Brak reakcji na wniosek o udostępnienie (kopii) danych osobowych

Na czym polega ta praktyka?

Nietrudno ją skojarzyć z ciemnymi czasami polskiej biurokracji. W sprawie, której załatwienie powinno być proste, wysyłasz wniosek. Cierpliwie czekasz, licząc jeszcze na pozytywne rozstrzygnięcie. Nic się jednak nie dzieje. Dzwonisz, piszesz, uzupełniasz informacje (jeśli Cię o to proszą). Procedura trwa, ale Twoja sprawa nadal nie jest załatwiona.

Ten scenariusz w wykonaniu firm, które używają ładnych interfejsów, e-maili i elektronicznych formularzy, może być przyjemniejszy, ale – jak pokazuje nasze doświadczenie – niekoniecznie szybszy. Jeśli po 30 dniach oczekiwania nadal nie masz kopii swoich danych od firmy, która je przetwarza, masz prawo do frustracji. Szczególnie jeśli zaczęło się od zachęcającego maila z informacją: „Przetwarzamy Twoje dane osobowe; jeśli chcesz się dowiedzieć więcej, napisz do nas!”. Co z tego, że już wiemy, że o kopię swoich danych możemy poprosić, skoro nadal nie mamy jej w skrzynce mailowej?

Na własnej skórze przekonaliśmy się o tym, korespondując w lipcu z portalami internetowymi – bo to o nich będzie mowa w tym odcinku Subiektywnego przeglądu (złych i dobrych) praktyk. Onet, Interia i Wirtualna Polska (najpopularniejsze polskie portale informacyjne, z których sami korzystamy) w ramach wdrożenia RODO poinformowały nas, że (nadal) chciałyby wyświetlać nam profilowane treści i reklamy. Wiadomo, z czegoś muszą się utrzymywać. Drążąc temat, postanowiliśmy sprawdzić, jakie dane osobowe w związku z tym przetwarzają i jak wygląda nasz mityczny profil marketingowy. Skoro już mamy oglądać reklamy i treści dobrane do naszych zainteresowań, warto wiedzieć, czym się według tych portali interesujemy. Wydaje się to logiczne – ale w praktyce pójście tym tropem wcale nie jest proste. Sami zobaczcie.

• 19 lipca. Karolina wysyła wniosek z pytaniem o swoje dane; identyfikuje się na podstawie plików cookies, które znalazła na swoim urządzeniu.

• 1 sierpnia. Jest reakcja! I pierwsza przeszkoda: portal żąda wypełnienia i wysłania (pierwotnie listem poleconym, po mailowym dopytaniu, czy to rzeczywiście konieczne, już tylko w formie skanu) oświadczenia, w którym Karolina „pod rygorem odpowiedzialności karnej” (sic!) oświadcza m.in., że „składa wniosek o realizację prawa dostępu w dobrej wierze i że nie dokonała ingerencji w zasoby plików cookies udostępnionych [przez nią] interia.pl”.

• 7 sierpnia. Karolina wysyła skan oświadczenia, że nie ingerowała w pliki cookies i jest świadoma odpowiedzialności karnej. Uff!

• 10 sierpnia. Mimo oświadczenia Karoliny portal dalej drąży wątek cookies. Prosi o informację, czy: „W czasie pobrania plików cookies (które Pani następnie nam przekazała) używała Pani programu blokującego typu Adblock lub podobnego lub trybu prywatnego w przeglądarce”.

• Karolina odpowiada: żadnego Adblocka, żadnego trybu incognito!

• 13 sierpnia. Wyjaśnienia Karoliny zostały przyjęte, ale pojawia się kolejna przeszkoda. Portal informuje, że „w związku ze skomplikowanym charakterem żądania lub liczby żądań na zasadzie art. 12 ust. 3 RODO” wydłuża termin procesowania wniosku o kolejne dwa miesiące (!).

• Karolina nie odpuszcza. 13 sierpnia prosi o wyjaśnienie, na czym polega skomplikowany charakter jej żądania.

• 15 sierpnia portal odpowiada: „Żądanie jest skomplikowane w tym sensie, że dotyczy wniosku osoby, która nie jest przez nas identyfikowalna. Innymi słowy poza rozpoznaniem urządzenia końcowego nie mamy za wiele informacji, które potrafilibyśmy przypisać tylko i wyłącznie do tego komputera”.

• Karolina czeka dalej. Może jej profil marketingowy jednak się znajdzie?

• Aktualizacja (10.09.2018): Kilka dni po opublikowaniu tego tekstu Karolina otrzymała częściową odpowiedź na swój wniosek.

• 25 lipca. Wojtek wysyła wniosek o swoje dane; identyfikuje się za pomocą należącego do niego konta pocztowego w domenie wp.pl.

