Ile warte są Twoje dane osobowe?

wtorek, 4 lipca 2017

Temat baz danych nie jest bezpośrednio związany z finansami, ale warto się temu przyjrzeć z uwagi na to, że często w wyniku wycieku danych osobowych, możemy zostać narażeni na poważne konsekwencje. W ten sposób niejednokrotnie dochodzi do sytuacji, w której numer PESEL albo skan dowodu osobistego może narazić nas na koszty, bo na przykład złodziej weźmie w naszym imieniu pożyczkę.

Fot. matt smith | www.flickr.com | Creative Commons
Okres wakacji to czas, kiedy nasze dane osobowe są narażone na szczególne niebezpieczeństwo. Podczas urlopu można nie tylko zgubić dokumenty, ale również podać dane komuś, kto zechce je potem przetwarzać lub sprzedać. Okazuje się, że powstawanie nielegalnych baz danych to proceder, który prosperuje całkiem nieźle.

To dochodowy biznes, z którego profity czerpią różne podmioty zajmujące się handlem danymi osobowymi, z których korzystają między innymi doskonale nam znane firmy telemarketingowe.

SKĄD ONI MAJĄ MÓJ NUMER?
Dane osobowe udostępniamy w dziesiątkach różnych miejsc. Często robimy to bezrefleksyjnie, na przykład zakładając kolejną kartę lojalnościową albo rejestrując się na stronie sklepu internetowego czy publikując prywatne informacje na swój temat na portalu społecznościowym. Można powiedzieć, że w dobie internetu dostęp do danych osobowych nie jest ani trochę utrudniony.

Minęły już czasy, kiedy na klatkach schodowych albo przy domofonach można było natknąć się na listę lokatorów, zdobywając w ten sposób podstawowe dane na ich temat. Niemniej jednak, w XXI wieku chodzenie po kamienicach i blokach nie ma najmniejszego sensu, skoro dane osobowe, jak również te wrażliwe, można zdobyć bez wychodzenia z domu.

Wielokrotnie telemarketerzy powtarzają nam, że numer został wylosowany przez komputer, ale nie zastanawiamy się nawet, skąd maszyna losująca miała go w swojej bazie. Raz na jakiś czas pojawiają się oferty sprzedaży baz danych Polaków, ale są to raczej tzw. przetargi niepubliczne. Hakerzy włamywali się już do baz danych różnych firm, między innymi do przedsiębiorstw telekomunikacyjnych.

Jednak bazy danych można pozyskiwać również w nieco mniej konwencjonalny sposób. Wystarczy, że sprzedajemy sprzęt komputerowy na rynku wtórnym i niedokładnie oczyścimy go z danych, przez co hakerzy mogą w łatwy sposób pozyskać je z twardego dysku. Nie można również zapominać o danych świadomie wykradanych przez pracowników konkretnych placówek, którzy mają wgląd w informacje o klientach.

Ponadto, każdy wypełniony przez nas formularz, internetowy konkurs, czy regulamin rejestracyjny portalu społecznościowego jest równoznaczny z tym, że przekazujemy komuś nasze dane osobowe. Potem może się zdarzyć tak, że zaczną one krążyć w drugim obiegu i nigdy nie będziemy wiedzieli, kto wszedł w ich posiadanie.

Słyszałem ostatnio o tym, że nawet wysyłanie CV do niektórych firm może powodować, że dane wyciekną. Zapewne nie jest to norma dla przedsiębiorstw, bo wciąż wiele z nich poszukuje po prostu nowych pracowników, ale wgląd w dane aplikantów mają różni ludzie.

KTÓRE DANE SĄ DANYMI OSOBOWYMI?
Okazuje się, że nie tylko imię, nazwisko, numer dowodu osobistego i PESEL powinny podlegać szczególnej ochronie. W czasach cyfryzacji, do danych osobowych zalicza się również numer telefonu, adres IP komputera osobistego, a nawet adres email (pod warunkiem, że zawiera się w nim imię i nazwisko, które można przypisać konkretnej osobie).

WARTO ZNAĆ SWOJE PRAWA
Jeśli następnym razem odbierzecie telefon od nieznanego numeru i okaże się, że po drugiej stronie odezwał się telemarketer albo przedstawiciel banku dzwoniący ze specjalną, spersonalizowaną ofertą, możecie skorzystać z pewnych przywilejów podarowanych wam przez prawo.

