Opada powoli kurz po najbardziej spektakularnej klapie w bankowości w ubiegłym roku. Przejęcie Banku Handlowego przez Citibank, w szczególności przejęcie pionu detalicznego, czyli Handlobanku, znajdzie poczesne miejsce w podręcznikach zarządzania.

Rozdział, w którym zostanie zamieszczony opis tej fuzji, zapewne będzie nosił tytuł, taki jak artykuł Doroty Konowrockiej z numeru 22/01, czyli Tyłem do klienta albo 1+1=0.

Jeżeli taki rozdział powstanie, chciałbym dopisać do niego kilka akapitów. Cała operacja odbyła się bowiem nie tylko z rażącą beztroską, ale także z naruszeniem prawa. Ale po kolei. Pod koniec kwietnia, jako klient Handlobanku zostałem poinformowany przez Citibank, że zamiast korzystać z dość udanego serwisu Handlonet, mam teraz korzystać z systemu CitiDirect. Gdy bezskutecznie próbowałem się do niego zalogować, a moje oczekiwanie przeradzało się w rosnącą irytację, wydałem komendę traceroute. Końcówka .sg w adresach hostów upewniła mnie, że internetowa bramka CitiDirect, a najpewniej i cały system, znajduje się w Singapurze. Nie przypominałem sobie, abym kiedykolwiek upoważnił Bank Handlowy bądź Citibank do przekazania moich danych za granicę. Rzut oka na ustawę o ochronie danych osobowych (art. 47 i art. 48) upewnił mnie, że przekazywanie danych do innych krajów jest możliwe m.in. wtedy gdy kraj docelowy gwarantuje taką ochronę. Niestety, na liście takich krajów nie znajduje się Singapur. Złożyłem więc do Głównego Inspektora Ochrony Danych Osobowych zapytanie, czy Citibank przestrzega prawa. Dodajmy, że zrobiłem to zwykłą pocztą elektroniczną, na adres znajdujący się na stroniehttp://www.giodo.gov.pl.

Około miesiąca później otrzymałem informację o wszczęciu postępowania, a 12 listopada obszerny, bo aż czterostronicowy list wyjaśniający z biura GIODO. Jakkolwiek dyrektor departamentu prawnego biura, pan Jarosław Trelka, jest przekonany, że poziom ochrony i bezpieczeństwa danych w Citibanku pozostaje na najwyższym światowym poziomie, to jednocześnie przyznaje, że przekazanie danych osobowych swoich klientów do Singapuru odbyło się z naruszeniem art. 47 ustawy o ochronie danych osobowych. Nawiasem mówiąc, nie wiem skąd przekonanie pana dyrektora Trelki o bezpieczeństwie systemu, bo jeżeli są one zabezpieczone równie dobrze, jak CitiDirect, to strach pomyśleć, gdzie mogły wyciec dane osobowe polskich klientów banku. Aktualnie art. 47 ustawy nie jest już naruszany, bo przy zmianie regulaminu klienci hurtem zgodzili się na przekazywanie swoich danych za granicę.

Pod adresemhttp://www.ict.pwr.wroc.pl/~vasquez/giodo znajdą Państwo zarówno treść mojego listu, jak i zeskanowane strony z listu z biura GIODO. Zapraszam do zajrzenia. Ostrzegam jedynie, że każdy plik JPEG ma kilkaset kilobajtów. Gdyby ktoś zechciał wytoczyć proces cywilny Citibankowi bądź złożyć doniesienie o przestępstwie do prokuratury (art. 51 ustawy, kara do 2 lat więzienia), służę uprzejmie oryginałami korespondencji.

Dla mnie zaś cała ta sprawa pozostanie bardzo ważna wcale nie ze względu na Citibank, bo z nim rozstałem się krótko po fuzji. Okazuje się jednak, że nie trzeba żadnych ustaw ani specjalnych portali, aby obywatel mógł zgłosić swoją sprawę do urzędu, urząd się nią na serio zajął i dobrze załatwił. Wystarczy komputer, łącze do Internetu i odrobina dobrej woli. Moje szczere gratulacje dla biura Głównego Inspektora Ochrony Danych Osobowych i żółta kartka dla tych urzędów, które bezpodstawnie odmawiają przyjmowania poczty elektronicznej.