Jak nie idzie to nie idzie. Naczytałeś się o RODO – że musisz lepiej pilnować danych klientów, respektować ich prawo do bycia zapomnianym, że jak się nie postarasz do grożą ci wysokie kary… A potem wysyłasz jeden e-mail i wszystko szlag trafia. I musisz przekonywać klientów, że ich imię i nazwisko nie pozwala na ustalenie tożsamości
Życie pośrednika finansowego w XXI wieku nie jest łatwe. Kiedyś po prostu się zdobywało dane klientów, obdzwaniało, „upoduktawiało”, potem znowu obdzwaniało, „uproduktawiało” bardziej… A teraz na wszystko trzeba mieć podkładkę: niby masz dane klientów, ale jeśli oni się nie zgodzą, żebyś je miał, to musisz je skasować.
- Szwecja radośnie (prawie) pozbyła się gotówki, przeszła na transakcje elektroniczne i… ma poważny problem. Wcale nie chodzi o dostępność pieniędzy [POWERED BY EURONET]
- Kiedy bank będzie umiał „czytać w myślach”? Sztuczna inteligencja zaczyna zmieniać nasze relacje z bankami. I chyba wiem, co będzie dalej [POWERED BY BNP PARIBAS]
- ESG w inwestowaniu: po fali entuzjazmu przyszła weryfikacja. BlackRock mówi „pas”. Jak teraz będzie wyglądało inwestowanie ESG-style? [POWERED BY UNIQA TFI]
W niektórych firmach pośrednictwa finansowego, które pozyskiwały dane klientów niekoniecznie za ich wiedzą, nadejście dyrektywy RODO, która wprowadziła tę regulację, jest jak trzęsienie ziemi.
Chcąc przystosować się do RODO złamali RODO
Próbując dostosować się do RODO trzeba uważać, żeby przy okazji… nie złamać RODO. Z tym zadaniem bezskutecznie próbowała poradzić sobie firma pośrednictwa finansowego Phinance, która kilka dni temu wysłała do prawie 200 klientów informację, iż zrealizowała ich prawo do bycia zapomnianymi. Kłopot w tym, że wysłała ją otwartym tekstem, ujawniając adresy e-mail wszystkim zainteresowanym.
„Działając w imieniu Phinance z siedzibą w Poznaniu, (…) zgodnie z art. 12 ust 3 rozporządzenia Parlamentu Europejskiego (…) informujemy, że usunęliśmy Twoje dane osobowe przechowywane w Phinance formie tradycyjnej jak i elektronicznej”
– tak brzmiał e-mail. Na jawnej liście adresowej, którą otrzymał razem z treścią mejla każdy z odbiorców, znalazły się adresy poczty elektronicznej wszystkich osób, które – w związku z wejściem dyrektywy RODO – zażądały, by pośrednik finansowy skasował ich dane ze swoich baz papierowych i elektronicznych.
Cóż, takie niedopatrzenie zdarza się najlepszym. Pamiętam, że kiedyś opowiadałem o pomysłowym pracowniku Idea Banku, który wpadł na pomysł integrowania swoich klientów za pomocą promocyjnej lokaty. Osią działań integracyjnych miało być wysłanie propozycji ulokowania pieniędzy w jednym, zintegrowanym e-mailu, skierowanym do wszystkich klientów owego doradcy.
Czytaj też: Urocze. doradca wysyła życzenia i przy okazji… ujawnia dane swoich klientów
Czytaj też: Zgoda marketingowa dobrowolna, ale jednak obowiązkowa. Jeśli jej nie chcesz zatwierdzić, możesz mieć problem
Wysyłka była pozbawiona zbędnych konwenansów, takich jak ukrycie nazwisk oraz nazw firm, dla których była przygotowana oferta. Inny pracownik tego samego banku złożył klientom życzenia wielkanocne również z pominięciem procedury ukrywania adresatów.
Przepraszają i uspokajają: imię i nazwisko nic nikomu nie powie
No, ale wtedy nie było RODO, które nakłada obowiązki chronienia danych, które ludzie powierzają firmom. I nie było wysokich kar za niedopatrzenie obowiązków. W Phinance niedopatrzenie zauważyli, bo – to także zdobycz RODO – poczuli się w obowiązku, by poinformować klientów będących ofiarą tego swoistego „wycieku” o sytuacji.
