Ochrona danych osobowych

Ciekawy tekst dotyczący ochrony danych osobowych oraz sposobu ich pozyskiwania również do celów badań rynku.

Skąd firmy mają nasze dane? Sami się godzimy i wpadamy do baz

Źródło: Jakub Wątor, Maciej Bednarek 10.09.2014

Zaciągasz w banku kredyt, wysyłasz CV, podpisujesz umowę na kablówkę czy internet – wtedy udostępniasz firmom swoje dane: imię, nazwisko, adres, e-mail, numer telefonu. Kto i na jakich zasadach może mieć władzę nad taką bazą danych?
– Pana numer wylosowano do otrzymania vouchera na wycieczkę dla czterech osób – słyszę w słuchawce. – Jak to został wylosowany? Skąd ma pani mój numer? – pytam. W tym momencie rozmówczyni się rozłączyła.Pewnie większość z was odebrała kiedyś podobny telefon albo ofertami zasypywano wasze skrzynki pocztowe – zarówno elektroniczne, jak i te tradycyjne. Pewnie nieraz zastanawialiście się, skąd wasz numer telefonu ma firma oferująca wycieczkę, zapraszająca na pokazy garnków, a wasz adres zna diler samochodów, który wysłał właśnie najnowszy katalog? Dziś w „Wyborczej” rozpoczynamy cykl o tym, kto może gromadzić i przetwarzać nasze dane osobowe. I jak bronić się przed nadużyciami, bo adres, telefon czy nazwisko to dla wielu firm informacje na wagę złota i za wszelką cenę będą starały się je zdobyć i wykorzystać. A jest z czego czerpać – rocznie w Polsce rejestruje się po kilkanaście tysięcy baz danych. A nielegalnych baz danych istnieje zapewne o wiele, wiele więcej.Dane osobowe to wszystko, co pozwala – bezpośrednio lub bez nadmiernych kosztów i czasu – zidentyfikować konkretną osobę: imię, nazwisko, adres, numery identyfikacyjne (np. PESEL, nr dowodu osobistego), czy zdjęcie z utrwalonym na nim wizerunkiem. Są nimi również numer telefonu, IP i adres mailowy, ale ten ostatni nie zawsze, bo tylko w tych przypadkach, gdy można go powiązać z konkretną osobą. Czyli wtedy, gdy login lub domena zawiera na przykład imię i nazwisko użytkownika. Adres jakub12345@mail.pl nie będzie danych osobowych, ale adres jakub.wator@wyborcza.biz już tak.

Ochrona danych osobowych

Podobnie jest z numerem telefonu. – Gdy w celu kontaktu z klientem losowo wybierane są kolejne numery telefonów, a przedstawiciel firmy nawet nie wie, z kim się łączy, to uznać można, że wówczas nie dochodzi do przetwarzania danych osobowych – wyjaśnia Małgorzata Kałużyńska-Jasak z biura Głównego Inspektora Ochrony Danych Osobowych (GIODO).

Firmy mogą też mieć nasz numer z książki telefonicznej (również komórkowy – część sieci udostępnia takie spisy). Skoro się w książce znalazł, znaczy, że wyraziliśmy na to zgodę.

Na administratora danych osobowych ustawa nakłada „obowiązek informacyjny”. Gdy tylko nasze dane zaczynają krążyć:

  • dotychczasowy administrator (np. firma telekomunikacyjna) musi informować nas, jakie dane, komu i w jakim celu przekazuje;
  • nowy administrator (np. firma telemarketingowa) musi poinformować nas o źródle, z którego otrzymał dane, ich zakresie oraz celu, w jakim będą wykorzystywane.

Niestety, często te przepisy nie są przestrzegane, mimo że grozi za to grzywna lub rok więzienia.

O tym, że ktoś ma nasze dane, dowiadujemy się zwykle dopiero, gdy zadzwoni do nas handlowiec.

Ustawa o ochronie danych osobowych zobowiązuje handlowca, aby odpowiedział nam, jeśli go zapytamy:

  • które z naszych danych posiada;
  • od kiedy je posiada;
  • skąd je dostał – musi podać dane firmy lub osoby fizycznej, od której je otrzymał;
  • jaki jest cel, zakres i sposób przetwarzania naszych danych z tej bazy;
  • komu dalej je udostępnia.

Jeśli wtedy się rozłączy, możemy być prawie pewni, że uzyskał nasze dane nielegalnie.

Kiedy zgoda na piśmie?
Nie zawsze musimy udzielać pisemnej zgody na przetwarzanie naszych danych. W niektórych sytuacjach dajemy ją niejako z automatu. Załóżmy, że zakładamy w banku konto osobiste. To oczywiste, że bank musi przetwarzać nasze dane, by obsługiwać rachunek, wysyłać miesięczne zestawienie transakcji czy informować nas o zmianach w regulaminie. Nasza domyślna zgoda jest niezbędna, bo bez niej nie dałoby się zrealizować tej usługi, ale dotyczy tylko tej konkretnej usługi.- Po zamknięciu rachunku bank powinien usunąć dane osobowe, ponieważ w tym momencie ustaje cel, dla którego dane osobowe były przetwarzane – mówi Przemysław Zegarek, właściciel kancelarii prawnej Lex Artist.Podkreśla jednak, że w praktyce bardzo często dzieje się inaczej. – Związane jest to z tym, że kopie baz danych są archiwizowane oraz przechowywane przez bardzo długi okres w różnych formach – wyjaśnia prawnik.Bank (albo inna firma) mając naszą domyślną zgodę na przetwarzanie danych, nie może nam proponować wprost innych produktów, np. karty kredytowej. Potrzebuje dodatkowej zgody. Jakiej? Wyciągnijcie z szuflady umowę prowadzenia rachunku bankowego. Zerknijcie na ostatnią stronę i zobaczcie, na co się zgodziliście. Na końcu powinniście znaleźć klauzulę, która brzmi mniej więcej tak: „Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowych”. Jeśli zaznaczyliście „tak”, nie zdziwcie się, że dzwonią do was, żeby wcisnąć inne produkty i usługi.- Pojęcie „celu marketingowego” jest bardzo szerokie. Należy przez to rozumieć informowanie o nowych produktach, usługach, ofertach promocyjnych. Wysyłanie ofert drogą elektroniczną wymaga odrębnej zgody – mówi Przemysław Zegarek.

