RODO na tacy. Odcinek I: Na początku było zaufanie

Danych przetwarzanych na serwerach i w komercyjnych bazach nie widać gołym okiem. Łatwo stracić poczucie, że one tam naprawdę krążą. Jeszcze trudniej wyobrazić sobie, co dokładnie wiedzą o nas te wszystkie aplikacje mobilne, platformy internetowe i współpracujący z nimi brokerzy danych. Jaki profil człowieka można ulepić z logów, technicznych danych urządzeń, metadanych? Nie wiemy tego, bo w zasadzie żadna firma, z którą utrzymujemy relacje w sieci, nie rozmawia z nami na ten temat otwarcie. Po 25 maja będzie musiała zacząć. Co nam powie?

Kiedy w maju zeszłego roku Deloitte zrobił badania Rok do RODO – ochrona danych osobowych oczami polskich konsumentów, połowa z nas zadeklarowała nieufność do firm i instytucji, którym powierza swoje dane. Jednocześnie aż 58% ankietowanych odpowiedziało, że przynajmniej raz padło ofiarą niewłaściwego – w swoim odczuciu – ich wykorzystania. Czy to możliwe, że ponad 50% podmiotów działających na rynku nadużywa naszego zaufania, robiąc z naszymi danymi, co im się żywnie podoba? Istnieje prostsze wyjaśnienie tego fenomenu: źle prowadzony dialog z konsumentem.

Żeby coś sprzedać, trzeba nawiązać relację. Dla każdego sprzedawcy to zdanie jest oczywistością, jednak – jak pokazuje badanie Deloitte – firmy zaskakująco często o nim zapominają. W relacji z nowym klientem zachowują się jak ekscentryczny użytkownik aplikacji randkowej. Po wyrażeniu przez nas, klientów, wstępnego zainteresowania ich ofertą – trzymając się analogii randkowych swipe right czy nawet superlike – firmom jakby przestaje zależeć.

Zamiast budować atmosferę zaufania zasypują nas przerażającymi formularzami z polami oznaczonymi jako obowiązkowe, w których wypytują o wszystkie możliwe dane. W odpowiedzi na pytanie „Po co chcesz to wiedzieć?” serwują skomplikowane klauzule informacyjne. Nie przymierzając, jak ten randkowicz właśnie, który w pierwszych wiadomościach prosi o nagie zdjęcie i dziwi się, że druga strona nie czuje się z tym komfortowo. W tym kontekście nowe przepisy zawarte w RODO można uznać za naukę savoir-vivre’u dla firm.

Dialog w ludzkim języku

Jednym z fundamentów rozporządzenia jest zasada przejrzystości, którą można sprowadzić do kilku wytycznych:

• każdy, kto przetwarza dane (nie tylko na ogólnym poziomie, ale też w ważnych szczegółach, takich jak profilowanie), musi o tym informować;
• wszystkie informacje związane z przetwarzaniem danych powinny być łatwo dostępne i zrozumiałe (tj. sformułowane prostym językiem);
• informacje powinny być też przekazywane w odpowiednim momencie (np. przed udostępnieniem danych osobowych, jeśli może to wpłynąć na tę decyzję).

Tyle teorii. Czemu te wszystkie informacje mają służyć w praktyce? W mediach słychać głos biznesu straszącego zalewem informacji w związku z RODO (klauzule informacyjne na dwie strony A4, pop-upy na każdej stronie, rozbudowane polityki prywatności). W tej dyskusji nietrudno poczuć jak ktoś, kto z etapu ekscentrycznej randki nieopacznie przeszedł w przemocowy związek. Dopóki relacja była asymetryczna, ale słabsza strona nie mogła się bronić, był względny spokój. Teraz – kiedy prawo daje nam nowe narzędzia w relacjach z firmami – jesteśmy straszeni, że „to wszystko popsuje”.

Otwarty dialog firm z klientami to szansa na lepszą i trwałą relację, której podstawą będzie zaufanie.

