Dokładnie rok temu – 25 maja 2018 r. – zaczęły w Polsce obowiązywać najważniejsze z punktu widzenia konsumenta przepisy unijnego rozporządzenia RODO, czyli prawa o ochronie danych osobowych obywateli. Wciąż niewiele osób korzysta z jej dobrodziejstw, dlatego z okazji rocznicy jej obowiązywania przypominamy – wspólnie z Fundacją Panoptykon – jak bardzo jest fajna
Większości z nas RODO kojarzy się głównie z koniecznością akceptowania zgód na politykę zarządzania naszymi danymi, które podsuwają nam przy pierwszej wizycie serwisy internetowe. Komunikaty związane z RODO (informacje o tym kto i po co będzie przetwarzał nasze dane) pojawiły się też przed rozmowami z pracownikami infolinii i przy podpisywaniu umów z różnymi firmami. Nuuudy.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ale RODO to nie tylko konieczność informowania nas o tym jak będą przetwarzane dane na nasz temat (te wszystkie komunikaty bardziej irytują, niż pomagają), ale też fura innych praw, które nam przysługują. A przede wszystkim: prawo do wiedzy o tym w jaki sposób nasze dane są wykorzystywane przez tych, którym pozwoliliśmy, by je posiadali.
RODO, czyli wiedz i pozwól wiedzieć innym (że wiesz)
U podstaw RODO leży teza, że nasze dane są dziś najcenniejszym towarem. Nawet głupie bazy adresów e-mail osiągają na wolnym rynku wysokie ceny. A co dopiero bardziej dokładne dane osobowe, adresowe, kontaktowe, dotyczące wieku, zdrowia lub sytuacji finansowej, czy rodzinnej. Albo nawyków konsumenckich, preferencji politycznych czy miejsc, w których najczęściej robimy zakupy.
RODO mówi tak: na przetwarzanie każdej porcji naszych danych osobowych (mniejszej lub większej, w zależności od sytuacji) nasz „kontrahent” musi mieć zgodę. Danych tych musi pilnować jak najcenniejszych klejnotów, a na nasze żądanie musi nam się wyspowiadać: co o nas wie oraz jakie wnioski z tego wyciąga.
Każda firma, która ma dużo danych na nasz temat, może na tym zarabiać setki tysięcy złotych. Może oferować dopasowane do naszych potrzeb produkty, składać nam oferty komercyjne akurat w momencie, gdy jest największe prawdopodobieństwo, że je przyjmiemy, wykorzystywać nasze słabości. Dlatego RODO jest takie ważne – dzięki prawom, które nam daje, nie jesteśmy bezbronni wobec tych działań.
Czego konkretnie możemy się dowiedzieć dzięki RODO? W jakim celu są przetwarzane nasze dane, komu są przekazywane, jak to się stało, że dane trafiły w to miejsce, jak długo są przechowywane i dlaczego tak długo i jakie masz w związku z tym uprawnienia (np. że możesz zażądać usunięcia lub sprostowania danych). Najczęściej ta „funkcja” przydaje się przy wycofywaniu zgód marketingowych (czyli na przetwarzanie danych w celu przygotowania spersonalizowanych promocji).
Żeby się tego wszystkiego dowiedzieć wystarczy złożyć wniosek w firmie, która przetwarza nasze dane (e-mailem, pocztą, poprzez formularz online w serwisie internetowym firmy itp.). Ale nie to w RODO jest najbardziej sexy.
Czytaj też: Rok po wejściu RODO pytamy banki: „co wiecie na nasz temat?”. Nie takich odpowiedzi się spodziewaliśmy
Panoptykon radzi: Sprawdź, jak zażądać informacji o przetwarzanych danych w 4 krokach
Kopia danych, czyli klient mówi „sprawdzam”
Poza motywacją, celami i planami, które firma wiąże z naszymi danymi, mamy prawo je wszystkie zobaczyć jak na dłoni. To uprawnienie nazywa się kopią danych. Każdy, kto przetwarza nasze dane, powinien w bezpieczny sposób (czyli po ustaleniu naszej tożsamości) umieć przekazać nam je. W przypadku banków może to nastąpić np. przez system transakcyjny po zalogowaniu się klienta na konto.
Mówimy tutaj o zawartości wszystkich baz danych firmy, a nie tylko np. wyciągów z rachunków, kopii wystawionych faktur czy płatności. Do katalogu danych, które firma musi udostępnić należą np. nagrania rozmów z infolinią (o ile firma je przechowuje), wysłane e-maile, SMS-y.
