Cashback on privaatsuse peibutis
Elektrooniliste maksevahendite kasutamine: raha tagastamine
(autor: Aidr partner Giuseppe Gorga) Covid-19 pandeemia on kiirendanud mobiilsusteenuste digiteerimist, see on revolutsioon, millel on esmatähtis roll tööstusstrateegiates ning uutes ärimudelites, mis hõlmavad PA-sid ja ettevõtteid. Elektrooniliste makselahenduste pidev kasv on kinnitanud juba enne kriisi transpordisektoris toetatud suundumust, mis suundub "liikuvuse kui teenuse" printsiibile. Arvestades kasutajate üha aktiivsemat rolli arukas liikumises, on mitmed ettevõtted tundis vajadust võtta kasutusele ühtne lihtne infrastruktuur, mis võimaldab kodanikel otsest juurdepääsu kõigile liikumisteenustele.
“Väiksemate” näidete hulgas tuleb välja tuua CDP Equity tütarettevõtte SIA välja töötatud platvorm. Digitaalne tööriist sisaldab täielikku teenusepaketti, et maksta bussi-, metroo- ja parkimispiletite eest otse kaardi või nutitelefoniga, garanteerides parima hinna. Uuenduslik teenus võimaldab teil metroo- ja raudteevõrgu pileti eest tasuda otse turniiril, kasutades kontaktivabu krediit- ja deebetkaarte (Mastercard, VISA ja American Express), mis on virtualiseeritud ka nutitelefonides ja kantavates seadmetes, lihtsalt, kiiresti ja turvaliselt. Teie krediitkaarti on võimalik kasutada nii, nagu oleks see kuupilet: meetod, mis on kasutajatele kättesaadav, kes saavad pärast kontaktipõhise krediitkaardiga veebipõhist ostmist sama kaarti kasutada kogu ühistranspordivõrgus liikumiseks. kodanik.
See nähtus on omandanud märkimisväärse tähtsuse ja seetõttu ei saanud see massilise nähtusena mitte langeda eraelu puutumatuse reguleerimise võrku kui laialt levinud cashbacki nähtusest. Mis puudutab majandus- ja rahandusministeeriumi reguleeritavat skeemi, mida kontrollib eraelu puutumatuse garantiiandja, mis sisaldab tingimusi ja kriteeriume elektrooniliste maksevahendite kasutamise eest tasustamismeetmete määramiseks, nn raha tagastamine, seaduse nr 1 artikli 288 lõigete 290 kuni 27 kohaselt 2019, sätted, mida on muudetud ja integreeritud dekreetseadusega 160. august 14, n. 2020 kunstini. 104, mis lisas kaks lõiku 73-bis ja 289-ter (289. eelarveaasta riigieelarve seadus ja kolmeaastase perioodi mitmeaastane eelarve), on osa strateegiast, mida Itaalia valitsus on pikka aega propageerinud. soovib takistada sularaha kasutamist ettevõtjate ja tarbijate vahelistes tehingutes, näen ette ka sularaha tagasimakse elektrooniliste vahendite abil tehtud maksete puhul, nn. Viimases eelarveseaduses sisalduvate laekumiste loosimine.
Konkreetsel juhul näeb kõnealuse õigusakti uus lõige 289-bis ette, et tasustamise meetme rakendamiseks peab majandus- ja rahandusministeerium kasutama haldusasutuste vastastikuse sidumise ja koostalitlusvõime tehnoloogilist platvormi. ja volitatud makseteenuse pakkujad vastavalt seadusandliku dekreedi nr 5 artikli 2 lõikele 7. 2005, mida haldab ettevõte PagoPA SpA. Seejärel täpsustatakse, et ministeerium peab hüvitise arvutamiseks usaldama ettevõttele PagoPA SpA teenuse kavandamise, realiseerimise ja infosüsteemi haldamise teenused. Lisaks nähakse paragrahviga 82-ter ette, et sama dikastrik usaldab Consapile - Concessionaria Assicurativi public SpA - kõik teenused, mis on seotud hüvitamistoimingutega ning edasiste abi- ja abitegevustega, sealhulgas vaidluste lahendamisega.