W Panoptykonie jesteśmy przekonani, że otwarty dialog firm z klientami na temat przetwarzanych danych ma sens wykraczający poza wywiązanie się z prawnego obowiązku. To szansa na lepszą i trwałą relację, której podstawą będzie zaufanie, a nie – jak to bywało do tej pory – wyłudzanie danych i eksploatowanie naszej niewiedzy (w tym kontekście naprawdę zdziwił nas pomysł ograniczenia obowiązków informacyjnych dla małych i średnich przedsiębiorstw, lansowany przez Ministerstwo Rozwoju).

Warto powalczyć o taką nową jakość, bo nasze związki z aplikacjami i platformami internetowymi mają coraz poważniejszy charakter. Od ich podejścia do danych – rzetelności i poprawności, szczelności technicznych zabezpieczeń, przestrzegania prawnych i etycznych ograniczeń – może zależeć to, czy znajdziemy dobrą pracę, dostaniemy kredyt w banku albo potrzebną nam usługę po uczciwej cenie.

Partnerska relacja według RODO: co mamy prawo wiedzieć?

Firma, która proponuje nam partnerską relację, powinna wyłożyć karty na stół już na pierwszej randce. To wcale nie oznacza, że powinna nas zmuszać do przebrnięcia przez długą politykę prywatności czy atakować irytującymi pop-upami. Wręcz przeciwnie: powinna znaleźć przyjazny sposób przekazania najważniejszych informacji. W kolejnych punktach wyjaśniamy, jakie informacje mają znaczenie i kiedy powinny do nas trafić.

Wszystkie karty na stół! Moment szczerości po stronie administratora

Zanim się zaangażujemy – czyli przekażemy dane w nowe ręce – mamy prawo ocenić ryzyko związane z tą relacją. Żeby to zrobić, musimy wiedzieć kilka rzeczy.

• Kim tak naprawdę jest podmiot, z którym zamierzamy się związać?
• Czy jest godny zaufania? Jakie ma cele i co w tej relacji będzie próbował osiągnąć?
• Czy uznał, że jego „uzasadnione interesy” przeważają nad naszymi prawami i w związku z tym może wykorzystać nasze dane np. w celach marketingowych?
• Czy będzie próbował wpływać na nasze zachowanie (np. poprzez targetowaną reklamę)?
• Czy będzie nas profilować (przewidywać nasze zachowanie lub ustalać cechy) i na tej podstawie podejmować decyzje, a jeśli tak – wedle jakiej logiki? Czy nie ma w tym ryzyka dyskryminacji albo trudnych do zweryfikowania błędów?
• Czy zamierza przekazywać nasze dane innym podmiotom (np. współpracującym z nim brokerom danych, instytucjom finansowym, firmom badawczym, innym usługodawcom)? Czy jest w stanie przewidzieć i uzasadnić okres przetwarzania danych?
• Czy potrafi nasze dane dobrze zabezpieczyć?

Sygnałem ostrzegawczym mogą być np. nieprecyzyjne kryteria wpływające na okres przetwarzania danych.

Nie wszystkie odpowiedzi na powyższe pytania będą podane na tacy, ale katalog obowiązkowych informacji wynikający z RODO pozwala wyczuć, gdzie jest problem i co warto sprawdzić. Sygnałem ostrzegawczym mogą być np. nieprecyzyjne kryteria wpływające na okres przetwarzania danych albo ogólna informacja o zautomatyzowanym podejmowaniu decyzji bez dalszych szczegółów.

Moment na przemyślenie konsekwencji

Możliwość samodzielnej oceny ryzyka to podstawa partnerskiej relacji, ale to jeszcze nie koniec „gry wstępnej”, jaką proponuje RODO. Przed podjęciem decyzji o przekazaniu danych powinien się jeszcze pojawić moment na przemyślenie konsekwencji i zrozumienie kontekstu, w jakim dochodzi do tej transakcji.

W praktyce nie zawsze mamy wybór, czy i w jakim stopniu chcemy się zaangażować. Podanie pewnych danych może być konieczne do świadczenia usługi, której akurat potrzebujemy (np. udzielenia kredytu) albo przeprowadzenia ważnego dla nas procesu (np. rekrutacji). Czasem obowiązek ich podania wynika z obowiązującego prawa (np. podatkowego, bankowego). W takich przypadkach, jeśli odmówimy podania danych, musimy się liczyć z konsekwencjami (np. odrzuceniem wniosku o kredyt, odrzuceniem zgłoszenia, kontrolą skarbową). Jeśli jednak konkretna relacja opiera się na naszej zgodzie, powinniśmy mieć świadomość, że w każdej chwili możemy ją wycofać.

