Za radovedne: Pravna ureditev

Piše: Tadej Vodopivec, Vodja informacijske varnosti, ComTrade .... sicer pa tudi univ. dipl. ing. rač., CISSP, CISA, CBCP.

Vsebina je nadaljevanje rubrike Varno e-bančništvo iz aktualne revije Računalniške novice 11/XVIII, ki je že na voljo tukaj in v trafikah po Sloveniji.

Tehnično plat varnosti sem obdelal v preteklih številkah. Danes bom na kratko predstavil nekatere zakone, ki so (s stališča uporabnika) pomembni za varno e-bančništvo.

Zakon o plačilnih storitvah in sistemih (ZPlaSS) med drugim pravno ureja uporabo plačilnih instrumentov v Sloveniji. Med te spadajo e-bančna (in kartična) plačila. Pomembna določba za varnost je v 120. členu: izgubo, ki bi bila posledica zlorabe plačilnega instrumenta »če uporabnik ni zavaroval osebnih varnostnih elementov«, uporabnik krije le do 150 €, ostalo pa banka. Izjema je primer uporabnikove prevare, naklepa ali hude malomarnosti pri opustitvi zavarovanja elementov. Ta člen vedno velja za potrošnike, za ostale uporabnike (podjetja, samostojni podjetniki, organizacije) pa je določeno, da se lahko banka in uporabnik dogovorita (beri: banka to zapiše v splošne pogoje uporabe), »da se ta člen deloma ali v celoti ne uporablja«. Za zlorabe, ki bi nastale po tem, ko je uporabnik že prijavil izgubo ali predhodno zlorabo istega instrumenta, pa banka krije celotno škodo.

V vsakem primeru ZPlaSS pri konkretni banki in storitvi dopolnjujejo splošni pogoji uporabe storitve ali podobno imenovana pravila, ki jih izda banka. V njih je lahko podrobneje določeno, kaj velja za hudo malomarnost, ki bi bila razlog za kritje škode s strani »zlorabljenega« potrošnika nad 150€, ali (za podjetja) izključitev 120 člena ZPlaSS. Za potrošnike bi bila izključitev 120. člena v splošnih pogojih nična, saj je v nasprotju z zakonom.

Zaupnost bančnih podatkov določa Zakon o bančništvu (ZBan-1) v 214. členu (vsi podatki, dejstva in okoliščine o stranki so zaupni). Nadzor na ZPlaSS in ZBan-1 izvaja Banka Slovenije.

Bančni podatki o fizičnih osebah pa so tudi osebni podatki in predmet varovanja po Zakonu o varstvu osebnih podatkov (ZVOP-1). Nadzor po tem zakonu izvaja Informacijski pooblaščenec.

Če bi npr. zaradi napake banke v elektronski banki bili tretjim osebam razkriti zaupni ali osebni (v primeru fizične osebe) podatki, bi nadzorni organ lahko oglobil banko. Če uporabnik ob tem utrpi dokazljivo škodo, lahko s tožbo uveljavlja odškodnino na podlagi Obligacijskega zakonika (OZ-UPB1).

Slovenska zakonodaja je dostopna na Registru predpisov Slovenije http://zakonodaja.gov.si/ . Tja nas navadno pošlje Googlov iskalnik, če iščemo zakon po imenu ali uradni kratici. Klik na ustrezno številko uradnega lista nas pripelje na predpis.

Zakon o plačilnih storitvah in sistemih ZPlaSS – http://goo.gl/VSFq6
Zakon o bančništvu ZBan-1 – http://goo.gl/Mbg8d
- Neuradno prečiščeno besedilo (Banka Slovenije) in drugi predpisi – http://goo.gl/6aTXm
- Zakon o varstvu osebnih podatkov ZVOP-1 – http://goo.gl/JFUvb
- Obligacijski zakonik (Uradno prečiščeno besedilo 1) OZ-UPB1 – http://goo.gl/piRCz

Primer splošnih pogojev s področja kartičnega poslovanja (ponudniku je Banka Slovenije pred nedavnim iz drugih razlogov odvzela dovoljenje za poslovanje), ki opredeljujejo kriterije za hudo malomarnost uporabnika: http://goo.gl/eqGBG