Ekspert: każdy ma prawo sprawdzić dane, jakie trzyma o nim np. bank
Polscy konsumenci nie znają swoich praw dot. danych osobowych, mało kto wie np., że co pół roku możemy bezpłatnie sprawdzić, co wie o nas bank; zbyt pochopnie udostępniamy też informacje o sobie - mówi ekspert od ochrony danych osobowych Maciej Byczkowski.
Uczula też, by zwracać uwagę na to, co wyrzuca się do śmieci. Przypomina badania przeprowadzone 2 lata temu przez firmę niszczącą dane we współpracy z GIODO i MPO, z których wynikało, że nasze śmieci są prawdziwą kopalnią informacji na nasz temat. "Jeżeli chcemy chronić prywatność, musimy być czujni, zwłaszcza jeżeli mieszkamy w domach jednorodzinnych gdzie wyrzucane śmieci dużo mówią o mieszkańcach" - podkreślił Byczkowski, który jest prezesem Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI) i prezesem Zarządu ENSI (kancelarii ekspertów zajmującej się bezpieczeństwem danych osobowych i informacji) oraz brał czynny udział w pracach nad dwiema nowelizacjami ustawy o ochronie danych osobowych.
"Prawo do wglądu w zbierane o nas dane urzędowe gwarantuje nam konstytucja, a reguluje ustawa o ochronie danych osobowych. Mamy prawo wiedzieć, jakie dane na nasz temat są zbierane, w jakim celu i gdzie są gromadzone, a instytucje, które to robią, mają wobec nas szereg obowiązków" - mówił Byczkowski.
"Jeśli ja dostaję jakiś formularz np. do umowy, na którym mam wpisać moje dane, i widzę, że nie ma tam klauzuli informacyjnej dotyczącej zbierania danych m.in. o celu przetwarzania oraz prawie do wglądu i poprawiania danych, to nabieram wątpliwości. Bo mogę podejrzewać, że ta instytucja nie będzie chronić moich danych, skoro nie potrafi mnie nawet poinformować na samym początku o przetwarzaniu moich danych i moich prawach z tym związanych" - dodał ekspert.
"Warto czytać uważnie te klauzule i zwracać uwagę, na co wyraża się zgodę, bo często firmy usiłują przemycić zapisy, które nie są niezbędne do wykonania umowy, a pozwolą im udostępniać nasze dane np. innym podmiotom ze swojej grupy kapitałowej lub nimi handlować. Niedawno oddawałem buty do reklamacji, a na formularzu reklamacyjnym kazano mi wyrazić zgodę na przetwarzanie moich danych w celu reklamacji, ale także jednocześnie w celach marketingowych. Wykreśliłem więc z oświadczenia zapisy o celach marketingowych, ponieważ nie mamy obowiązku się na to zgadzać" - powiedział. Jego zdaniem jeśli przedsiębiorca stawia nas pod presją, twierdząc, że nie przyjmie reklamacji bez wyrażenia naszej zgody, można postraszyć sklep pozwem czy skargą do GIODO, lub w ostateczności podać dane zmyślone.
"Trudniejsza sprawa jest przy kupowaniu w internecie, ponieważ sprzedawcy starają się wymusić na formularzu zamówienia podanie danych, które tak naprawdę nie są niezbędne do wykonania umowy, umieszczając przy nich gwiazdkę i robiąc z tego informację obowiązkową. Wówczas, jeśli nie chcemy się zgodzić na udostępnianie naszych danych, nie pozostaje nic innego, jak zrezygnować z zakupu" - powiedział. Jak dodał, ludzie często sami dobrowolnie przekazują swoje dane firmom, bo chcą należeć do programów lojalnościowych różnych sklepów i zyskać np. zniżki. "Trzeba mieć świadomość, że w takim wypadku de facto sprzedajemy nasze dane i zastanowić się, czy się to nam opłaca" - dodał ekspert.
Zgodnie z przepisami gdy firma kupuje bazę od innego administratora danych, to ma obowiązek poinformować wszystkich, którzy są w tej bazie, że stała się nowym administratorem ich danych osobowych, pozyskała je od firmy X, że mają prawo przeglądać te dane czy cofnąć zgodę na ich przetwarzanie.
"Część administratorów wypełnia ten obowiązek, ale nie wszyscy. Najczęściej nie informują o tym ci, którzy dane ściągnęli z internetu, bo im się wydaje, że jak coś jest w internecie, to można to wykorzystywać w dowolny sposób. Tak nie jest" - podkreślił Byczkowski. Jak mówił, nie można też np., korzystając z danych w KRS czy CEIDG, zrobić sobie własnej bazy prezesów największych firm, np. żeby im sprzedawać jachty.
