Brak reakcji na wniosek o udostępnienie (kopii) danych osobowych

Artykuł

Na czym polega ta praktyka?

Nietrudno ją skojarzyć z ciemnymi czasami polskiej biurokracji. W sprawie, której załatwienie powinno być proste, wysyłasz wniosek. Cierpliwie czekasz, licząc jeszcze na pozytywne rozstrzygnięcie. Nic się jednak nie dzieje. Dzwonisz, piszesz, uzupełniasz informacje (jeśli Cię o to proszą). Procedura trwa, ale Twoja sprawa nadal nie jest załatwiona.

Ten scenariusz w wykonaniu firm, które używają ładnych interfejsów, e-maili i elektronicznych formularzy, może być przyjemniejszy, ale – jak pokazuje nasze doświadczenie – niekoniecznie szybszy. Jeśli po 30 dniach oczekiwania nadal nie masz kopii swoich danych od firmy, która je przetwarza, masz prawo do frustracji. Szczególnie jeśli zaczęło się od zachęcającego maila z informacją: „Przetwarzamy Twoje dane osobowe; jeśli chcesz się dowiedzieć więcej, napisz do nas!”. Co z tego, że już wiemy, że o kopię swoich danych możemy poprosić, skoro nadal nie mamy jej w skrzynce mailowej?

Na własnej skórze przekonaliśmy się o tym, korespondując w lipcu z portalami internetowymi – bo to o nich będzie mowa w tym odcinku Subiektywnego przeglądu (złych i dobrych) praktyk. Onet, Interia i Wirtualna Polska (najpopularniejsze polskie portale informacyjne, z których sami korzystamy) w ramach wdrożenia RODO poinformowały nas, że (nadal) chciałyby wyświetlać nam profilowane treści i reklamy. Wiadomo, z czegoś muszą się utrzymywać. Drążąc temat, postanowiliśmy sprawdzić, jakie dane osobowe w związku z tym przetwarzają i jak wygląda nasz mityczny profil marketingowy. Skoro już mamy oglądać reklamy i treści dobrane do naszych zainteresowań, warto wiedzieć, czym się według tych portali interesujemy. Wydaje się to logiczne – ale w praktyce pójście tym tropem wcale nie jest proste. Sami zobaczcie.

  • 19 lipca. Karolina wysyła wniosek z pytaniem o swoje dane; identyfikuje się na podstawie plików cookies, które znalazła na swoim urządzeniu.

  • 1 sierpnia. Jest reakcja! I pierwsza przeszkoda: portal żąda wypełnienia i wysłania (pierwotnie listem poleconym, po mailowym dopytaniu, czy to rzeczywiście konieczne, już tylko w formie skanu) oświadczenia, w którym Karolina „pod rygorem odpowiedzialności karnej” (sic!) oświadcza m.in., że „składa wniosek o realizację prawa dostępu w dobrej wierze i że nie dokonała ingerencji w zasoby plików cookies udostępnionych [przez nią] interia.pl”.

  • 7 sierpnia. Karolina wysyła skan oświadczenia, że nie ingerowała w pliki cookies i jest świadoma odpowiedzialności karnej. Uff!

  • 10 sierpnia. Mimo oświadczenia Karoliny portal dalej drąży wątek cookies. Prosi o informację, czy: „W czasie pobrania plików cookies (które Pani następnie nam przekazała) używała Pani programu blokującego typu Adblock lub podobnego lub trybu prywatnego w przeglądarce”.

  • Karolina odpowiada: żadnego Adblocka, żadnego trybu incognito!

  • 13 sierpnia. Wyjaśnienia Karoliny zostały przyjęte, ale pojawia się kolejna przeszkoda. Portal informuje, że „w związku ze skomplikowanym charakterem żądania lub liczby żądań na zasadzie art. 12 ust. 3 RODO” wydłuża termin procesowania wniosku o kolejne dwa miesiące (!).

  • Karolina nie odpuszcza. 13 sierpnia prosi o wyjaśnienie, na czym polega skomplikowany charakter jej żądania.

  • 15 sierpnia portal odpowiada: „Żądanie jest skomplikowane w tym sensie, że dotyczy wniosku osoby, która nie jest przez nas identyfikowalna. Innymi słowy poza rozpoznaniem urządzenia końcowego nie mamy za wiele informacji, które potrafilibyśmy przypisać tylko i wyłącznie do tego komputera”.