„W dniu dzisiejszym Phinance wysłała do osób, które zażądały usunięcia danych osobowych, wiadomość email informującą o usunięciu danych. Niestety w wyniku błędu pracownika wiadomość została wysłana w sposób ujawniający dane adresatów wiadomości – adresy email wszystkich osób, do których wiadomość była kierowana omyłkowo wpisane zostały w pole „Do Wiadomości” zamiast „Do Ukrytej Wiadomości. Pragniemy najmocniej przeprosić za zaistniałą sytuację. O zdarzeniu niezwłocznie poinformowany został Inspektor Ochrony Danych Osobowych Phinance oraz Zarząd Phinance”
– tak brzmiał początek „przepraszalnej” informacji. Dalej spółka informuje poszkodowanych, że przepisy wymagają zgłaszania wszelkich przypadków do naruszenia ochrony danych osobowych do prezesa Urzędu Ochrony Danych Osobowych (UODO). I że dane osobowe to „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Natomiast „możliwa do zidentyfikowania osoba fizyczna” to „osoba, którą można bezpośrednio lub pośrednio zidentyfikować”.
Po tym wyłożeniu definicji Phinance klaruje „zdekonspirowanym” klentom, że prezesa UODO należy poinformować każdym o zdarzeniu naruszającym „bezpieczeństwo danych, które pozwalają określić tożsamość osoby, której te dane dotyczą”.
W tym przypadku – przynajmniej biorąc tych klientów, których adresy poczty elektronicznej składają się z imienia i nazwiska – wydaje się, że tożsamość osób na podstawie ujawnionych przez pośrednika danych da się ustalić. A jednak winowajcy napisali do klientów coś, co spowodowało, że część z nich do dziś zbiera zęby z podłogi:
„Pragniemy zauważyć, że imię i nazwisko nie są danymi pozwalającymi określić tożsamości osoby fizycznej. Zaistniałą sytuację Inspektor Ochrony Danych Osobowych Phinance oraz Prezes Zarządu Phinance oceniają jako przypadek poważnego naruszenia bezpieczeństwa, który jednak nie stanowi naruszenia ochrony danych osobowych wymagający zgłoszenia do Prezesa UODO”
Hmmm… Imię i nazwisko nie pozwalają określić tożsamości? Jeśli „zdekonspirowany” jako klient został Jan Kowalski, którego numeru PESEL, ani adresu zamieszania nie znamy, to może rzeczywiście nie da się określić na tej podstawie tożsamości. Ale niektóre nazwiska na liście mailingowej rozesłanej otwartym tekstem do ludzi nie są typowe i dość łatwo ustalić o kogo chodzi.
Czytaj też: Z BIK już nie pobierzesz darmowej tzw. informacji ustawowej. Wszystko przez RODO
Nie przegap nowych tekstów z „Subiektywnie o finansach”, zapisz się na newsletter i odbierz zestaw praktycznych poradników, w tym przegląd najlepszych kont bankowych ułatwiających oszczędzanie
Czytaj też: Serwisy i portale chcą żebyś zaakceptował nowy regulamin. Bać się?
RODO jak RODOdendron?
Co prawda prawo mówi, iż jakiejś informacji nie można uznać za „umożliwiającą określenie tożsamości osoby”, jeżeli wymagałoby to nadmiernych kosztów, czasu lub szczególnych działań, ale z drugiej strony sąd administracyjny w Krakowie w 2013 r. orzekł, że „podanie numeru telefonu i adresu poczty internetowej to podanie danych osobowych w rozumieniu ustawy, ponieważ dane pozwalają na szybkie zidentyfikowanie konkretnej osoby”.
Dylemat czy jakiś adres poczty elektronicznej pozwala czy też nie pozwala określić tożsamości osoby wygląda na dość… hmmm… wydumany. Gdyby na liście mailingowej znalazł się adres maciej.samcik@subiektywnieofinansach.pl to też mogliby napisać, że to nie jest dana, która pozwala na identyfikację osoby fizycznej?
W sumie wszystko mi jedno czy zakwalifikowaliby ujawnienie takiego adresu jako „poważne naruszenie bezpieczeństwa” lub jako „naruszenie ochrony danych osobowych wymagający zgłoszenia do prezesa UODO”. Gorzej, gdyby okazało się, że cała ta dyrektywa RODO, oprócz tego, że spowodowała produkcję milionów papierków, oświadczeń, zapewnień i formularzy (prawnicy mają eldorado), nie zmienia ani na jotę praktyki.
A niestety istnieje domniemanie, że nie zmienia. E-mail wysłany omyłkowo na adres „everyone” to błąd, który może się wydarzyć każdemu. Opowieści o tym, że imię i nazwisko nie pozwalają na identyfikację konsumenta to już jest pewna ekstrawagancja. A otrzymanie telefonu od jakiegoś dziwnego sprzedawcy, który nie chce powiedzieć skąd ma numer, czy ma moją zgodę na telemarketing – to już jazda po bandzie. A mam zgłoszenia od czytelników, że takie rzeczy się dzieją. RODO przypomina mi funkcjonalnością jakiś RODOdendron.
Czytaj też: Bank przez kilka lat publikował fałszywe dane w BIK. Kara? 3000 zł
źródło zdjęcia: Ribkhan/Pixabay
