Premier podstawia nogę RODO

Artykuł

Na ostatniej prostej prowadzącej do wejścia w życie europejskiego rozporządzenia o ochronie danych osobowych (RODO)  rząd robi woltę, która może wypaczyć sens całej reformy i wprowadzić Polskę w kolejny spór z Komisją Europejską. Pod naciskiem Ministerstwa Rozwoju prowadzące prace nad wdrożeniem RODO Ministerstwo Cyfryzacji zdecydowało się wprowadzić taryfę ulgową dla firm zatrudniających mniej niż 250 pracowników,  które nie przetwarzają danych wrażliwych i nie przekazują danych osobowych podmiotom trzecim. Najbardziej kontrowersyjnym elementem zaproponowanego wyłączenia jest zwolnienie  tych firm z obowiązku informacyjnego przy pobieraniu danych niezbędnych do realizacji umowy. To pomysł tak zły i tak bardzo bez sensu, że aż trudno w niego uwierzyć!

Według unijnej definicji chodzi o małe i średnie przedsiębiorstwa, jednak w polskich realiach kryteria zaproponowane przez Ministerstwo Rozwoju spełnia zdecydowana większość firm, a na pewno niemal cała branża e-commerce, żyjąca z komercjalizacji danych osobowych. Firmy te nie będą musiały informować osób, których dane przetwarzają, kto jest administratorem danych, w jakim celu są one zbierane, przez jaki czas będą przechowywane, a nawet informować o tym, że doszło do ich wycieku.

Być może premier Morawiecki próbuje wysłać do wszystkich polskich firm przetwarzających dane osobowe na dużą skalę sygnał: nie obawiajcie się RODO, rząd zrobi wszystko, żeby ułatwić Wam życie, nawet kosztem podstawowych praw Waszych klientów! Jeśli jednak przyjrzymy się implikacjom nieinformowania klientów o tym, co się będzie działo (w ramach realizacji umowy) lub stało (w przypadku wycieku) z ich danymi, ten ukłon może się łatwo zmienić w niedźwiedzią przysługę. Mówiąc wprost, biznes może na tym więcej stracić niż zyskać.

Obowiązek, który specjalnie nie kosztuje

Podstawowym argumentem, którym Ministerstwo Rozwoju uzasadnia potrzebę wprowadzenia taryfy ulgowej dla firm zatrudniających mniej niż 250 osób, są korzyści ekonomiczne. Mniej obowiązków związanych z RODO ma oznaczać mniejsze koszty dla biznesu i – w dalszym rozrachunku – większe korzyści dla gospodarki. Z tym liberalnym argumentem można polemizować na wielu poziomach. Czy obniżenie standardów, które mają ochronić konsumentów i minimalizować ryzyko związane z przetwarzaniem danych, rzeczywiście się opłaca w skali całej gospodarki? Czy Ministerstwo Rozwoju zastanawiało się np. nad ekonomicznymi skutkami wycieków danych? Nad oddziaływaniem na rynek firm, które wyłudzają dane od konsumentów po to, by później spekulować tą walutą na giełdach reklamowych? Wreszcie, czy w rozwiniętej gospodarce korzyści ekonomiczne wystarczą, żeby ignorować podstawowe zasady ochrony konsumentów? Jeśli tak, to w kolejnym kroku rząd zapewne zaproponuje deregulację sektora finansowego czy uwolnienie rynku farmaceutycznego.

Na szczęście nie musimy na poważnie otwierać dyskusji o ekonomicznych skutkach regulacji rynku, bo propozycja Ministerstwa Rozwoju akurat w tym wymiarze niewiele wnosi. Sęk w tym, że wyłączenie obowiązku informacyjnego, który RODO traktuje jak podstawę w relacji firma-konsument, nie będzie dla biznesu źródłem specjalnych oszczędności. Nie mówimy tu bowiem o kosztowych i trudnych operacyjnie notyfikacjach  (pop-upach na stronach internetowych czy masowej wysyłce), ale o standardowym dodawaniu klauzuli dotyczącej danych osobowych w momencie, w którym firma tak czy inaczej kontaktuje się z klientami i zbiera ich dane osobowe (np. podczas zakładania konta w sklepie internetowym, zamawiania newslettera, wypełniania formularza kontaktowego czy umowy w wersji elektronicznej).