Jedna umowa, kilka zgód

Klauzula umieszczona na końcu umowy może być bardziej rozbudowana i upoważniać bank do przekazania naszych danych innym spółkom z grupy kapitałowej banku. Może to być np. biuro maklerskie, towarzystwo funduszy inwestycyjnych czy spółka leasingowa. Jeśli się na to zgodzicie, telefony z ofertą przychodzić będą nie tylko z banku, ale również z tych firm.

Podobnie będzie przy podpisywaniu tzw. umowy ramowej. Np. w banku jej trzonem zwykle są zasady prowadzenia rachunku bankowego, ale jednocześnie klient aktywuje inne usługi, z których będzie mógł skorzystać w przyszłości. Dzięki umowie ramowej nie będzie musiał iść do oddziału banku podpisywać dodatkowej umowy.

Przykładowo w umowie ramowej duży bank zobowiązuje się do otwarcia i prowadzenia rachunku głównego, a ponadto prowadzenia rachunków celowych (np. konta oszczędnościowego), otwierania lokat terminowych, pośredniczenia w inwestowaniu pieniędzy w funduszach inwestycyjnych oraz w zawieraniu ubezpieczeń.

Oznacza to, że podpisując taką umowę ramową, godzimy się na to, by trafić aż do trzech baz danych. Pierwszą – w zakresie prowadzenia rachunków i lokat – prowadzić będzie bank, drugą – fundusz inwestycyjny, a trzecią – współpracujące z bankiem towarzystwo ubezpieczeniowe.

Zgoda tylko na chwilę

Zdarza się, że nasze dane potrzebne są tylko „na chwilę”. Gdy przygotowywaliście CV, zapewne zwróciliście uwagę, że potencjalny pracodawca prosił o dołączenie klauzuli o treści: „wyrażam zgodę na przetwarzanie moich danych osobowych do celów związanych z procesem rekrutacji zgodnie z ustawą (…)”.

Zgodnie z prawem nie wolno przetwarzać danych dłużej niż jest to potrzebne do realizacja konkretnego celu. To oznacza, że po rekrutacji pracodawca powinien zniszczyć dokumenty rekrutacyjne, zarówno papierowe, jak i w wersji elektronicznej.

Innym przykładem chwilowej zgody mogą być konkursy organizowane przez firmy, które wymagają od uczestników podania informacji na swój temat. Po zakończeniu konkursu administrator powinien bazę zniszczyć.

Jedna klauzula, jeden cel

Podpisywana klauzula, upoważniająca do przetwarzania danych osobowych, nie może dotyczyć kilku celów naraz. Niedopuszczalny jest np. zapis: „wyrażam zgodę na przetwarzanie moich danych w celu przeprowadzenia konkursu, działań marketingowych oraz udostępniania danych innym odbiorcom”. Zgodę na każdy z tych celów powinniśmy dać oddzielnie.

Zwykłe i wrażliwe dane osobowe

Imię, nazwisko, PESEL, numer dowodu osobistego, a nawet zdjęcie, na których podstawie można zidentyfikować konkretną osobę – to tzw. zwykłe dane osobowe. Mogą nimi być również numer telefonu, komputerowy adres IP czy adres e-mail. Udzielając komuś zgody na przetwarzanie „zwykłych” danych, nie trzeba zachować szczególnej formy, np. na piśmie.

Wrażliwe dane osobowe to m.in. informacje o pochodzeniu etnicznym lub rasowym, poglądach politycznych, przekonaniach religijnych i filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, a także dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym czy informacje dotyczące wyroków sądowych. Takich danych nie wolno przetwarzać, choć są od tego wyjątki. Po pierwsze, osoba, której dane dotyczą, może wyrazić na to zgodę, ale wówczas wymagana jest forma pisemna. Mogą je też przetwarzać kościoły czy inne związki wyznaniowe, stowarzyszenia, fundacje, instytucje polityczne, naukowe czy religijne, ale nie w celach zarobkowych. Wrażliwe dane mogą też gromadzić pracodawcy, a także placówki medyczne (przychodnie, szpitale). Bez zgody osoby, której dane wrażliwe dotyczą, mogą być przetwarzane przez służby (np. policję).

  • Autor: Konrad Samula
  • Dodane: 10 września 2014


  • Udostępnij:

Ostatnio dodane

Głosowanie

Czy podoba Ci się nasza nowa strona?

  • Tak (67%, 137 Głosów)
  • Nie (24%, 49 Głosów)
  • Nie mam zdania (9%, 19 Głosów)

Liczba głosów: 205

Loading ... Loading ...

Najczęściej czytane