Poradnik 31.08.2018 10 min. czytania Tekst Na czym polega ta praktyka? Nietrudno ją skojarzyć z ciemnymi czasami polskiej biurokracji. W sprawie, której załatwienie powinno być proste, wysyłasz wniosek. Cierpliwie czekasz, licząc jeszcze na pozytywne rozstrzygnięcie. Nic się jednak nie dzieje. Dzwonisz, piszesz, uzupełniasz informacje (jeśli Cię o to proszą). Procedura trwa, ale Twoja sprawa nadal nie jest załatwiona. Ten scenariusz w wykonaniu firm, które używają ładnych interfejsów, e-maili i elektronicznych formularzy, może być przyjemniejszy, ale – jak pokazuje nasze doświadczenie – niekoniecznie szybszy. Jeśli po 30 dniach oczekiwania nadal nie masz kopii swoich danych od firmy, która je przetwarza, masz prawo do frustracji. Szczególnie jeśli zaczęło się od zachęcającego maila z informacją: „Przetwarzamy Twoje dane osobowe; jeśli chcesz się dowiedzieć więcej, napisz do nas!”. Co z tego, że już wiemy, że o kopię swoich danych możemy poprosić, skoro nadal nie mamy jej w skrzynce mailowej? Na własnej skórze przekonaliśmy się o tym, korespondując w lipcu z portalami internetowymi – bo to o nich będzie mowa w tym odcinku Subiektywnego przeglądu (złych i dobrych) praktyk. Onet, Interia i Wirtualna Polska (najpopularniejsze polskie portale informacyjne, z których sami korzystamy) w ramach wdrożenia RODO poinformowały nas, że (nadal) chciałyby wyświetlać nam profilowane treści i reklamy. Wiadomo, z czegoś muszą się utrzymywać. Drążąc temat, postanowiliśmy sprawdzić, jakie dane osobowe w związku z tym przetwarzają i jak wygląda nasz mityczny profil marketingowy. Skoro już mamy oglądać reklamy i treści dobrane do naszych zainteresowań, warto wiedzieć, czym się według tych portali interesujemy. Wydaje się to logiczne – ale w praktyce pójście tym tropem wcale nie jest proste. Sami zobaczcie. 19 lipca. Karolina wysyła wniosek z pytaniem o swoje dane; identyfikuje się na podstawie plików cookies, które znalazła na swoim urządzeniu. 1 sierpnia. Jest reakcja! I pierwsza przeszkoda: portal żąda wypełnienia i wysłania (pierwotnie listem poleconym, po mailowym dopytaniu, czy to rzeczywiście konieczne, już tylko w formie skanu) oświadczenia, w którym Karolina „pod rygorem odpowiedzialności karnej” (sic!) oświadcza m.in., że „składa wniosek o realizację prawa dostępu w dobrej wierze i że nie dokonała ingerencji w zasoby plików cookies udostępnionych [przez nią] interia.pl”. 7 sierpnia. Karolina wysyła skan oświadczenia, że nie ingerowała w pliki cookies i jest świadoma odpowiedzialności karnej. Uff! 10 sierpnia. Mimo oświadczenia Karoliny portal dalej drąży wątek cookies. Prosi o informację, czy: „W czasie pobrania plików cookies (które Pani następnie nam przekazała) używała Pani programu blokującego typu Adblock lub podobnego lub trybu prywatnego w przeglądarce”. Karolina odpowiada: żadnego Adblocka, żadnego trybu incognito! 13 sierpnia. Wyjaśnienia Karoliny zostały przyjęte, ale pojawia się kolejna przeszkoda. Portal informuje, że „w związku ze skomplikowanym charakterem żądania lub liczby żądań na zasadzie art. 12 ust. 3 RODO” wydłuża termin procesowania wniosku o kolejne dwa miesiące (!). Karolina nie odpuszcza. 13 sierpnia prosi o wyjaśnienie, na czym polega skomplikowany charakter jej żądania. 15 sierpnia portal odpowiada: „Żądanie jest skomplikowane w tym sensie, że dotyczy wniosku osoby, która nie jest przez nas identyfikowalna. Innymi słowy poza rozpoznaniem urządzenia końcowego nie mamy za wiele informacji, które potrafilibyśmy przypisać tylko i wyłącznie do tego komputera”. Karolina czeka dalej. Może jej profil marketingowy jednak się znajdzie? Aktualizacja (10.09.2018): Kilka dni po opublikowaniu tego tekstu Karolina otrzymała częściową odpowiedź na swój wniosek. 25 lipca. Wojtek wysyła wniosek o swoje dane; identyfikuje się za pomocą należącego do niego konta pocztowego w domenie wp.pl. 29 lipca. Jest reakcja! I rozczarowanie: portal odsyła Wojtka do ogólnych zasad ochrony danych osobowych na swojej stronie. Na odchodne dorzuca formułkę, której nie powstydziłby się urząd skarbowy: „W razie konieczności uzupełnienia informacji lub dodatkowych pytań proszę o skorzystanie z opcji odpowiedzi na tę wiadomość i udzielenie dodatkowych informacji: nazwy serwisu lub usługi, jakiej dotyczy wniosek (np. poczta wp.pl), oraz czy mają Państwo aktywne konto w serwisie, którego dotyczy wniosek (…)”. 3 sierpnia. Wojtek cierpliwie wyjaśnia, że naprawdę chodzi mu wyłącznie o jego dane osobowe przetwarzane przez WP, a nie o link do polityki prywatności. Brak odpowiedzi. Aktualizacja (10.09.2018): Wojtek wciąż nie doczekał się odpowiedzi. 