A i to nie wszystko. Dzięki RODO mamy prawo dowiedzieć się także o tym jakie wnioski dana firma wyciągnęła z posiadanych na nasz temat. A więc np. tego jaki profil marketingowy stworzyła na ich podstawie (czy np. zaliczyła nas do kategorii klientów, którym przesyła głównie oferty z jakiejś konkretnej kategorii). To bardzo ciekawe dowiedzieć się jak widzi nas usługodawca gromadzący nasze dane.
Przy pierwszym wniosku o dane firma nie może żądać od nas pieniędzy. I nie powinna mnożyć trudności, np. żądać osobistego odbioru wydruków. Domyślnie dane powinny być bezpiecznie przekazane w formie elektronicznej. Dopiero przy zbyt częstych wnioskach o udostępnienie danych firma może żądać od nas za to pieniędzy.
Panoptykon radzi: Sprawdź, jak zażądać kopii danych w 4 krokach
Jeśli – po ustaleniu co o nas wie dany „kontrahent” – dojdziemy do wniosku, że nie chcemy, żeby firma dalej przetwarzała nasze dane, to zawsze możemy zażądać ich anihilacji, czyli usunięcia z serwerów firmy.
„To uprawnienie nie działa automatycznie i może napotkać pewien opór. Jeśli administrator znajdzie podstawę, żeby Twoje dane nadal przetwarzać (np. ustali, że jest to niezbędne do realizacji umowy albo wymaga tego od niego obowiązujące prawo), będzie mógł odmówić”
– ostrzegają przedstawiciele Panoptykonu. Cóż, najłatwiej usunąć dane powołując się na wygaśnięcie celu, w którym były przetwarzane. Ale generalnie z RODO też jest taka nauczka, że lepiej zastanowić się przed faktem czy na pewno chcemy, żeby jakaś firma przetwarzała nasze dane (wiadomo, że jest to niezbędne do korzystania z usług, ale nie wszystkie usługi są na tyle cenne, żeby „płacić” za nie danymi ;-)), niż potem bawić się w wycofywanie zgód.
Panoptykon radzi: Sprawdź, jak sprzeciwić się przetwarzaniu danych w 4 krokach.
Czytaj też: Po zamknięciu konta zażądała od banku, by usunął jej dane. Bank odmówił. Mógł?
Gwałt na twoich danych? UODO i sąd cywilny pomoga
RODO dało nam do ręki również potężną broń w sytuacji, gdy dowiemy się, że ktoś przetwarzał nasze dane bez zgody albo bezprawnie. W takim przypadku składamy skargę do Urzędu Ochrony Danych Osobowych, a on sprawę bada i ewentualnie nakłada taką karę finansową, żeby winnemu w pięty poszła.
„Wnosząc skargę, nie musisz wykazywać ani krzywdy, ani szkody z tym związanej. Prezes UODO bada przede wszystkim to, czy doszło do naruszenia obowiązującego prawa”
– mówi Wojciech Klicki, prawnik z Panoptykonu. W skardze można się domagać żeby firma, którą oskarżasz o złamanie RODO usunęła dane, przestała je przekazywać na zewnątrz lub pokazała wszystkie dane, które na nasz temat zgromadziła. Osobno możemy złożyć w sądzie pozew cywilny o odszkodowanie.
Panoptykon radzi: Sprawdź, jak zażądać usunięcia danych w 4 krokach.
Czytaj też: Czy Revolut ma problem z RODO? „Nie mogłem skasować zgód marketingowych!”
Czytaj też: Swoje dane znalazła w banku, któremu… nigdy ich nie przekazywała. O co tu
chodzi?
I tyle dobra przez rok się w wielu przypadkach marnowało, bo wielu z nas najzwyczajniej w świecie nie wiedziało, że RODO jest takie fajne. Ale teraz już to wiemy, więc mam nadzieję, że w drugim roku obowiązywania najważniejszych przepisów tego rozporządzenia będziemy korzystać z niej nie tylko poprzez akceptowanie, że na danej stronie internetowej zbiera się nasze dane.
——————————
Partnerem merytorycznym raportu z okazji pierwszej rocznicy RODO w Polsce jest Fundacja Panoptykon, która zajmuje się pilnowaniem naszego prawa do prywatności i ochrony danych. Więcej na temat działalności Panoptykonu przeczytasz tutaj
Zdjęcia tytułowe: Pixabay.com