O tym, że ktoś posiada nasze dane, dowiadujemy się dopiero, kiedy odbierzemy podobny telefon. Jednak ustawa o ochronie danych osobowych, zobowiązuje handlowca do tego, by odpowiedział zainteresowanemu na pewne pytania:

  • od kiedy posiada dane,
  • jakimi danymi dysponuje,
  • jaki jest cel, zakres i sposób przetwarzania danych,
  • komu je udostępnia,
  • od kogo je dostał – ma obowiązek podać dane osoby fizycznej lub firmy, która je przekazała.
Niejednokrotnie dzwoniący nie chcą podać źródła pochodzenia informacji. Często dochodzi do sytuacji, że jesteśmy ignorowani, telemarketer twierdzi, że możemy się wszystkiego dowiedzieć, ale tylko składając pisemne zapytanie w tej sprawie albo zadzwonić do centrali, co z marszu brzmi zniechęcająco, a człowiek będzie wolał machnąć na to ręką i wrzucić numer do blokowanych, zamiast biegać po instytucjach i pisać zapytania.

Uwaga: Jeśli rozmówca nie odpowie na postawione wyżej pytania, oznacza to, że pozyskał dane w sposób niezgodny z prawem. W takiej sytuacji powinniśmy zareagować i powiadomić GIODO.

Słyszałem kiedyś o sytuacji, gdzie podczas prezentacji kołder na jednym ze spotkań pod szyldem MLM-podobnym, goście zostali poproszeni o wypełnienie blankietów z własnymi danymi oraz z danymi kilku znajomych „poleconych” do wygrania nagrody w konkursie polegającym na losowaniu uzupełnionego blankietu. W ten sposób wielu uczestników spotkania bezmyślnie podało nie tylko swoje dane, ale również dane kolegów i koleżanek, którzy nie mieli o tym bladego pojęcia.

KIEDY TRZEBA UDZIELIĆ PISEMNEJ ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH?
Wielu z nas z pewnością powiedziałoby, że zawsze, ale to nieprawda. Niejednokrotnie udzielamy takiej zgody „z automatu”. Przykładem może być chęć założenia rachunku bankowego, co nie byłoby możliwe bez przetwarzania danych osobowych. Podobnie sprawy się mają ze składaniem CV do potencjalnego pracodawcy.

Choć słyszałem też o patologiach związanych z aplikowaniem do pracy. Miały już miejsce sytuacje, kiedy ktoś szukał pracowników, zbierał CV całymi miesiącami, a oferta nigdy nie znikała. Być może dana firma nie znalazła odpowiedniego kandydata, ale część kandydatów snuła swoje domysły. Całkiem możliwe, że nigdy nie chciano znaleźć nowego pracownika, a w cenie były nie umiejętności kandydata, tylko jego dane osobowe.

Po zamknięciu rachunku bankowego albo procesu rekrutacji pracowników, firma bądź bank powinny zniszczyć zebrane dane osobowe. Jednak praktyka dowodzi, że w bankach są one zwykle archiwizowane przez długi czas. Oczywiście placówka nie może nam wprost proponować żadnych usług, dysponując jedynie domyślną zgodą na przetwarzanie danych osobowych. Jednak wynaleziono już sposób jak obejść takie zastrzeżenie.

W ten oto sposób narodziła się sławna „zgoda na przetwarzanie danych w celach marketingowych”. Niestety, „cele marketingowe” można intepretować w dość swobodny sposób. Jeśli udzieliliście zgody, możecie się spodziewać w niedalekiej przyszłości licznych telefonów od telemarketerów.

Uwaga: Zgodnie z prawem, nie wolno przetwarzać danych dłużej niż jest to potrzebne do realizacji konkretnego celu. Oznacza to, że zaraz po rekrutacji nowego pracownika, firma powinna zniszczyć zebrane CV.

Uwaga: Jedna klauzula nie może dotyczyć realizacji kilku celów jednocześnie. Niedopuszczalny jest zapis: „wyrażam zgodę na przetwarzanie moich danych osobowych w celach rekrutacyjnych, marketingowych oraz udostępniania danych innym podmiotom”. Każda z tych zgód musi być zapisana osobno do opcjonalnego wyrażenia zgody.

HANDEL DANYMI OSOBOWYMI A PRAWO
Pozyskiwanie danych z powszechnie dostępnych źródeł oraz późniejszy handel, nie są zakazane. Jednak firmy muszą spełnić pewne procedury, żeby móc się nimi legalnie posługiwać. Zanim firma zadzwoni do nas z ofertą handlową, musi uzyskać od nas zgodę na przetwarzanie danych osobowych.

Obrót danymi osobowymi jest nielegalny wówczas, gdy na przykład były pracownik, wraz z odejściem z pracy, zabiera informacje dotyczące klientów firmy. Takie przypadki miały już miejsce i dotyczyły między innymi pracowników firm ubezpieczeniowych czy telekomunikacyjnych.