  • Karolina czeka dalej. Może jej profil marketingowy jednak się znajdzie?

  • Aktualizacja (10.09.2018): Kilka dni po opublikowaniu tego tekstu Karolina otrzymała częściową odpowiedź na swój wniosek.

 

  • 25 lipca. Wojtek wysyła wniosek o swoje dane; identyfikuje się za pomocą należącego do niego konta pocztowego w domenie wp.pl.

  • 29 lipca. Jest reakcja! I rozczarowanie: portal odsyła Wojtka do ogólnych zasad ochrony danych osobowych na swojej stronie. Na odchodne dorzuca formułkę, której nie powstydziłby się urząd skarbowy: „W razie konieczności uzupełnienia informacji lub dodatkowych pytań proszę o skorzystanie z opcji odpowiedzi na tę wiadomość i udzielenie dodatkowych informacji: nazwy serwisu lub usługi, jakiej dotyczy wniosek (np. poczta wp.pl), oraz czy mają Państwo aktywne konto w serwisie, którego dotyczy wniosek (…)”.

  • 3 sierpnia. Wojtek cierpliwie wyjaśnia, że naprawdę chodzi mu wyłącznie o jego dane osobowe przetwarzane przez WP, a nie o link do polityki prywatności.

  • Brak odpowiedzi.

  • Aktualizacja (10.09.2018): Wojtek wciąż nie doczekał się odpowiedzi.

 

  • 30 lipca. Maria wysyła wniosek z pytaniem o swoje dane; identyfikuje się na podstawie plików cookies, które znalazła na swoim urządzeniu.

  • Minęło 30 dni bez żadnej reakcji. Powodów możemy się jedynie domyślać.

  • Aktualizacja (10.09.2018): Brak odpowiedzi ze strony Onetu był spowodowany tym, że portal przyjął inną datę jako termin wpłynięcia wniosku. Kilka dni po publikacji tego artykułu Onet skontaktował się z nami i poinformował, że – jego zdaniem  – ten termin upływa 9 września. Dlaczego? Otóż 9 sierpnia Maria zorientowała się, że w treści wniosku, który przesłała jako załącznik drogą elektroniczną, nie podała swojego adresu e-mail. Tego samego dnia uzupełniła wniosek, przesyłając załącznik jeszcze raz. To drobne uzupełnienie (poza dodaniem adresu e-mail Maria nie wprowadziła innych zmian) zostało przez Onet potraktowane jako zupełnie nowy wniosek. Trudno nam się zgodzić z taką interpretacją, ale cieszymy się, że prośba Marii nie pozostała bez odpowiedzi – 9 września portal przesłał częściową odpowiedź na wniosek.

 

Jak to się ma do RODO?

Zgodnie z art. 15 RODO mamy prawo dowiedzieć się od administratora:

  • jakie (nasze) dane osobowe przetwarza?
  • w jakim celu?
  • jak długo będą przechowywane?
  • jakim odbiorcom zostały lub zostaną ujawnione?
  • z jakich źródeł pochodzą (jeśli nie od nas bezpośrednio)?
  • czy w grę wchodzi podejmowanie zautomatyzowanych decyzji, a jeśli tak, jakie są zasady ich podejmowania i jakie może to mieć dla nas konsekwencje?

Mamy też prawo do kopii swoich danych osobowych. Co ważne: nie tylko tych, które sami udostępniliśmy, ale wszystkich, które są przetwarzane. A więc również tych danych, które zostały wygenerowane na podstawie obserwacji tego, co robimy, albo analizy statystycznej. Takie wygenerowane dane to np. nasz profil marketingowy czy wynik scoringu w Biurze Informacji Kredytowej.

Przypominamy, jak zażądać informacji o przetwarzanych danych [krok po kroku].

Na pytania o przetwarzane dane i żądanie udostępnienia ich kopii administrator ma obowiązek zareagować w ciągu 30 dni. Może ten termin przedłużyć o kolejne dwa miesiące, jeśli żądanie ma charakter skomplikowany albo dostał dużo więcej podobnych żądań i nie ma zasobów, żeby je obsłużyć. W każdym przypadku powinien się jednak odezwać w ciągu 30 dni i podać przyczynę opóźnienia.

