Troszkę w kontekście wycieku numerów kart płatniczych z Sony czekałem na rozwój wypadków z wdrażaniem systemu Wrocławskiego Roweru Miejskiego (Nextbike.pl). Mniejsza nawet o opóźniony start, bo przecież wiadomo, że w Polsce mało co udaje się ukończyć w założonym terminie. Pal licho nawet to, że się martwię, że rowery poginą albo zostaną raz-dwa zdewastowane -- a wyglądają one tak dziwacznie, że serwis na pewno nie będzie ani łatwy ani tani.
Moje poważne wątpliwości budzi jeden z zaproponowanych sposobów identyfikacji klienta. Nextbike zakłada, że klienci będą mogli wypożyczać rowery po zarejestrowaniu się w systemie, do czego będzie niezbędne podanie: numeru Wrocławskiej Karty Miejskiej (tak, tak), lub numeru elektronicznej legitymacji studenckiej (ELS), lub numeru telefonu komórkowego, lub numeru karty płatniczej (ust. 23 regulaminu; przy okazji dowiedziałem się, że AmEx też już ma swoje bezstykówki: ExpressPay).
z regulaminu Nextbike:
23. Podczas procesu rejestracji wymagane jest podanie danych osobowych, daty urodzenia, adresowych oraz kontaktowych tj. adres e-mail i numer telefonu komórkowego, numeru konta bankowego lub karty kredytowej, karty WKM lub elektronicznej legitymacji studenckiej (ELS).
78. Identyfikator klienta – to osobisty numer zapisany w wersji liczbowej, w postaci numeru karty Wrocławskiej Karty Miejskiej, numeru ELS, numeru karty płatniczej lub numeru telefonu komórkowego, które to numery klient zdefiniował podczas rejestracji w systemie Nextbike. Numery są traktowane równoważnie: (...)
d. Karta Płatnicza – karta emitowana przez organizacje płatnicze emitentów Visa International oraz Mastercard International oraz inna spełniająca wymagania dla uznania jej za elektroniczny instrument płatniczy w rozumieniu ustawy o elektronicznych instrumentach płatniczych. Terminale są przystosowane do współpracy z produktami z rodziny PayPass i ExpressPay.Zresztą sam w sobie regulaminowy opis usługi wskazuje, że dane użytkownika będą łączone z kartą kredytową ("Warunkiem korzystania z usług wypożyczania rowerów jest podanie przez Wypożyczającego przy rejestracji wymaganych danych osobowych oraz akceptacja warunków określonych w niniejszym regulaminie, dokonanie opłaty inicjalnej, wpłata kaucji, połączonych z identyfikacją numeru WKM lub/i danych połączonych z kartą kredytową" -- BTW co można powiedzieć o usługodawcy, który raz pisze o "karcie płatniczej", a innym razem -- całkowicie wymiennie -- o "karcie kredytowej"? Nb. regulamin pełen jest innego rodzaju niejasności, o czym więcej poniżej.)
Ja to rozumiem tak, że nie da się pojeździć Wrocławskim Rowerem Miejskim bez uprzedniego utworzenia konta użytkownika w systemie Nextbike, a tego się nie da zrobić bez pozostawienia swoich danych, przy czym jedną z tych danych może być numer karty płatniczej.
Już w tym miejscu każdy posiadacz każdej karty płatniczej powinien zobaczyć wielkie czerwony napis STOP! Pozwalanie na rejestrowanie numerów kart płatniczych usługodawcom tego rodzaju -- bez obrazy dla spółki Nextbike Polska sp. z o.o., ale podmiot, który powstał 27 sierpnia 2010 r. i ma kapitał zakładowy 5000 złotych (bo mniej być nie mogło...) z mojego punktu widzenia co do zasady nie jest na tyle wiarygodny, by gromadzić numery kart płatniczych.
Druga sprawa to kwestie przetwarzania danych osobowych użytkowników systemu: w formularzu rejestracyjnym brakuje tego wszystkiego, co powinno się tam znaleźć: nie wiemy komu powierzamy nasze dane i w jakim celu. A wbrew pozorom wcale nie jest to takie jasne -- ani bez znaczenia.
(Na marginesie, ale wcale nie jest to nieistotne: regulamin słowem nie wspomina czy w przypadku problemów z klientem jego karta zostanie obciążona np. opłatą za przetrzymanie wielocypedu lub dwutysięczną "wartością roweru" w przypadku kradzieży, zniszczenia (to też ciekawe: na oko ten ich rower nie mógł kosztować więcej niż powiedzmy 700 złotych...). W regulaminie jest tylko ładnie napisane o tym, że obciążenie karty jest jednym ze sposobów płatności za "usługi i produkty", w tym za wypożyczenie roweru (ust. 27-28 regulaminu), jednak już w przypadku zniszczenia roweru mowa jest po prostu o wystawieniu faktury lub rachunku (ust. 18 regulaminu -- w przypadku celowego zniszczenia sprzętu należy się jednak liczyć z obligatoryjnym wszczęciem postępowania sądowego -- ust. 20).
I jeszcze jedna uwaga: zgodnie z ust. 19 regulaminu wypożyczający ma także ponosić odpowiedzialność za "ewentualną kradzież i zniszczenia" roweru, a ja zachodzę w głowę czy to oznacza, że będzie się płaciło także za to, jeśli ktoś nam po prostu podprowadzi rowerek -- choćby i wskutek rozboju... Doprawdy, regulaminowi brak przejrzystości za grosz.)