Wyłom, który pociąga lawinę

To obniżenie standardu, który od 20 lat funkcjonuje w Polsce i do tej pory nikomu specjalnie nie przeszkadzał.

To obniżenie standardu do tej pory funkcjonującego w Polsce, który nikomu specjalnie nie przeszkadzał. Ponieważ od dwudziestu lat każda firma działająca zgodnie z polskim prawem musiała swoich klientów poinformować o tym, w jakim celu zbiera ich dane i kto, formalnie, jest ich administratorem. Procedura realizująca  ten obowiązek stała się rynkowym standardem, a wręcz ważnym narzędziem budowania zaufania w relacji z klientem. Mówiąc otwarcie i ludzkim językiem o tym, co zamierzają robić z danymi swoich klientów, innowacyjne firmy mogą dużo wygrać – szczególnie  tych branżach, w których ważna jest jakość i poprawność zbieranych danych. Im większe zaufanie po stronie klienta, tym większa skłonność, żeby podać prawdziwe dane.

Z perspektywy osoby, której dane są przetwarzane, świadomość tego, kto i w jakim celu to robi, to absolutna podstawa. Bez rzetelnej informacji na ten temat trudno sobie wyobrazić realizację innych praw, które przyznaje nam RODO – w tym prawa do skorygowania, przeniesienia czy usunięcia danych. Skąd mam wiedzieć, że moje dane są przetwarzane i że w ogóle mam jakieś prawa, skoro nikt mnie o tym nie poinformował?

Zaproponowane przez Ministerstwo Rozwoju wyłączenie dla firm zatrudniających poniżej 250 pracowników (do tego jeszcze nieprzekazujących danych podmiotom trzecim i nieprzetwarzających danych wrażliwych) w najlepszym razie wprowadzi niebezpieczny zamęt w tym, jak ludzie odbierają i rozumieją zasady ochrony danych osobowych. Nieuchronnie pojawią się pytania w rodzaju: dlaczego firma, które do tej pory informowała mnie o przetwarzanych danych, nagle przestała to robić? Dlaczego inne nadal to robią? Czy to jest legalne? Jak to sprawdzić? Czy jedyną drogą, żeby się przekonać, kto działa zgodnie z prawem i co robi z moimi danymi, jest kontrola GIODO?

Pozostaje liczyć na to, że nie o ten scenariusz chodziło rządowi i że na etapie dalszych prac legislacyjnych ten błąd zostanie naprawiony.

Nie tędy droga

Blankietowe wyłączenie obowiązku informacyjnego dla pewnej kategorii przedsiębiorców jest w oczywisty sposób nieproporcjonalne i przez to niezgodne z prawem Unii Europejskiej. W pracach nad RODO rozważano wprowadzenie rozmaitych ulg i wyjątków dla małych i średnich przedsiębiorstw, ale nawet na tym etapie nikt nie proponował uchylenia podstawowego obowiązku informacyjnego. Co więcej, z jednym wyjątkiem (obowiązku prowadzenia tzw. rejestru czynności) ustawodawca unijny doszedł do wniosku, że liczba zatrudnianych pracowników nie jest dobrym kryterium, bo w żaden sposób nie przekłada się na ilość przetwarzanych przez przedsiębiorstwo danych ani na ryzyko, które taka działalność generuje. Dlatego nietrudno przewidzieć, że takie kryterium wprowadzone w polskiej ustawie nie zyska aprobaty Komisji Europejskiej.

Blankietowe wyłączenie obowiązku informacyjnego dla pewnej kategorii przedsiębiorców jest nieproporcjonalne i niezgodne z prawem Unii Europejskiej.