Odmówić udostępnienia danych administrator może tylko wyjątkowo – jeśli jest w stanie wykazać, że takie żądanie jest „ewidentnie nieuzasadnione lub nadmierne” (np. dlatego, że dopiero co dostał od nas i odpowiedział na identyczne zapytanie). Nie może tak po prostu zignorować naszego żądania. Przynajmniej w teorii.

Co dalej?

Prawo do informacji o przetwarzanych danych (i do uzyskania ich kopii!) to podstawa w relacji z administratorem. Bez tej wiedzy nie jesteśmy w stanie realizować innych uprawnień (np. prawa do usunięcia czy poprawienia danych), nie wspominając już o bardziej zaawansowanych krokach, takich jak pytanie o logikę automatycznie podejmowanych decyzji. Dla administratora wypełnienie tego obowiązku nie powinno być uciążliwe. Jeśli rzeczywiście nie przetwarza danych osobowych, powinien to przyznać. Jeśli je przetwarza i komercjalizuje – z pewnością ma techniczną możliwość, by taki profil wygenerować i pokazać.

Dlatego nie mamy zamiaru odpuszczać i szykujemy się do przetestowania kroków prawnych. Jeśli i Wam się nie udało wydobyć swoich danych od firmy, która prawdopodobnie je przetwarza, przypominamy, jak złożyć skargę do Prezesa UODO lub pozew do sądu [krok po kroku].

Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk.

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

No cóż, jeśli prawo dopuszcza wydłużenie procedury o dwa miesiące i te dwa miesiące jeszcze nie minęły, to o co robicie problem?

Szanowny "pleple" - ale aby te 2 miesiące mieć więcej potrzebna jest komunikacja z wnioskującym. Tutaj nie ma mowy o takiej komunikacji = źle.

Art. 12 ust. 3 RODO:
Administrator bez zbędnej zwłoki – a w każdym razie w terminie MIESIĄCA od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. W razie potrzeby termin ten można przedłużyć o kolejne DWA MIESIĄCE z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia (!). Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Podsumowując, nawet jak następuje wydłużenie do 2 miesięcy, to należy to uzasadnić. A PUODO dokonując kontroli bada, czy wnioski są realizowane w terminie. Jeżeli nie, to bada, z jakiego powodu doszło do opóźnienia i czy jest zachowana procedura informowania osoby o takim przedłużeniu.

Dokładnie, firma ma możliwość przedłużenia rozpatrzenia wniosku, ale po pierwsze - musi nas o tym poinformować w ciągu 30 dni od jego otrzymania, a po drugie - musi w tej samej wiadomości podać przyczyny opóźnienia. Nie wystarczy ogólna formułka z RODO, że żądanie ma charakter skomplikowany, tylko trzeba wyjaśnić na czym to skomplikowanie polega i dlaczego nie ma szans rozpatrzyć wniosku na czas. To dlatego w przypadku Interii o to dopytywaliśmy. Pozostałe firmy (Onet i WP) o ewentualnym opóźnieniu nas nie poinformowały w ogóle.

Przecież w cookies nie ma danych osobowych tylko identyfikatory przeglądarki i taki portal nie jest w stanie zidentyfikować konkretnej osoby.

Nie macie poważniejszych problemów, np. co na taką prośbę zrobi parafia, kuria, ZUS, banki, urzędy, szkoły, serwisy kredytowe. Co się stanie jeśli będziemy żądali prawa zapomnienia lub przenoszenia? Generalnie instytucje, które przechowują naprawdę sensytywne dane.
Wykorzystujcie inteligencję i wysiłki do poprawy naszego życia, a nie utrudniania go innym w celu szukania sensacji.