"Najpierw trzeba by poinformować te osoby, że są w naszej bazie, a potem dodatkowo zebrać zgodę na przesyłanie ofert handlowych drogą elektroniczną. Podobnie, jeśli jestem mikroprzedsiębiorcą i mam zarejestrowaną firmę pod adresem domowym, to oferenci mogą mi przesyłać pocztą tradycyjną materiały i oferty współpracy związane z moją działalnością. Ale jeśli zaczną mi przysyłać oferty dotyczące mojej osoby, np. wycieczki do ciepłych krajów, lub wysyłać je na mój adres e-mail to już naruszają prawo. Z jednej strony naruszają cel przetwarzania danych - dane te są udostępniane w ewidencji do celów informacyjnych, o tym, że prowadzę daną działalność, a nie zaproszeniem do przesyłania do mnie ofert. Z drugiej strony do przesyłania ofert drogą elektroniczną lub dzwonienia na mój nr telefonu wymagane jest obecnie posiadanie odrębnych moich zgód wynikających z prawa telekomunikacyjnego. Kontakty B2B mają służyć wymienianiu się ofertami, ale naruszanie prywatności nie jest dozwolone" - mówił ekspert.
Byczkowski przypomniał również, że ustawa daje nam prawo sprzeciwu wobec przetwarzaniu danych osobowych, jeżeli mają być one wykorzystywane w celach dodatkowych niż realizacja umowy, a sprzeciw ten można wyrazić w dowolnym momencie. Do takich osób nie można więcej kierować żadnych ofert i jest to zagrożone odpowiedzialnością karną. Natomiast firmy mają w takiej sytuacji prawo na swój użytek tworzyć zgodnie z ustawą o ochronie danych tzw. Listę Robinsonów, czyli osób, które nie wyrażają zgody na kontaktowanie się z nimi i przetwarzanie ich danych w celach marketingowych.
Jak przypomniał, gdy już przekażemy nasze dane firmie czy urzędowi, ustawa daje nam raz na pół roku prawo do zapytania, jakie dane instytucja posiada na nasz temat, skąd dane były zebrane, od kiedy i w jakim celu są przetwarzane, komu są udostępniane. Obowiązek ten dotyczy wszystkich instytucji, które mają nasze dane, w tym np. banków, biur informacji gospodarczej, Biura Informacji Kredytowej, etc. Informacje te dana instytucja musi nam przekazać bezpłatnie.
"Gdy instytucja dostanie taki wniosek - najlepiej składać go pisemnie - musi w ciągu 30 dni pisemnie na niego odpowiedzieć. Jeśli tego nie zrobi, mamy prawo poskarżyć się GIODO, że nie realizuje się naszych praw. Można też z powództwa cywilnego wytoczyć proces" - wyjaśnił Byczkowski.
Dzięki takiemu pytaniu możemy dowiedzieć się, czy firmy nie gromadzą nadmiaru informacji na nasz temat. Według eksperta nielegalne jest np. sprawdzanie informacji na nasz temat np. na portalach społecznościowych i dopisywanie ich do naszego profilu w bazie danych firmy.
"Firmy nie mają prawa robić białego wywiadu na nasz temat w celu uzupełniania informacji. Jeśli mają nasze dane, mogą je co najwyżej zweryfikować, ale nie można zbierać ich więcej. Wymagałoby to naszej zgody i bez niej jest to niedopuszczalne.
"I nie ma tu znaczenia, że ktoś sam opublikował informacje na swój temat np. na Facebooku. Czym innym jest przeczytać wpis, co innego wykorzystać go do gromadzenia danych na czyjś temat" - dodał.
Ekspert apelował też o zwracanie uwagi na to, jakie informacje o sobie umieszcza się na portalach społecznościowych. Ocenił, że Polacy pochopnie zamieszczają bardzo dużo danych na swój temat.
"To jest podwójne zagrożenie. Po pierwsze, co uciążliwe, ale mniej groźne, ktoś może wziąć nasz adres mailowy, wejść na nasz profil i zobaczyć, jaka interesuje nas np. muzyka czy ubrania i zacząć bombardować nas sprofilowanymi ofertami. Oczywiście możemy z tym walczyć, bo zanim ktoś będzie nam mógł przesłać informację handlową na maila, to musi uzyskać naszą zgodę na przesyłanie nam informacji drogą elektroniczną. Ale niestety w praktyce mało kto tego przestrzega" - mówił Byczkowski.
Zdaniem eksperta drugie i poważniejsze zagrożenie jest takie, że zamieszczane informacje mogą zostać wykorzystane przeciwko nam.
"Jeśli ktoś zarządza ważnymi aktywami firmowymi w dużej firmie, czym się chwali w portalu zawodowym, a potem na innym portalu wypisuje czy umieszcza zdjęcia, gdzie lubi jeździć na wakacje, gdzie bawią się jego dzieci na plaży, gdzie ma letni dom, naraża się na potencjalny atak" - mówił Byczkowski.
Odrębnym problemem staje się również coraz częściej kradzież tożsamości. Co jest szczególnie dotkliwe dla osób prowadzących działalność w internecie – np. wykorzystywanie cudzych zdjęć, podszywanie się pod wizerunek, dorobek osób prowadzących blogi tematyczne czy portale. (PAP)