Można rozmawiać o ograniczaniu obowiązku informacyjnego (który na gruncie RODO został w stosunku do poprzednich przepisów rozbudowany) w konkretnych punktach i w kontekście takiej działalności biznesowej, która rzeczywiście niesie ze sobą niewielkie ryzyko dla osób fizycznych. Jednak warto mieć na uwadze to, że zgodnie z RODO skala przekazywanych informacji jest ściśle związana z wybranym modelem biznesowym. Mówiąc najprościej: im bardziej skomplikowana i ryzykowna – dla praw osoby, której dane są przetwarzane – działalność (np. zakładająca profilowanie i automatyczne podejmowanie decyzji albo przekazywanie danych podmiotom trzecim), tym szerszy obowiązek informowania klientów, co się dzieje z danymi. Im większe zagrożenie dla osób, których dane są przetwarzane, tym większa odpowiedzialność firmy. Czy warto z tej logiki rezygnować? Konsumentom takie ustępstwo na pewno nie będzie się opłacać.

Jeśli premier Morawiecki szuka obszarów, w których mógłby zmniejszyć obciążenia dla polskiego biznesu, nie powinien zaczynać od fundamentów systemu ochrony danych osobowych. Z perspektywy mniejszych przedsiębiorstw o wiele większy sens, niż blankietowe wyłączenie podstawowego i nie generującego dodatkowych kosztów obowiązku informacyjnego, miałoby przejrzenie innych procedur przewidzianych w RODO i zidentyfikowanie rzeczywistych trudności, z jakimi będą się musiały zmierzyć. 

Większy sens, z perspektywy mniejszych firm, miałoby wsparcie państwa w mierzeniu się z nowymi obowiązkami – oceną ryzyka czy privacy by design.

Dla wielu firm kosztowna może się okazać ocena ryzyka (którą trudno przeprowadzić bez zewnętrznego wsparcia), odpowiednie zabezpieczenie systemów informatycznych czy konieczność uwzględnienia standardów ochrony prywatności w fazie projektowania. Rząd wykonałby prawdziwy ukłon w stronę małych i średnich przedsiębiorstw, gdyby znalazł sposób na finansowe lub merytoryczne wsparcie ich tam, gdzie rzeczywiście będą potrzebować pomocy. Na tym polu jest dużo do zrobienia – od kampanii informacyjnych po praktyczne narzędzia (np. darmowe aplikacje ułatwiające ocenę ryzyka). Ale takie projekty są trudniejsze do przeprowadzenia niż proste „cięcie” w przepisach prawa. Cóż z tego, że szkodliwe, skoro politycznie skuteczne.

Katarzyna Szymielewicz

Komentarze

Bardzo dobry pomysł - jeśli to zrobią. Biurokracja i koszty zarżną mały biznes. Nie można nakładać takiego samego kieratu jak telekomom czy bankom.

Procesuję się już z jedną firmą 100 osobową o udzielenie mi informacji co przetwarzają od 1 ROKU i nie otrzymałam informacji mimo, że prawo nakazuje i mimo, że GIODO nakazał. Ponieważ w firmach jest monitoring, nagrywanie rozmów, przetwarzanie danych osobowych, często nawet żądają danych biometrycznych, czy skanu dowodu nie uzyskując na to zgody i kłamiąc, że tego nie robią - proszę Panoptykon i żądam od Unii Europejskiej nadzoru nad poprawnym wprowadzeniem RODO - bez wyjątków.

A Ty @sklepik internetowy podaj swoja domenę - będę ją omijała szerokim łukiem. Spalić takie sklepiki internetowe na stosie, bo często i tak żyją z reklam i udostępniania tych danych.

ŻADNYCH WYJĄTKÓW - obowiązek informacyjny i możliwość kontroli każdego podmiotu gospodarczego ma pozostać. Włącznie ze sklepami internetowymi i bankami.