Raha tagastamise arveldus
Määrusega, mis koosneb 12 artiklist ja mida siin olulisel ja õigeaegselt uuritakse, kehtestatakse üksikisikute kasuks tagasimakse eraldamise tingimuste, juhtumite, kriteeriumide ja rakendusmeetodite distsipliin. täisealised ja riigi territooriumil elavad isikud, kes väljaspool äri-, kunsti- või kutsetegevust ostavad kaupmeestelt elektrooniliste maksevahenditega (artikkel 2). Nagu ilmne, on seadusandja teemade valikust hoolimata esiteks muret takistanud alaealiste osalemist sellisel "loteriil" ja teiseks, et täiskasvanud saavad osaleda äritegevuses, kunst või elukutse.
Ootuspäraselt koostas "Cashback System" kaudu loodud tagasimakseprogrammi ja seda haldab ettevõte PagoPA Spa osana tehnoloogilisest platvormist - mis on kavandatud ja reguleeritud CAD-i artikli 5 lõikega 2 - mis kogub andmed programmis osalemise eesmärgil "pooldajate" ja "kaupmeeste" kohta ning mis pärast paremusjärjestuse määratlemist edastavad seotud teabe APP IO-le ja nn seotud emitentide poolt kättesaadavaks tehtud süsteemidele ning hüvitise väljamaksmisest Consap-Concessionaria servizi Assicurativi public SpA-le.
Artiklis 3 kirjeldatakse hüvitamisprogrammiga liitumise korda ja rõhutatakse eelkõige programmis osalemise vabatahtlikku olemust, mis hõlmab isikuandmete avaldamist alates väga invasiivsetest, näiteks maksukood pankade omadele. Reegel näeb tegelikult ette, et järgija peab end registreerima APP IO-s või sidusemitendi poolt kättesaadavaks tehtud süsteemides oma maksukoodi ja ühe või mitu elektroonilist tööriista, mida ta kavatseb maksete tegemiseks kasutada , deklareerides registreerimise ajal registreeritud maksevahendite kasutamist ainult ostude jaoks, mis on tehtud väljaspool äritegevust, kunsti või ametit (artikli 3 lõiked 1, 2 ja 3).
Tegelikult täpsustab määruse artikkel 4 eelkõige tehnilisi protseduure süsteemiga liitumiseks nn "Seotud omandajad" ehk subjektid, kes on sõlminud "kaupmehega" lepingu maksevahendite vastuvõtmiseks füüsiliste seadmete kaudu, PagoPA SpA-ga programmis osalemise lepingu omanikud või Bancomat SpA eeldusel, et leping allkirjastatakse PagoPA SpA-ga. Artiklis 5 on sätestatud programmi toimimiseks majandus- ja rahandusministeeriumi ning PagoPA SpA ning eelnimetatud osakonna ja Consap SpA vahelised konkreetsed lepingud. Eelkõige reguleerib artikli 1 lõige 5 ministeeriumi ja PagoPA SpA vahel sõlmitud lepingut Cashback-süsteemi konkreetsete funktsioonide kavandamise, rakendamise ja haldamise kohta, nagu liikmete ja maksetega seotud andmete kogumine ning seetõttu on märkimisväärsel hulgal andmeid, mis ohustavad programmis osalevate subjektide vabadust ja väärikust. Lõige 2 reguleerib seevastu tagasimaksete ja kaebuste haldamise MEF-Consap SpA konventsiooni, kus on täiendavaid isikuandmeid, mida võidakse saada ka kohtusse. Üksikasjaliku sularahasissenõudmise distsipliini leiate artiklist 6, kus on kehtestatud ka meetmed ja võrdlusperioodid, samas kui artiklis 7 on sätestatud ajutine katseperiood, mis kehtib 1. detsembrist 2020 kuni 31. detsembrini 2020 ja mille eesmärk on võimaldada tagasimakseprogrammi rakendamise prognoosimine ainult nende liikmete jaoks, kes on teinud teatud arvu tehinguid. Artikliga 8 seevastu kehtestatakse eritoetus esimesele sajale tuhandele liikmele, kes on teinud kõige rohkem tehinguid elektrooniliste maksevahenditega.