• 29 lipca. Jest reakcja! I rozczarowanie: portal odsyła Wojtka do ogólnych zasad ochrony danych osobowych na swojej stronie. Na odchodne dorzuca formułkę, której nie powstydziłby się urząd skarbowy: „W razie konieczności uzupełnienia informacji lub dodatkowych pytań proszę o skorzystanie z opcji odpowiedzi na tę wiadomość i udzielenie dodatkowych informacji: nazwy serwisu lub usługi, jakiej dotyczy wniosek (np. poczta wp.pl), oraz czy mają Państwo aktywne konto w serwisie, którego dotyczy wniosek (…)”.

• 3 sierpnia. Wojtek cierpliwie wyjaśnia, że naprawdę chodzi mu wyłącznie o jego dane osobowe przetwarzane przez WP, a nie o link do polityki prywatności.

• Brak odpowiedzi.

• Aktualizacja (10.09.2018): Wojtek wciąż nie doczekał się odpowiedzi.

• 30 lipca. Maria wysyła wniosek z pytaniem o swoje dane; identyfikuje się na podstawie plików cookies, które znalazła na swoim urządzeniu.

• Minęło 30 dni bez żadnej reakcji. Powodów możemy się jedynie domyślać.

• Aktualizacja (10.09.2018): Brak odpowiedzi ze strony Onetu był spowodowany tym, że portal przyjął inną datę jako termin wpłynięcia wniosku. Kilka dni po publikacji tego artykułu Onet skontaktował się z nami i poinformował, że – jego zdaniem  – ten termin upływa 9 września. Dlaczego? Otóż 9 sierpnia Maria zorientowała się, że w treści wniosku, który przesłała jako załącznik drogą elektroniczną, nie podała swojego adresu e-mail. Tego samego dnia uzupełniła wniosek, przesyłając załącznik jeszcze raz. To drobne uzupełnienie (poza dodaniem adresu e-mail Maria nie wprowadziła innych zmian) zostało przez Onet potraktowane jako zupełnie nowy wniosek. Trudno nam się zgodzić z taką interpretacją, ale cieszymy się, że prośba Marii nie pozostała bez odpowiedzi – 9 września portal przesłał częściową odpowiedź na wniosek.

Jak to się ma do RODO?

Zgodnie z art. 15 RODO mamy prawo dowiedzieć się od administratora:

• jakie (nasze) dane osobowe przetwarza?
• w jakim celu?
• jak długo będą przechowywane?
• jakim odbiorcom zostały lub zostaną ujawnione?
• z jakich źródeł pochodzą (jeśli nie od nas bezpośrednio)?
• czy w grę wchodzi podejmowanie zautomatyzowanych decyzji, a jeśli tak, jakie są zasady ich podejmowania i jakie może to mieć dla nas konsekwencje?

Mamy też prawo do kopii swoich danych osobowych. Co ważne: nie tylko tych, które sami udostępniliśmy, ale wszystkich, które są przetwarzane. A więc również tych danych, które zostały wygenerowane na podstawie obserwacji tego, co robimy, albo analizy statystycznej. Takie wygenerowane dane to np. nasz profil marketingowy czy wynik scoringu w Biurze Informacji Kredytowej.

Przypominamy, jak zażądać informacji o przetwarzanych danych [krok po kroku].

Na pytania o przetwarzane dane i żądanie udostępnienia ich kopii administrator ma obowiązek zareagować w ciągu 30 dni. Może ten termin przedłużyć o kolejne dwa miesiące, jeśli żądanie ma charakter skomplikowany albo dostał dużo więcej podobnych żądań i nie ma zasobów, żeby je obsłużyć. W każdym przypadku powinien się jednak odezwać w ciągu 30 dni i podać przyczynę opóźnienia.

Odmówić udostępnienia danych administrator może tylko wyjątkowo – jeśli jest w stanie wykazać, że takie żądanie jest „ewidentnie nieuzasadnione lub nadmierne” (np. dlatego, że dopiero co dostał od nas i odpowiedział na identyczne zapytanie). Nie może tak po prostu zignorować naszego żądania. Przynajmniej w teorii.

Co dalej?

Prawo do informacji o przetwarzanych danych (i do uzyskania ich kopii!) to podstawa w relacji z administratorem. Bez tej wiedzy nie jesteśmy w stanie realizować innych uprawnień (np. prawa do usunięcia czy poprawienia danych), nie wspominając już o bardziej zaawansowanych krokach, takich jak pytanie o logikę automatycznie podejmowanych decyzji. Dla administratora wypełnienie tego obowiązku nie powinno być uciążliwe. Jeśli rzeczywiście nie przetwarza danych osobowych, powinien to przyznać. Jeśli je przetwarza i komercjalizuje – z pewnością ma techniczną możliwość, by taki profil wygenerować i pokazać.

Dlatego nie mamy zamiaru odpuszczać i szykujemy się do przetestowania kroków prawnych. Jeśli i Wam się nie udało wydobyć swoich danych od firmy, która prawdopodobnie je przetwarza, przypominamy, jak złożyć skargę do Prezesa UODO lub pozew do sądu [krok po kroku].

Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk.

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.