A koszt udzielania odpowiedzi po prostu sobie wliczyć corocznie do kosztów prowadzenia firmy. Firmy są od "firmowania" a nie robienia wiochy i mają o wszystkim informować mnie - czy to o monitoringu, czy o administratorze danych, czy o dokładnej treści danych, które przetwarzają. A zbędne dane mają kasować i o każdym wycieku mnie informować jeżeli dane wyciekły - dodam - mają to robić z własnej inicjatywy, bo problem nastąpił po ich stronie.

Bez tego niedługo będzie można tylko d**y dawać by zarobić i by nie stać się jednocześnie osobą publiczną o ujawnione do internetu dane osobowe - właśnie głównie z takich sklepików na dziurawym Prest czy WP, bo nastąpi podział firm na mniejsze by uniknąć tego obowiązku.

Pora skończyć ze sprzedawaniem danych.

Banki też nie muszą informować o wyciekach danych, mimo to że będą mogli przetwarzać dane biometryczne (odciski palców, rogówkę, głos itd.)

Przepisy wprowadzająceustawę o ochronie danych osobowych
Art. 41.
7) art. 112b otrzymuje brzmienie:
„Art. 112b. 1. Banki w zakresie realizowanych zadań mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamościosóbfizycznych oraz dane biometryczne...

„Art. 112e. 1. Banki oraz instytucje utworzone na podstawie art. 105 ust. 4, będące administratorami danych w rozumieniu art. 4 pkt. 7 rozporządzenia 2016/679, nie są obowiązane do:
2) zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych na podstawie art. 34 rozporządzenia 2016/679, jeżeli takie zawiadomienie możespowodować narusze niestabilności funkcjonowania sektora bankowego.

> nie obawiajcie się RODO, rząd zrobi wszystko, żeby ułatwić Wam życie,
> nawet kosztem podstawowych praw Waszych klientów

Rząd wprawdzie chce ułatwić życie przedsiębiorcom (wszystko albo prawie wszystko będzie załatwiane online) ale kosztem zarówno przedsiębiorców (masowa lustracja majątkowa, likwidacja tajemnicy bankowej, likwidacja tajemnicy handlowej przez JPK dla każdej transakcji i faktury, masowe zbieranie metadanych na każdego) oraz klientów (hulaj dusza, nie musicie chronić danych osobowych klientów).

A to jest najlepsze: "Banki (...) będące administratorami danych (...) nie są obowiązane do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (...), jeżeli takie zawiadomienie możespowodować naruszenie stabilności funkcjonowania sektora bankowego"

Czyli po polsku: jeśli zaszkodzi to renomie waszego banku, to nie musicie informować klienta, że nie zadbaliście o bezpieczeństwo jego danych.

I jak tu nie wierzyć, że p. Morawiecki to bankster??

"Bez tego niedługo będzie można tylko d**y dawać by zarobić i by nie stać się jednocześnie osobą publiczną o ujawnione do internetu dane osobowe"

No niestety. Na razie prostytucja to jedyna niepodatkowana przez państwo działalność. A niedługo będzie jedyną, gdzie rząd nie będzie gwałcił naszej prywatności. Obrzydliwy paradoks.

Nie wiem jak moze zalezec jakiemukolwiek polskiemu przedsiebiorcy na wprowadzenia nastepnej inspekcji w zycie. Kazdy kto jest za tym to widac, ze nie jest przedsiębiorcą a tylko pracownikiem korporacji, który pracuje dla zagranicy i żyje w złotej klatce

A do zakladanie firm z chwilowkami i parabankow juz zapraszamy. One na oddzial, ktory zazwyczaj jest oddzielna spolka rzadko przekraczaja nawet 10 osob. Parabanki, marketerzy i hackerzy już dziekuja.

@Ghg i cudowne @Ministerstwo Cyfryzacji: 6 punktow:

1) Prowadz papierowa dokumentacje pracownika - wtedy nie wycieknie do internetu. Bankowosc elektroniczna i PŁATNIKA prowadz na oddzielnym komputerze odizolowanym od calej sieci firmowej - mozesz kupic sobie do tego celu PLAY ONLINE - masz separacje fizyczna. Komputer ten czysc co miesiac lub 2, a najlepiej obsluguj z Linuxa Live - nie zapisze danych - nie masz ich w firmie.