Wyrażając zgodę na przetwarzanie danych osobowych, dajemy przyzwolenie do prowadzenia obrotu. Dlatego też należy uważnie czytać dokumenty, które podpisujemy, na przykład zakładając kartę lojalnościową. Bowiem może się tam znajdować zapis, że udzielając zgody na przetwarzanie danych osobowych, firma może udostępnić dane innym podmiotom.

Do legalnej „sprzedaży” danych osobowych dochodzi również wtedy, gdy jedna spółka dokonuje zakupu innej spółki. Z tym, że firma przejmująca musi nas powiadomić o posiadaniu danych, kto jest administratorem (kim jest, jaki ma adres, w jakich celach pozyskał dane, komu będzie je udostępniał). Możemy wówczas cofnąć zgodę na dalsze przetwarzanie, a dane powinny zostać usunięte.

Jednak nie zawsze nasz sprzeciw przynosi pożądane efekty. Firmy pozwalają sobie na zbyt wiele, bo pod pewnymi względami panuje u nas wolna amerykanka. Kuleje też system karania za nielegalny obrót danymi osobowymi.

Jeśli nasz sprzeciw nic nie da, możemy zwrócić się ze skargą do GIODO. Wkrótce ta organizacja będzie mogła nakładać wysokie kary finansowe na przedsiębiorców, którzy nierzetelnie przetwarzają dane osobowe.

ILE SĄ WARTE NASZE DANE OSOBOWE?
Okazuje się, że naprawdę dużo. Nie chodzi tylko o wartość samego rekordu zawierającego podstawowe informacje o konkretnej osobie (choć to też potrafi dużo kosztować), ale również o wiadomości na temat naszych preferencji zakupowych, nawyków żywieniowych czy innych kwestii, które mogą pomóc przedsiębiorcom sprzedać nam spersonalizowane i lepiej dostosowane produkty. Oczywiście może tu zadziałać przekaz podprogowy, w wyniku którego kupimy więcej, choć w normalnych warunkach byśmy tego nie zrobili. Uznamy coś za doskonałą okazję, choć przecież wcale nie musi tak być.

Dlatego w różnych sklepach tak chętnie rozdawane są rabaty dla posiadaczy kart lojalnościowych, bo im więcej osób w przyszłości je pozyska, tym większa i pełniejsza będzie baza danych klientów. Wtedy firmy będą wiedziały, co lubimy kupować, w jakich ilościach i dlaczego.

Cena jednego rekordu, który zawiera podstawowe dane na nasz temat, może kosztować od kilku do kilkunastu złotych. Zaś, jeśli dane są wzbogacone o informacje z banku, to ich cena sięga nawet kilkuset złotych. To dochodowy i wciąż dość dobrze prosperujący w Polsce biznes, który może zostać stłamszony tylko przez dobrze skonstruowane prawo.

Jeśli rząd nie wprowadzi zmian w tym segmencie, to jeszcze przez długi czas będziemy musieli się ścierać z telemarketerami po drugiej stronie słuchawki i odpierać ataki „spersonalizowanych ofert promocyjnych” niemalże na każdym kroku.

W następnym artykule z tej serii, opowiem o tym, jak można usunąć swój numer z niechcianej bazy danych, żeby telemarketerzy nie mogli nas ciągle nękać, a także o tym, jakie sposoby walki z tym procederem zostały wdrożone w innych krajach.


2 komentarze:

  1. W swoim życiu miałam wątpliwą przyjemność być telemarketerką. Podczas pracy skorzystałam z bazy danych która została mi udostępniona w ramach obowiązków i nic po za tym. Jeśli była to obsługa klienta pewnej firmy to ok wiadomo dane z umów, choć i tak często klienci nie chcieli kontaktu sprzedażowego. Sytuacja była bardziej skomplikowana gdy obdzwanialiśmy w innej firmie ludzi z bazy wówczas nie informowano nas skąd zostały pozyskane dane mieliśmy dzwonić był skrypt i tyle.

    OdpowiedzUsuń
    Odpowiedzi
    1. W dzisiejszych czasach zdobywanie danych to żaden problem. No i oczywiście nie należy winić pracowników call center, że dzwonią, bo przecież za to mają płacone, aczkolwiek... wina leży tu po stronie firm, które z różnych względów mogą pozyskiwać dane nielegalnie lub półlegalnie.

      Pozdrawiam,
      Mateusz ;)
      I dobrej kariery zawodowej życzę, z dala od struktur telemarketingowych :p

      Usuń

 
Copyright © 2016. Finanse pod lupą.
Design by Herdiansyah Hamzah. & Distributed by Free Blogger Templates
Creative Commons License