Need on täpsustatud kunstis. 9 hüvitamise väljamaksmise viisid, mis tehakse krediteerimisega IBAN-koodi abil, mille liige on edastanud programmiga liitumise ajal või hiljem, samas kui artikkel 10 reguleerib kaebuste käsitlemise meetodeid. Eelkõige nõuab lõige 1, et PagoPA SpA teeb kättesaadavaks teenuse Help Desk, mis on mõeldud liikmete abistamiseks kõigis kasutajaprofiili haldamise ja APP IO kaudu pakutavate teenuste küsimustes, sealhulgas vaidlustes tehtud tehingute registreerimine. Lõpuks reguleerib artikkel 12 pealkirjaga "Isikuandmete töötlemine" andmekaitse mõningaid olulisi aspekte. Kõigepealt määratletakse selles süsteemis osalevate erinevate subjektide, s.o Majandus- ja Rahandusministeeriumi, PagoPA SpA, Consap SpA ning kokkuleppe alusel emitentide ja omandajate rollid, funktsioonid ja vastutus - ettevõtte omandiõigus, vastutus ja vastutus. ravi; lõiked 1–5. Seejärel nähakse ette, et ministeerium viib enne töötlemist läbi määruse artikli 35 kohase mõjuhinnangu ja esitab selle käendaja eelkontrollile; on ette nähtud, et hindamiseks tuleb märkida ka riskile kohase turvalisuse taseme tagamiseks ettevalmistatud ja kasutatud tehnilised ja organisatsioonilised meetmed, reguleerida programmist ülesütlemise ajad ja protseduurid (punktid 6 ja 7). Töötlemise eesmärkide põhimõtet järgides võib kogutud isikuandmeid töödelda ainult programmi täitmiseks ja eeldatava hüvitise realiseerimiseks, piirates kaupmehe tuvastamisega seotud andmete töötlemist ainult sellega seotud tehingute kontrollimiseks. kaebus (punkt 8). Lõpuks annab artikli lõige 9 ministeeriumile volituse koostada statistikat programmi rakendamise kohta, töötlema ka liikmete isikuandmeid, mis käsitlevad programmis osalemist, tehtud tehingute arvu ja väärtust ning makstud hüvitisi kooskõlas asjakohaste sätetega. deontoloogilised reeglid (Deontoloogilised eeskirjad riiklikus statistikasüsteemis teostatavatele statistilise või teadusliku uurimistöö eesmärgil läbiviidavatele protseduuridele, millele on viidatud koodeksi A lisas ja mis tuleks kavas täielikult mainida).
Siinkohal tuleb märkida, et on üsna selge, et programmi toimimise aluseks olevate andmete töötlemine kujutab endast huvitatud isikute õiguste ja vabaduste jaoks suuri riske, mis tulenevad üksikasjaliku teabe ulatuslikust ja üldisest kogumisest, mis võib viidata elu kõigile aspektidele. kogu elanikkonnast, mis nõuavad töötlemise proportsionaalsuse konkreetset hindamist ja määruse nõuete täitmiseks võetavate meetmete kindlakstegemist. Teksti osas olid privaatsusameti tähelepanekud ja ettepanekud tegelikult täpsed ja asjakohased. Nii et kokkuvõtlikult tuleb arvestada, et selle lubav õiguslik alus peaks olema taotletavate eesmärkide suhtes proportsionaalne ja sisaldama muid seaduslikkuse nõudeid, mis on ette nähtud Euroopa ja siseriiklike andmekaitsealaste õigusaktidega (määruse artikli 6 lõige 3). Sellest vaatenurgast esitab määrus tegelikult ilmseid kriitilisi asjaolusid, kuna pole täpsustatud, et kõnealune IT-süsteem - Cashback-süsteem - ei lange kokku CAD-i artikli 5 lõikes 2 osutatud tehnoloogilise platvormiga, vaid töötab selles riigis. sama. Lisaks ei ole süsteemiga seotud erinevate subjektide rollid ja vastutus andmekaitse seisukohast sõnaselgelt määratletud (artikli 12 lõiked 1–5). Seetõttu peaksid regulatiivsed õigusaktid olema suunatud vajadusele piirata CD loomise eesmärke. sularaha tagastamine vastavalt eesmärgi piiramise põhimõttele tehtud töötlustele ja täiendava eritagatise kehtestamine kaupmeeste identifikaatorite töötlemisel, kellega Cashbacki süsteemile edastatud tehingud tehakse (artikli 12 lõige 8).