@Rank Frank: a co jeśli z analizy zestawu cookiesów (przykładowo we wniosku do Interii identyfikowaliśmy się za pomocą 77 plików cookie) wyłania się nasz profil behawioralny, który zawiera nasze dane demograficzne, zainteresowania i szczegółowe informacje o naszej aktywności w sieci? W efekcie dostajemy skrojone pod nas reklamy, a nasz profil żyje dalej i jest karmiony coraz to nowymi informacjami. Naszym zdaniem, jeśli przetwarzanie sprowadza się de facto do wyróżnienia nas z tłumu innych użytkowników i zaserwowania nam takiej reklamy a nie innej (innym osobom serwowane są inne reklamy), to mamy jak najbardziej do czynienia z danymi osobowymi. Żeby nie być gołosłowną, potwierdzają to też interpretacje wydawane przez Grupę Roboczą Art. 29 (tzw. koncepcja single out) - więcej na ten temat piszemy w uwagach do kodeksu branży reklamy internetowej: https://panoptykon.org/wiadomosc/branza-reklamowa-rodo-konsultujemy-kode...

@Wierzący w człowieka: Inne podmioty również testujemy pod kątem prawa dostępu (np. banki i serwisy kredytowe). Uzyskiwanie naszych profili behawioralnych to jednak nie drobiazg, bo takie profile mogą następnie żyć własnym życiem i być analizowane i wykorzystywane również przez inne firmy, np. właśnie banki, pracodawców czy ubezpieczycieli. W naszym małym zespole nie jesteśmy oczywiście w stanie przetestować wszystkich instytucji, dlatego zachęcamy do samodzielnych działań - w tym celu stworzyliśmy nawet specjalny poradnik krok po kroku (zalinkowany w tekście, ale przesyłam ponownie link: https://panoptykon.org/rodo-na-tacy-V).

pewnie ludzie z tych portali gdzieś nad piwem w Wawie siedzą gdzieś i myślą teraz, jak się pozbyć natrętów
i pewnie te ciasteczka bardzo łatwo ,,shakować'', znaczy podszyć się pod kogoś innego
w sumie to też nie rozumiem, jak ciastka mają identyfikować OSOBĘ, bo komputer to faktycznie mogą
co innego, jak user się loguje i z jego logiem powiązane są te ciastka

@Panoptykon Wyróżnienie z tłumu to nie jest przetwarzanie danych bo nie jesteście w stanie nie jesteście w stanie zidentyfikować danych konkretnej osoby, tylko anonimowy profil urządzenia a to może być kilka osób.

@FRANK RANK dokładnie tak, chociarz GDPR mieszając ludziom w głowach stwierdziła że to są dane osobowe! Zasiana jest fobia o swoje dane, jakoby agresywne firmy internetowe, wszystkie w jednym worku z google i fb, zbierały te dane i zaglądały nam do portfela czy mieszkania. A to przecież nie tak. Większość z nich dostarcza wartościowe usługi, z ktorych użytkownicy korzystają - bez opłat. Na pytanie czy chcą zapłacić odpowiadają krótko NIE. A GDPR daje możliwość nie płacenia, narzekania na firmy rządań do kosztownej obsługi i jeszcze zaprzestania dzielenia się wybiórczymi danymi z firmami, które w oparciu o nie sklejają model biznesowy przez profilowanie po nich, najczęsciej po danych behawioralnych, reklamy, która przez to staje się bardziej wartościowa. To co robią wywołane do tablicy portale, czy większość innych treściowych serwisów temetycznych, to zupełnie inny temat gatunkowy niż dane, które przetwarza o nas google, zus, urząd skarbowy, bank czy złodziej przeglądający rachunki, pity i informacje z zus które wyrzuciliśmy do kosza. Tu powinniśmy skierować uwagę użytkowników, regulatora rynku, czy Panoptykon.

@FRANK RANK dokładnie tak, chociarz GDPR mieszając ludziom w głowach stwierdziła że to są dane osobowe! Zasiana jest fobia o swoje dane, jakoby agresywne firmy internetowe, wszystkie w jednym worku z google i fb, zbierały te dane i zaglądały nam do portfela czy mieszkania. A to przecież nie tak. Większość z nich dostarcza wartościowe usługi, z ktorych użytkownicy korzystają - bez opłat. Na pytanie czy chcą zapłacić odpowiadają krótko NIE. A GDPR daje możliwość nie płacenia, narzekania na firmy rządań do kosztownej obsługi i jeszcze zaprzestania dzielenia się wybiórczymi danymi z firmami, które w oparciu o nie sklejają model biznesowy przez profilowanie po nich, najczęsciej po danych behawioralnych, reklamy, która przez to staje się bardziej wartościowa. To co robią wywołane do tablicy portale, czy większość innych treściowych serwisów temetycznych, to zupełnie inny temat gatunkowy niż dane, które przetwarza o nas google, zus, urząd skarbowy, bank czy złodziej przeglądający rachunki, pity i informacje z zus które wyrzuciliśmy do kosza. Tu powinniśmy skierować uwagę użytkowników, regulatora rynku, czy Panoptykon.