2) wprowadz zakaz fotografowania czegokolwiek pod rygorem zwolnienia dyscyplinarnego z zaplaceniem kary umownej za kazdy 1 incydent - w koncu kazdy zgadza sie z trescia umowy w czasie jej trwania - nie wycieknie tak dokumentacja paierowa pracownicza. Poza tym czas potrzebny na wyciek papierow jest dluzszy i trudniejszy niz wyprowadzenie tego z

3) pracownikom przydziel pseudonimy brzmiace jak imie i nazwisko, ktorymi maja poslugiwac sie w pracy. Poki nie jest to osoba podpisujaca umowy z tego co sie wywiedzialam nie narusza to niczyich interesow, poki pseudonim wybiera sam pracownik i nie jest on osmieszajacy. Pseudonimem powinni poslugiwac sie na poczcie internetowej, w internecie (GitHub, inne nawet wewnetrzne),

4) programy zgodnie z prawem rejestruj na siebie - to twoja wlasnosc, nie pracownika).

5) pracownikom nie rob zdjec do intranetu - to dane biometryczne. Nie masz prawa ich przetwarzac jako zwykly przedsiebiorca nawet teraz.

6) dbaj by monitoring byl zapisywany na osobnym fizycznie komputerze niepodpietym do internetu i by kasowal sie po tygodniu. Po tygodniu dane zostana zapomniane, a jak sie cos wydarzy to zgrasz sobie na USB. Oczywiscie o ile na prawde nie potrafisz ludziom zaufac i musisz nagrywac. Nie nagrywaj nigdy dzwieku.

Po zwolnieniu pracownika - jedyne dane jakie o nim przetwarzasz - masz w jednej teczuszce, ktora pokazujesz, a kontroli systemow elektronicznych i wyciekow sie nie boisz, bo nie ma tam danych osobowych.

NA PRAWDE TAK TRUDNO JEZELI NIE CHCE SIE CELOWO PRACOWNIKA WCISNAC W WYCIEKI DANYCH?

2) wprowadz zakaz fotografowania czegokolwiek pod rygorem zwolnienia dyscyplinarnego z zaplaceniem kary umownej za kazdy 1 incydent - w koncu kazdy zgadza sie z trescia umowy w czasie jej trwania - nie wycieknie tak dokumentacja paierowa pracownicza. Poza tym czas potrzebny na wyciek papierow jest dluzszy i trudniejszy niz wyprowadzenie tego przez internet.

"Nie wiem jak moze zalezec jakiemukolwiek polskiemu przedsiebiorcy na wprowadzenia nastepnej inspekcji w zycie."

Nadmierna biurokracja/inspekcja/kontrola ze strony państwa to zło (i pan Morawiecki w tym celuje: JPK i inne okropności), ale tutaj wystarczy przecież przestać traktować pracowników firmy jak małpy w klatce. Przestań zbierać od nich wszyskie możliwe dane z biometrycznymi włącznie. Nie ma danych - nie ma czego zabezpieczać. Wystarczy minimum danych potrzebne do rozliczeń i nic poza nim - wówczas problem z głowy.

A to, że będzie obowiązek powiadomienia o wycieku, to bardzo dobrze: nie potrafisz zabezpieczyć cudzych danych, to ponosisz odpowiedzialność, proste. Tak samo, jak ponosi odpowiedzialność pracownik Twojej firmy, który zgubi firmowe pieniądze albo inne firmowe dobra, które mu powierzyłeś!

@Jarek: Problem w tym, że nie pracodawcy nie pójdą na to. Jak myślisz po co grzebią na Facebooku i Linked? Po co chcą skany dowodów, paszportów, zdjęcia pracownika, w części miejsc nawet skan siatkówki i odciski palców - kontrola musi być, ale nie tyle państwowa, co na wniosek pracownika/klienta. Ktoś to zrobić musi, więc odpowiedni urząd podobny do GIODO z najwyższymi uprawnieniami musi istnieć i to bardziej wydolny niż teraz.