I ostatni, wcale nie najmniej istotny temat: prawdę mówiąc nie wiadomo kto tak naprawdę będzie trzymał dane osobowe oraz dane kart płatniczych użytkowników. Podczas próby przejścia procedury rejestracji na stronie Nextbike.pl zostałem przekierowany na stronę https://Nextbike.net należącą do... Nextbike GmBH z siedzibą w Lipsku (Nextbike Polska wydaje się być tylko franczyzobiorcą tego niemieckiego przedsiębiorstwa).
Wydaje mi się, że oznacza to, że nasze dane mogą lądować właśnie w Nextbike GmBH, o czym usługodawca nawet półzdaniem nas nie informuje.
Copyright © Money.pl
Czy ja dobrze widzę, że ta firma, nie dość, że przechowuje numery kart to jeszcze nie
obsługuje 3dsecura? skomentuj
proszę - dodaj przycisk LIKE. Uwielbiam czytać twoje zmagania z rzeczywistością
prawną i chciałbym łatwo wrzucać to na fejsa :) skomentuj
(BZWBK i Citi).
Co do "like" -- przekazałem potrzebę koledze :) skomentuj
rejestrowe. Niestety, proces rejestracji tylko zniechęca klientów, a w ogóle nie jest
dostępny dla turystów.
W tym przypadku wypożyczanie na kartę, jest fajnym rozwiązaniem. Ale nie na zasadzie
rejestracji karty. Tylko podchodzę do stojaka, przeciągam kartę przez czytnik, system
mi zakłada jakąś blokadę na konto np za abonament, kaucje itp) Po czym jak oddam
rower, blokada zchodzi, a odemnie jest pobierana tylko należność za czas
wyporzyczenia+obonament. skomentuj
To się pozmieniało. Ja rejestrując się musiałem zaświadczyć znajomość zupełnie innego
regulaminu, który był tam podpięty (jeśli dobrze google pamięta link, to tenże:
http://www.balticbike.lv/uploads/media/BT_sd_BalticBikeNoteikumi_0610_LV_ENG_RUS.pdf)
. Był znacznie ciekawszy, bo np. zabraniał mi uprowadzenia roweru z terytorium Litwy.
I zastanawiałem się, czy skoro już ktoś z NextBike je przywiózł, to mogę brać taki
rower i jeździć gdzie mi się podoba ;) skomentuj
Czy ja dobrze widze ze turysci raczej roweru nie pozycza? A turysci niepolskojezyczni
nawet nie zarejestruja sie na stronie bo jest tylko po polsku? Bo troche mi sie to
kloci z wizja przedstawiona w dziale "Idea".
Swoja droga, reklamuja sie ze maja prosty w uzyciu rower. A sa rowery nieproste w
uzyciu? skomentuj
można wykonać tylko "w Centrum Obsługi Klienta we wtorki w godzinach 16-18 oraz przy
pomocy karty kredytowej w Terminalu WRM".
Jednego jestem (prawie) pewien: nie powinno być problemów z zagranicznymi kartami
płatniczymi ;-) skomentuj
(rejestracja sama w sobie jest już na etapie przejścia do planszy z danymi karty
płatniczej...), a w odpowiedzi dostaje się coś takiego: "Możesz się zalogować
automatycznie na http://www.nextbike.pl/! Ogólne Warunki Omów znajdziecie na
http://www.nextbike.pl/fileadmin/user_upload/Presse/PL/REGULAMIN_WRM.pdf."
Ogólne Warunki Omów. skomentuj
"Mój aktualny status: Konto jeszcze nie zostało uaktywnione
Aby zakończyć rejestrację dane z Twojej karty zostaną pobrane i sprawdzone przez
naszego partnera WorldPay."
ooooooooooooooo jest skucha.... będzie kolejny tekst. skomentuj
anulacja - jest w ogóle takie słowo? skomentuj
> Ogólne Warunki Omów
fajne, fajne ...
ciekawe kto to są Omowie i jakie stawiają warunki :D skomentuj
racja: nie istnieje takie słowo jak "Anulacja" - to jest jakaś kosmiczna kalka
językowa, nawet nie wiem z czego, ale się niestety poważnie rozpleniło w internetach.
Kiedyś usuwaliśmy je pracowicie w pracy z naszego systemu, już po dwóch / trzech
dniach zostało pokonane. Po miesiącu wróciło z niebytu - nie wiadomo skąd :D. skomentuj
Co na to GIODO? skomentuj
Kilka ciekawostek:
- administrator danych powierzył w drodze umowy zawartej na piśmie przetwarzanie
danych innemu podmiotowi (art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych),
nextbike GmbH, Thomasiusstr. 16-18, 04109 Leipzig, Niemcy
- Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze - podaj
jakie: adres e-mail, numer konta bankowego, *numer karty kredytowej*.
- Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego -
podaj nazwę państwa: (brak podanego)
Czyli niby nie przekazują danych do innych państw. Jednak po zalogowaniu na
https://futurepay.wp3.rbsworldpay.com/fp/shopper/futurepay/index.html jest m.in.
adres, telefon, e-mail których nie podawało się przy płatności kartą.
Na stronie napisali: "Aby dokończyć rejestrację, należy najpierw przelać kwotę w
wysokości co najmniej PLN 1.00 z Twojego osobistego konta. Kiedy tylko Twoje konto
zostanie wyczerpane, automatycznie zostanie odpisana z Twego konta kwota minimalna.
Przelewając opłatę za przejazd w systemie pre-paid upoważniają nas Państwo do
pobierania kwoty minimalnej."
Ciekawe czy istnieje możliwość pobrania kasy z kogoś konta. Na polecenie zapłaty to
nie wygląda, bo przy poleceniu zapłaty, wymagana jest pisemna zgoda na obciążanie
konta, która ostatecznie zostaje przesłana do banku w którym ma się konto. skomentuj