Zrozumienie tych czynników może mieć wpływ na naszą decyzję o przekazaniu danych (raczej pozytywny niż negatywny). Dlatego poinformowanie o nich leży w interesie samego administratora i powinno się dokonać najpóźniej w momencie przekazywania danych.

Moment na uświadomienie możliwości, jakie daje prawo

Bez świadomości własnych uprawnień nie jesteśmy w stanie skutecznie się bronić.

Nawet w dobrej relacji zdarzają się nieporozumienia i zakręty. Czasem coś się psuje na dobre i chcemy z niej wyjść albo szukamy wsparcia na zewnątrz. RODO przewiduje również ten scenariusz i daje nam szereg uprawnień, z których możemy skorzystać: od podstawowego prawa dostępu do własnych danych, poprzez ich skorygowanie lub przeniesienie, aż po prawo wniesienia sprzeciwu wobec przetwarzania i skargi do organu nadzorczego. Jednak żeby móc z nich skorzystać, musimy dowiedzieć się o ich istnieniu. Bez świadomości własnych uprawnień nie jesteśmy w stanie skutecznie się bronić.

RODO wychodzi z założenia, że uświadamiać w tym zakresie powinien nas przede wszystkim ten, kto przetwarza nasze dane osobowe. Zgodnie z literą prawa powinien to zrobić jeszcze na etapie pozyskiwania danych. W praktyce to może być trudne, a nawet przeciwskuteczne, bo natłok informacji nie służy ich przyswajaniu. W tej swoistej edukacji obywatelskiej większe znaczenie niż moment podania informacji będzie miała ich jakość i sposób podania. A więc nie chodzi o suche przepisanie ustawy, ale o rzetelne wyjaśnienie, jakie mamy prawa i w jaki sposób możemy z nich skorzystać w relacji z tą konkretną firmą (np. poprzez wypełnienie formularza dostępnego na stronie, kliknięcie w podany link, wejście we wskazane ustawienia prywatności).

Ostrzeżenie o zmianie celu

W partnerskiej relacji nie ma miejsca na nieprzyjemne zaskoczenia. Jeśli administrator, któremu powierzyliśmy dane w konkretnym celu (np. zrealizowania umowy, na której nam zależało), wpadł na nowy pomysł i w związku z tym chciałby wykorzystać nasze dane w innym celu (np. do badań nad nowym produktem czy też w celach marketingowych), powinien nas o tym poinformować. Oczywiście, zanim od pomysłu przejdzie do działania i z poszanowaniem naszego prawa do powiedzenia „nie” (zgodnie z RODO mamy prawo w takiej sytuacji zgłosić sprzeciw).

Moment na ujawnienie się

A co w sytuacji, kiedy nie było „pierwszej randki” ani czasu na nawiązanie relacji, ponieważ dane na nasz temat trafiły do bazy administratora z innego źródła? Cóż, lepiej późno niż wcale! Administrator, który pozyskał nasze dane z innego źródła, musi się nam przedstawić w rozsądnym terminie (ale nie później niż w ciągu miesiąca od pozyskania danych). Poza standardowymi informacjami, o których była mowa powyżej, powinien nas powiadomić o tym: (1) jakie kategorie danych o nas przetwarza, (2) z jakiego źródła one pochodzą (także jeśli są to źródła publicznie dostępne). Ten obowiązek istnieje już dziś, ale jest uporczywie ignorowany przez firmy nastawione na wyłudzanie i eksploatację danych. Czy po 25 maja, zmotywowani groźbą wysokich kar, ci wszyscy brokerzy danych schowani na zapleczu Internetu i spamujący nas marketerzy zdecydują się ujawnić, czy też raczej zrobią porządki w swoich bazach? Zobaczymy.

Katarzyna Szymielewicz

Współpraca: Karolina Iwańska, Maria Wróblewska

Polecamy:

Panoptykon: RODO na tacy

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż nam 1% swojego podatku (KRS: 0000327613).