Wypełniamy formularze, zostawiamy w sieci komentarze, bierzemy udział w losowaniu konkursowym, a później… dostajemy telefony, maile, smsy – a w nich wyjątkowe oferty, najlepsze promocje, super okazje.. Przypadek? Oczywiście, że nie.
Zbyt szeroki zakres przetwarzania danych w umownych klauzulach
Bardzo często wypełnienie formularza internetowego wiąże się z wyrażeniem, za pomocą jednego kliknięcia myszki, zgody na przetwarzanie danych osobowych. O ile taki sposób legalizacji przetwarzania pozyskiwanych tą drogą danych jest poprawny, o tyle gorzej jest z jego realizacją.
Dlaczego? Ponieważ bardzo często konsument przystaje na warunki klauzuli, która… jest błędnie sformułowana i dla niego niekorzystna.
Jedna zgoda – wiele konsekwencji
Kardynalny błąd polega na łączeniu wielu celów przetwarzania danych w jednej formule zgody. Oznacza to, że klikając w jednego checkbox’a, wyrażamy zgodę na przetwarzanie danych w celu realizacji oferty, dla której podajemy te dane i jednocześnie dla celów służących wyłącznie firmie pozyskującej dane takich jak np. marketing lub sprzedaż danych.
Postępowanie takie oznacza, że osoba, która podała dane, nie miała swobody w dysponowaniu swoimi danymi osobowymi, a w szczególności swobody w wyborze celów, w których jej dane miały być przetwarzane, ponieważ chcąc skorzystać z oferty musi zgodzić się jednocześnie na wykorzystanie jej danych w innych celach.
Z punktu widzenia przepisów o ochronie danych osobowych jest to postępowanie niewłaściwe i z całą pewnością w razie kontroli zostanie zakwestionowane przez inspektorów GIODO.
Cel pozyskania danych rozbieżny z faktycznym zakresem ich przetwarzania
Często zdarza się, że firmy pozyskują dane osobowe swoich klientów w jednym celu, a przetwarzają je również w innych celach.
Uważaj na banki, które chcą twój numer telefonu
Dobrze obrazuje to przykład wykorzystania przez banki numerów telefonów swoich klientów. Klient w najlepszej wierze podaje „swojemu” bankowi numer telefonu wyłącznie w celu obsługi haseł sesji wysyłanych poprzez sms, tymczasem bank wykorzystuje ten numer do składania telefonicznie oferty nowych produktów dedykowanych tej konkretnej osobie.
Postępowanie takie choć nagminne stoi w rażącej sprzeczności z przepisami o ochronie danych osobowych oraz wydaje się być wyjątkowo szkodliwe wizerunkowo dla takiej instytucji.
Firma prosi o dane, ale „zapomina” poinformować o naszych prawach
Każda firma, która przetwarza dane osobowe, zobowiązana jest do realizacji tzw. obowiązku informacyjnego.
Oznacza to, że pozyskując dane osobowe firma powinna poinformować osobę, której te dane dotyczą, o dobrowolności ich podania, adresie i pełnej nazwie firm, celu zbierania danych, ale także o prawie dostępu do tych danych oraz prawie do ich poprawiania.
Z wielu względów (niewiedza, brak możliwości technicznych, wysokie koszty rozesłania informacji) obowiązek ten nie jest realizowany przez firmy, chociaż takie zaniechanie podlega surowym karom, w szczególnych przypadkach sięgającym nawet pozbawienia wolności do roku.
Transfer danych pomiędzy firmami – nie zawsze legalny
W dzisiejszej dobie walki o klienta, dane osobowe stanowią cenne aktywo. Nie dziwi więc fakt, że standardem staje się wymiana baz danych pomiędzy firmami, szczególnie do celów marketingowych.
Działania takie są jak najbardziej możliwe i nie ulega wątpliwości wysoce korzystne dla firm, pod warunkiem że odbywają się zgodnie z obowiązującym prawem.
Oznacza to, że dane powinny być pozyskiwane z pewnych, legalnych źródeł, z poszanowaniem wszelkich praw osób, których one dotyczą m.in. zgody na przekazanie ich danych innemu podmiotowi.
O zgodny z prawem stan wymiany danych powinien zadbać zarówno podmiot przekazujący jak i pozyskujący dane, gdyż zarówno w jednym jak i drugim przypadku za nadużycia grożą sankcje karne.
Uważaj na telemarketera
O tym, jak często firmy nie przestrzegają prawa w aspekcie pozyskania danych, można się przekonać zadając dzwoniącemu do nas telemarketerowi jedno pytanie „skąd państwo mają mój numer telefonu?”.
W odpowiedzi często usłyszymy: „z Internetu” „z książki telefonicznej”, albo, że „został wylosowany”. Jak to możliwe, skoro osoba, do której telemarketer dzwoni nigdzie nie publikowała swojego numeru telefonu, a ślepy los trafia na jej numer średnio raz na tydzień?
Przetwarzanie danych też ma swój termin przydatności
Każdy przedsiębiorca, ale także i konsument, powinien mieć świadomość tego, że terminy przetwarzania danych osobowych nie są wieczne.
Termin korzystania z danych mija m.in. w przypadku cofnięcia zgody na ich przetwarzanie lub gdy wskazują na to przepisy prawa.
Po przekroczeniu daty legalnego przetwarzania danych osobowych należy je zanonimizować lub trwale usunąć z bazy.
Praktyka wskazuje jednak, że nie zawsze tak się dzieje. W przypadku przetwarzania danych w formie elektronicznej, często nadawana jest w bazie danych jedynie odpowiednia flaga nieaktywności dla konkretnego rekordu, a same dane nadal pozostają w niezmienionej formie.
Jeśli zaś chodzi o dane przetwarzane w formie papierowej, to dokumenty przekładne są po prostu na inną półkę w archiwum. Mimo, iż jest to działanie dość ryzykowne, z prawnego punktu widzenia, to jednak nierzadko spotykane.
Adam Myziak, Audytor wiodący Personal Data Protection Group.