u pogledu zaštite podataka nisu izričito identifikovane (čl. 12, st. 1-5). Regulatorno zakonodavstvo, dakle, treba da bude usmjereno na potrebu ograničavanja svrhe stvaranja tzv. cashback tretmani koji se sprovode u skladu sa principom ograničenja svrhe, i uvesti dalju posebnu garanciju u vezi sa obradom identifikatora trgovaca na kojima će se obavljati transakcije koje se prenose u Cashback sistem (čl. 12, st. 8).
Nadalje, potrebno je uvesti mjere da kupci u sistem prenose samo podatke koji se odnose na transakcije izvršene putem instrumenata plaćanja koje su naznačili subjekti koji učestvuju u inicijativi (čl. 4. st. 1. i 2. i 5. st. 1.) i to je i da se bolje definišu metode kojima IO APP, odnosno sistemi koje emitenti stavljaju na raspolaganje, stavljaju na raspolaganje članovima, u skladu sa principom minimizacije, iznose dospjelih naknada i poziciju na rang listi (čl. 5.). , stav 1, slovo e). Također će biti potrebno utvrditi metode i vrijeme zadržavanja podataka i mjere potrebne kako bi se osiguralo da se informacije obrađuju u vremenu koje je striktno potrebno za postizanje specifičnih ciljeva i da se naknadno brišu (članovi 4. stav 5. i 12. stav 7. i 9 ), kao i definisanje, u cilju većih garancija, nekih sigurnosnih mjera koje treba usvojiti u obradi podataka, s posebnim osvrtom na zaštitu, putem nepovratnih kriptografskih funkcija, identifikatora instrumenata elektroničkog plaćanja (PAN, primarni broj računa) u upotrebi za subjekte koji se pridružuju inicijativi, takođe u skladu sa standardom PCI DSS (Payment Card Industry Data Security Standard) (čl. 4, stav 1). Tada će takođe biti potrebno precizirati garancije koje se primenjuju na obradu podataka o ličnosti koju Ministarstvo za statističke svrhe sprovodi u okviru Nacionalnog statističkog sistema, ograničavajući vrste podataka koji se mogu obrađivati (čl. 12, stav 9) i izvrši procenu uticaja obrade, s obzirom na visok rizik na koji se tu susreće, kako bi se identifikovale tehničke i organizacione mere prikladne za garantovanje adekvatnog nivoa bezbednosti (čl. 12, st. 6 i 7).
Konačno, kao dio provjere procjene utjecaja, posebno treba ispitati karakteristike IO APP-a, očekivano korištenje push obavijesti, automatsko aktiviranje usluga koje korisnik nije izričito zahtijevao, kao i prijenos ličnih podataka na Treće zemlje, koje treba ažurirati u svjetlu nedavne presude Suda pravde u vezi sa predmetom Schrems II (16. jula 2020., predmet C-311/18).
3 Sigurnost povrata novca
Što se tiče sigurnosnih profila povrata novca, treba imati na umu da je vlasnik obrade ličnih podataka Ministarstvo ekonomije i finansija (MEF), koje koristi PagoPA SpA i Consap SpA, kompanije u vlasništvu države, kao Odgovoran za obradu ličnih podataka u skladu sa čl. 28. GDPR-a) da provedu aktivnosti potrebne za garantovanje učešća Članova u Programu i pravovremenu isplatu povrata u njihovu korist, kao i da omogući upravljanje svim pritužbama i/ili sporovima koji proizilaze iz učešća u Programu. .
Stoga se javlja problem sigurnosti podataka, u javnim rukama, jer se u konkretnoj stvari putem IO aplikacije daju lični i pojedinačni podaci o kvalitetu i kategoriji kupljene robe pored IBAN-ova tekućih računa u banci.
U odnosu na pomamu tzv. „lutrije o prijemu“, ogroman tok podataka koji teče internetom će biti stalno izložen mogućnosti presretanja, s obzirom da je sama procedura registracije već predstavljala toliko problema da je nije teško predvidjeti ranjivost na tekućim računima sa posljedičnim profilima obaveza između MEF-a, banaka i menadžera mreže.
Također treba napomenuti da se kompanija PagoPA Spa zauzvrat proglašava za kontrolora podataka, dok ih MEF umjesto toga kvalifikuje kao kontrolore podataka. PagoPA se proglašava vlasnikom, ali samo za korištenje IT sustava i softverskih procedura koje se koriste za rad stranice i podataka prikupljenih tijekom njihovog normalnog prijenosa koji uključuje korištenje Internet komunikacijskih protokola. Sada je utvrđeno da je povrat novca na dobrovoljnoj osnovi jer korisnik stoga mora aktivirati da bi ga imao i ubacio, opet na dobrovoljnoj osnovi, kao što su kartice, debitne kartice ili kreditne kartice sa aktivnim IBAN-om na koje će izvršiti uplate svih doznačenih "nagrada" na akciju i odgovornost korisnika. Međutim, gorko je istaći da je nakon propale aplikacije IMMUNI čiju sudbinu obilježila opasnost po privatnost s IO aplikacijom, odnosno sa CD operacijom. “državni povrat novca” za privatnost Italijana vrijedi samo 150 eura.