@Karolina I. Artykuł w polityce straszy użytkowników i zaprząta ich uwagę nieistotnym obszarem. Jest tam sentencja o firmach, które teraz będą musiały odpowiedzieć co na "nas" mają. Jestem przekonany że każda taka firma z przyjemnością odpowie jakie rodzajowo dane przetwarza, a tym samym uspokoi użytkownika, który w 99,99 % przypadków sam sobie uswiadomi, przy IQ większym niż 105(taki strzał bo w sumie nie wiem jak taki człowiek myśli, a podobno średnia to uff 100), że jest to uczciwe z pkt. widzenia dostawcy usług, który dzięki temu finansuje doatarczanie mu bezpłatnie usług. A jak już user się tak bardzo boi o swoje behawioralne klejnoty to wejdzie w tryb incognito przeglądarki i zabezpieczy się przed przekazywaniem danych internetowym "drapieżnikom".

Cos mi nie wyszło z wczesniejszym komentarzem i podpisał się anonim, jakby co chętnie podejjmę polemikę jako Wierzący w człowieka

A ja prosiłem o kopię danych z portalu homebook.pl i przez 2,5 miesiące nikt w ogóle się nie odezwał.
Na maila przychodziła domyślna informacja, że mail do ich inspektora danych osobowych jest nieaktywny!
co w takiej sytuacji?

@Wierzący w człowieka: piszesz: "Jestem przekonany że każda taka firma z przyjemnością odpowie jakie rodzajowo dane przetwarza, a tym samym uspokoi użytkownika". No i tego właśnie chcemy, ale póki co doświadczenia pokazują, że firmy wcale się do tego nie kwapią. Poza tym, RODO nakłada na nie obowiązek przekazania *konkretnych* danych (ich kopii), a nie danych wskazanych rodzajowo. Ten brak transparentności tylko sprzyja domysłom. Skoro firmy nie mają nic do ukrycia, to czemu nadal nie mamy od nich odpowiedzi? ;-)

@Default Likebox: Spróbuj wniosek wysłać na ogólny adres e-mail lub pocztą tradycyjną na adres siedziby. Jeśli sytuacja się powtórzy, możesz złożyć skargę lub pozew.

@Karolina Iwańska - Bo to jest kosztowne?! Mam nadzieję, że jak odpowiedzą to przyznasz mi rację że nie było warto o to pytać i była to strata czasu, oraz niepotrzebne generowanie kosztów - przynajmniej jeśli chodzi o portale. Czekam cały czas na coś bardziej sexy np. Parafia czy Ministerstwo Finansów.

Ciekawe czy odpowiedzi z Onet i Interia zawierają coś zaskakującego. Proszę coś napisać na ten temat, warto o to pytać, rzeczywiście to permanentna inwigilacja, której musimy się obawiać ze strony naszych portali?

Do Wierzących i niewierzących :)
Od wielu lat trzepie się nasze dane i buduje bardzo precyzyjne profile. Zidentyfikowanie konkretnego człowieka nie stanowi problemu. Kilka lat temu jedna z hurtowni danych dawała możliwość zajrzenia w swój profil. Potem to zlikwidowali. A to były ciekawe rzeczy. A możliwości wnioskowania w oparciu o dużą liczbę informacji są takie, że niektórzy wiedzą o nas więcej niż nasze rodziny. Dla mnie najciekawsze było w RODO ta możliwość zajrzenia to swoje dossier. Trzymam kciuki za Panoptykon, drążcie temat!

Ale jakie dane? Wszyscy posługują się niedomówieniami, powiedzcie co groźnego w tym widzicie na konkretnym przykładzie! Dla mnie groźny jest googiel który nagrywa wypowiedziane do asystenta głosowego zdania i je przetrzymuje wraz z historią wyszukiwań. Wiemy że to ma i akceptujemy. Co gorszego mają sieci reklamowe albo portale?

Dodaj komentarz