30 lipca. Maria wysyła wniosek z pytaniem o swoje dane; identyfikuje się na podstawie plików cookies, które znalazła na swoim urządzeniu. Minęło 30 dni bez żadnej reakcji. Powodów możemy się jedynie domyślać. Aktualizacja (10.09.2018): Brak odpowiedzi ze strony Onetu był spowodowany tym, że portal przyjął inną datę jako termin wpłynięcia wniosku. Kilka dni po publikacji tego artykułu Onet skontaktował się z nami i poinformował, że – jego zdaniem – ten termin upływa 9 września. Dlaczego? Otóż 9 sierpnia Maria zorientowała się, że w treści wniosku, który przesłała jako załącznik drogą elektroniczną, nie podała swojego adresu e-mail. Tego samego dnia uzupełniła wniosek, przesyłając załącznik jeszcze raz. To drobne uzupełnienie (poza dodaniem adresu e-mail Maria nie wprowadziła innych zmian) zostało przez Onet potraktowane jako zupełnie nowy wniosek. Trudno nam się zgodzić z taką interpretacją, ale cieszymy się, że prośba Marii nie pozostała bez odpowiedzi – 9 września portal przesłał częściową odpowiedź na wniosek. Jak to się ma do RODO? Zgodnie z art. 15 RODO mamy prawo dowiedzieć się od administratora: jakie (nasze) dane osobowe przetwarza? w jakim celu? jak długo będą przechowywane? jakim odbiorcom zostały lub zostaną ujawnione? z jakich źródeł pochodzą (jeśli nie od nas bezpośrednio)? czy w grę wchodzi podejmowanie zautomatyzowanych decyzji, a jeśli tak, jakie są zasady ich podejmowania i jakie może to mieć dla nas konsekwencje? Mamy też prawo do kopii swoich danych osobowych. Co ważne: nie tylko tych, które sami udostępniliśmy, ale wszystkich, które są przetwarzane. A więc również tych danych, które zostały wygenerowane na podstawie obserwacji tego, co robimy, albo analizy statystycznej. Takie wygenerowane dane to np. nasz profil marketingowy czy wynik scoringu w Biurze Informacji Kredytowej. Przypominamy, jak zażądać informacji o przetwarzanych danych [krok po kroku]. Na pytania o przetwarzane dane i żądanie udostępnienia ich kopii administrator ma obowiązek zareagować w ciągu 30 dni. Może ten termin przedłużyć o kolejne dwa miesiące, jeśli żądanie ma charakter skomplikowany albo dostał dużo więcej podobnych żądań i nie ma zasobów, żeby je obsłużyć. W każdym przypadku powinien się jednak odezwać w ciągu 30 dni i podać przyczynę opóźnienia. Odmówić udostępnienia danych administrator może tylko wyjątkowo – jeśli jest w stanie wykazać, że takie żądanie jest „ewidentnie nieuzasadnione lub nadmierne” (np. dlatego, że dopiero co dostał od nas i odpowiedział na identyczne zapytanie). Nie może tak po prostu zignorować naszego żądania. Przynajmniej w teorii. Co dalej? Prawo do informacji o przetwarzanych danych (i do uzyskania ich kopii!) to podstawa w relacji z administratorem. Bez tej wiedzy nie jesteśmy w stanie realizować innych uprawnień (np. prawa do usunięcia czy poprawienia danych), nie wspominając już o bardziej zaawansowanych krokach, takich jak pytanie o logikę automatycznie podejmowanych decyzji. Dla administratora wypełnienie tego obowiązku nie powinno być uciążliwe. Jeśli rzeczywiście nie przetwarza danych osobowych, powinien to przyznać. Jeśli je przetwarza i komercjalizuje – z pewnością ma techniczną możliwość, by taki profil wygenerować i pokazać. Dlatego nie mamy zamiaru odpuszczać i szykujemy się do przetestowania kroków prawnych. Jeśli i Wam się nie udało wydobyć swoich danych od firmy, która prawdopodobnie je przetwarza, przypominamy, jak złożyć skargę do Prezesa UODO lub pozew do sądu [krok po kroku]. Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk. Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon. Anna Obem Autorka Temat reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Podcast Dzień Ochrony Danych Osobowych – czy RODO zdało egzamin? Rozmowa z dr. Pawłem Litwińskim 28 stycznia obchodzimy Dzień Ochrony Danych Osobowych. Z tej okazji Wojciech Klicki rozmawia z Pawłem Litwińskim, wiodącym ekspertem prawa ochrony danych osobowych. „Zgodoza” i podchodzenie w biurokratyczny sposób do RODO, ale także niewydolność organów zajmujących się ochroną danych osobowych w… 27.01.2022 Dźwięk Artykuł Oceń branżowy kodeks postępowania Wraz z wejściem w życie RODO do rąk naszego zespołu trafiło zaproszenie do konsultacji kodeksu postępowania wystosowane przez sektor bankowy. Przyjęliśmy je natychmiast, a tekstem kodeksu postanowiliśmy podzielić się również z Wami, jako że bezpośrednio po 25 maja dostaliśmy sporo pytań… 16.07.2020 Tekst Artykuł Jak Polska walczy z koronawirusem i dlaczego aplikacja nas przed nim nie ochroni? W środę (29 kwietnia) rządzący znów postawili Internet na nogi, zapowiadając pierwszy krok w kierunku rozmrożenia gospodarki: otwarcie centrów handlowych. Jednak pod jednym warunkiem: ludzie szturmujący sklepy mieli być zachęcani do instalowania rządowej aplikacji ProteGO Safe, która szacuje ryzyko… 05.05.2020 Tekst