Niestety pracodawcy, "sklepiki internetowe", telemarketerzy - są po prostu zbyt łakomi na dane osobowe.

Wyżej podałam 6 zasad jak uchronić się przed kontrolą - nie masz rozsypanych i cieknących wszędzie danych - nie masz problemu i do prowadzenia firmy możesz sobie wliczyć 1000zł rocznie na sprawy związane z ochroną danych - dane w jednym miejscu - na zapytanie robisz xero - delikwentowi który pyta odsyłasz po jego sprawdzeniu (tożsamość) i tyle.

"Problem w tym, że nie pracodawcy nie pójdą na to."
Oczywiście że nie pójdą i dlatego musi być ostre prawo, które będzie bronić pracowników i kontrahentów przed nadużyciami ich danych.

"Jak myślisz po co grzebią na Facebooku i Linked?"

Posiadanie konta na Facebooku nie jest obowiązkowe, jak ktoś chce tam słać swoje dane to sam sobie jest winien.
LinkedIn też jest dobrowolne, poza tym tam śledzenie nie jest tak mocne, jak na Facebooku.

"Po co chcą skany dowodów, paszportów"
Bo tak się utarło się te kopie się dzisiaj prawie wszędzie robi. I trzeba się stawiać i nie pozwalać na robienie takich kopii - ani w pracy, ani w hotelu, ani przy podpisywaniu umów wszelkakich.
Natomiast, niestety, banki i uczelnie mają prawo robić kopie dokumentów typu dowód osobisty/paszport.

"w części miejsc nawet skan siatkówki i odciski palców"
Dotychczas było to zabronione, ale "dobra zmiana" chce na to pozwolić. To straszne, ale kto jest w stanie ich powstrzymać?

@Jarek - widać jesteś świadomym obywatelem i tak trzymaj. Co do Facebooka i LinkedIn tylko chciałam pokazać tendencję typu "możemy się czegoś skądś dowiedzieć to się dowiemy". Innymi rzeczami, które się zdarzają, ro obdzwanianie poprzednich pracodawców - to już legalne nie jest a przynajmniej legalne nie jest sprzedawanie danych przez poprzedniego następnemu i odwrotnie. To0 tylko pokazuje wścibskość i fakt, że pracodawcy powinni dostać jeszcze ostrzejsze prawo niż prezentuje czyste RODO.

Kopie, bo się utarło - odmów a pracy nie dostaniesz mimo, że podasz powód - to jest hal na Ciebie. Wechsle in blanko troszkę dawniej, zanim kodeks karny za to zaczęli dawać to też się tak utarło? Słyszał o dowodzie kolekcjonerskim oraz możliwości autoryzowania się w wielu miejscach dowodem osobistym albo kombinacją tych danych na infoliniach, np. medycznych? Tam tez potrafią grzebać i np. sprawdzić czy masz umówioną wizytę kardiologa. I to całkiem serio. Wbrew pozorom już na infolinii odpowiednio zadane pytanie pozwala nawet poznać nazwiska lekarzy. Wystarczy często imię i nazwisko oraz PESEL. To pozwala już spekulować o twoim stanie zdrowia o to już za dużo. Nie poznają dokładnie powodu choroby, ale jej rodzaj (kardiolog, endokrynolog, ortopeda, psychiatra (!!!)) już tak.