Lisaks tuleks võtta kasutusele meetmed tagamaks, et ostjad edastavad süsteemile ainult algatusel osalevate osapoolte näidatud maksevahendite kaudu tehtud tehingute andmeid (artikli 4 lõiked 1 ja 2 ning artikli 5 lõige 1) ja seda ka selleks, et paremini määratleda viisid, kuidas APP IO või emitentide poolt kättesaadavaks tehtud süsteemid teevad liikmetele kättesaadavaks vastavalt minimeerimise põhimõttele makstavate tagasimaksete summad ja positsiooni paremusjärjestuses (artikli 5 lõiked 1, punkt e). Samuti tuleb kindlaks määrata andmete säilitamise meetodid ja kellaajad ning meetmed, mis on vajalikud teabe töötlemiseks kindlate eesmärkide saavutamiseks hädavajaliku aja jooksul ja seejärel kustutamiseks (artikli 4 lõiked 5 ja 12, lõiked 7 ja 9) ), samuti määratletakse suurema tagatise osas mõned andmete töötlemisel võetavad turvameetmed, pöörates erilist tähelepanu kasutuses olevate elektrooniliste maksevahendite (PAN, esmane kontonumber) tunnuste kaitsmisele pöördumatute krüptograafiliste funktsioonide abil. subjektidele, kes algatusest kinni peavad, järgides ka PCI DSS-i (maksekaarditööstuse andmeturbe standard) (artikli 4 lõige 1). Seejärel tuleb määratleda ka tagatised, mida kohaldatakse ministeeriumi poolt riiklikus statistikasüsteemis statistilistel eesmärkidel teostatavale isikuandmete töötlemisele, piirates töödeldavate andmete tüüpe (artikli 12 lõige 9) ja teostades hindamist töötlemise mõju, arvestades sellega kaasnevat suurt ohtu, et teha kindlaks piisava turvalisuse tagamiseks sobivad tehnilised ja organisatsioonilised meetmed (artikli 12 lõiked 6 ja 7).
Lõpuks tuleks mõjuhinnangu kontrollimise raames uurida eelkõige APP IO omadusi, tõuketeadete kavandatud kasutamist, kasutajate otseselt taotlemata teenuste automaatset aktiveerimist ja isikuandmete edastamist kasutajale. Kolmandad riigid tuleb siiski ajakohastada, pidades silmas Euroopa Kohtu hiljutist otsust kohtuasjas Schrems II (16. juuli 2020, kohtuasi C-311/18).
3 Cashbacki turvalisus
Raha tagastusprofiilide osas tuleb meeles pidada, et isikuandmete töötlemise omanik on majandus- ja rahandusministeerium (MEF), mis kasutab riigile kuuluvaid ettevõtteid PagoPA SpA ja Consap SpA, Vastutab isikuandmete töötlemise eest vastavalt artiklile. RGPD artikkel 28) liikmete programmis osalemise ja nende kasuks õigeaegse väljamaksmise tagamiseks vajalike tegevuste läbiviimiseks ning programmis osalemisest tulenevate kaebuste ja / või vaidluste haldamiseks.
Seetõttu tekib avalikus käes andmeturbe probleem, nagu konkreetses küsimuses, IO rakenduse kaudu antakse isikuandmeid ja konkreetseid andmeid lisaks panga arvelduskontode IBAN-idele ostetavate kaupade kvaliteedi ja kategooria kohta.
Seoses nn "kviitungi loterii" deliiriumiga satub Internetis jooksev tohutu andmevoog pidevalt pealtkuulamise võimalusele, kuna alustatud registreerimismenetlus on juba tekitanud nii palju ja selliseid probleeme, et pole keeruline ennustada arvelduskontodel, mille vastutusprofiil on MEF-i, pankade ja võrguoperaatorite vahel.
Seejärel tuleb märkida, et ettevõte PagoPA Spa kuulutab end omakorda vastutavaks töötlejaks, kus MEF kvalifitseerib nad andmetöötlejaks. PagoPA kuulutab end omanikuks, kuid ainult saidi haldamiseks kasutatavate arvutisüsteemide ja tarkvaraprotseduuride ning Interneti-sideprotokollide kasutamisega seotud tavalisel edastamisel omandatud andmete kasutamiseks. Nüüd on arusaadav, et raha tagastamine toimub vabatahtlikkuse alusel, kuna kasutaja peab selle saamiseks aktiveerima ja sisestama, alati vabatahtlikkuse alusel, näiteks kaardid, deebetkaardid või IBAN-iga krediitkaardid, et aktiveerida kõik ülekantud preemia maksed kasutajate tegevuse ja vastutuse eest. Siiski on kibe teatada, et pärast pankrotti saabunud rakendust IMMUNI, mille saatust iseloomustas IO-rakendusega, st CD-operatsiooniga kaasnev oht privaatsusele. „State cashback“ itaallaste jaoks on privaatsus väärt vaid 150 eurot.