Dotychczas było to zabronione... ale... nie było za to kar i chcieli nawet ode mnie zebrać siłą. RODO ładnie implementuje kary - sama wielokrotnie do nich o to pisałam podczas wielu obrad nad RODO - uzasadniając potrzebę wprowadzenia kar w postaci procentu obrotu ale nie niższych niż x - ONI SIĘ TEGO BOJĄ, bo wiedzą co czynią. Nikogo się za rękę na siłę nie powinno łapać przed czytnikiem linii papilarnych w pracy, gdy na przyłóż palec odpowiesz nie - teraz za samo przyłóż, gdy się komuś nagra na dyktafon lub ukrytą kamerkę - dostaną karę. Wiele ludzi nie wie o tym, że to niebezpieczne i powinno być dalej zabronione. Zdjęcie do intranetu to też bo się tak przyjęło? - dane biometryczne w postaci układu znamion na twarzy, widoku możliwych chorób (np. rumień o kształcie motyla wskazuje na pewną groźną chorobę, żółtaki wskazują też na inną groźną. Nie bez przyczyny część krajów wprowadziło wprost - CV bez zdjęcia, a jeszcze jeden kraj chciał wprowadzić CV bez imienia i nazwiska. Uzasadnienia tych rzeczy można znaleźć w sieci.

Co do dobrej zmiany - się wypowiem - nie było ani jednej na prawdę dobrej.

A kto to może powstrzymać - my - domyśl się jak. "Europa.eu - skontaktuj się z nami" głucha nie jest. To właśnie lobby nadużywa tej drogi podczas gdy my milczymy. Tu jest błąd.

Oddzielnie napiszę o uczelniach i żądaniu skanu dowodu - akurat mnie jeszcze takie coś nie spotkało - studia zbyt dawno temu - poczytaj o bezpieczeństwie w Politechnice Warszawskiej oraz o bezpieczeństwie Politechnik ogólnie - 2 arty na "niebezpieczniku" - tam powinna wejść ustawa zakazująca im tego. Gdzie właściwie znajdę ustawę na to zezwalającą? Co do banków - znam sprawę i też powinni zakazać - pisał o tym sam GIODO - odpowiedź lobby - nie ma już ani jednego banku, który założy Ci konto bez skanu, nawet gdy kredytu nie bierzesz, a skanować/fotografować to powinni nie dowód, a osobę, która bierze pożyczkę, po to, by potem bylo wiadomo kto konkretnie ją wziął. Jest tyle pożyczek na dowody kolekcjonerskie lub zdobyty skan dowodu po znajomości, że pała mała. Gdyby delikwent był fotografowany (jawnie, za zgodą, warunek uzyskania jakiejkolwiek porzyczki) - zmniejszyłyby się ilości wyłudzonych pożyczek na dowody kolekcjonerskie itp. bo by się przestępcy bali, a zwiększyłaby się wykrywalność tego, gdy "dłużnik" przychodzi i mówi, że to nie on to wziął. Fotografują jak zwykle nie to co trzeba.

A do samego otwarcia i prowadzenia rachunku vez zdolności kredytowej - żadnych skanów. I zakaz odmawiania przez banki umów bez karty i umów bez debetu.

Bawią mnie tacy nawiedzeni, jak np.Obywatelka Polski, która chętnie naśle zewnętrznych siepaczy na własny (rzekomo) kraj, z powodu jakichś śmiesznych danych, których w byle urzędzie pilnuje informatyk z pensją 1800zł. ROTFL. Ego większe niż intelekt. Grozisz spaleniem sklepów internetowych. Żądasz! ROTFL! A NIBY MYŚLISZ Z CZYICH PODATKÓW ŻYJĄ CI UNIJNI URZĘDNICY, GRAŻYNA? RODO, należy uwalić i następne w kolejce powinno być uwalenie tego ciasteczkowego debilizmu, który nie daje NIC, poza TOTALNYM ZAŚMIECENIEM CAŁEGO INTERNETU MASĄ KOMUNIKATÓW O CIASTECZKACH. Minęły dwa lata, zapytajcie na mieście kogoś czym są ciasteczka, local storage albo canvas fingerprinting. Debilne to, nic nie daje i Boni będzie się za to w piekle smażył (i za inne przewinienia również).

@Rozbawiony, to, że ktoś nie wie czym są te ciasteczka - to własnie oznacza, że jego trzeba chronić przed tym wszystkim bardziej, by lobby (m.in. Ty) się nie najadło tymi danymi i nie ingerowało w prywatność. Gdzie tam widzisz jakieś groźby? Umiesz czytać ze zrozumieniem i wiesz co to jest przenośnia? Jeśli tak i wziąłeś to na poważnie, spróbuj spalić coś niematerialnego. Jeżeli tak obojętne Ci są te dane, to sypnij tu i publicznie wszystkim co masz w dowodzie osobistym. Na prawdę nie masz nic do ukrycia i podpisujesz się jako "Rozbawiony"? RODO MUSI WEJŚĆ W ŻYCIE BEZ WYJĄTKÓW DLA KOGOKOLWIEK. Podobniwe EPrivacy musi wejść z domyślnym ustawieniem braku śledzenia.

Wskażę tutaj na pewna praktykę, o której się nie mówi, a która w Polsce i kilku innych krajach jest uprawiana na wielką skalę. W wielu krajach w tym w Polsce, do tej pory nie było porządnych kar za wycieki danych osobowych i złe ich przetwarzanie. Tak na prawdę lobby prezentujace swoje obawy właśnie tego się boi, że teraz dostanie mocno po łapach za takie praktyki, albo bedą dalej to robić ale cały czas z poczuciem zagrożenia. O czym mowa?

Myślicie na prawdę, że te wszystkie dziury w programach, systemach, furtki to przypadek - nie - pracując dostajesz umowę cywilnoprawną, że masz milczeć jak grób, inaczej kara umowna 200 tys. zł. Przychodzi polecenie - masz zostawić dziurę w systemie i postarać się by wyglądała jalk najwiarygodniej, że jest zwykłym błędem. Toteż czesto się zostawia w bazie kolejne identyfikatory i "zapomina" się sprawdzić czy do danego dokumentu ma dostęp dana osoba. Cel: marketerzy mają móc te dane wyciągnąć, a jak się zrobi glośno, wynajmuje się osobę, która robi włamanie, przedstawia się jako haker i następnie jest mowa o łataniu, ale po jakimś czasie zostawia się kolejną dziurę lub łatka na tamtą dziurę jest tez dziurawa. To działanie jest celowe. Właśnie dobrze, że wejdzie RODO i musi wejść w najsurowszej wersji w jakiej może, by zatrzymać ten proceder. Najbardziej po łapach dostaną właśnie ci, którzy nie dbają o bezpieczeństwo systemów, nie robią profesjonalnych audytów bezpieczeństwa oraz ci, którzy tymi danymi celowo handlują. Uczciwym pracodawcom kupującym systemy pozostaje jedynie spisać z producentem oprogramowania umowę, że jeżeli dane wyciekną z winy programu - musi pokryć szkodę w wysokości gwarantowanej 100% utraty zysków i zaufania lub zatrudnić własnych programistów, którzy mu systemy napiszą i zamówić audyty bezpieczeństwa w zaufanych firmach.

Większość tych najgroźniejszych błędów jest jeszcze raz powtarzam - robione celowo, by umożliwić handel danymi osobowymi. Nie wszystkie, ale znacząca ilość. Problem z Intelem to też nie jest przypadek. Dawno "wiedzieli" o tym, bo to była dziura dla "odpowiednich" slużb.

Co do samych ciasteczek, to akcja była słabo udana, bo informacja z czym się to je powinna być podana językiem zrozumiałym dla laika. A nie jakiś bezsensowny tekst, potem trzeba kliknąć ileś tam linków i w końcu w środku 30 stronicowego regulaminu dowiadujemy się o co chodzi. Powinno być zabrobione śledzenie "pixelami", canvasami oraz ciasteczkami aż do wyrażenia świadomej zgody. Ochrona danych w służbie zdrowia i u pracodawcy też wymaga zaostrzenia i zawężenia ilości danych które wolno pozyskiwać i nieodzowna coroczna kontrola przez odpowiedni dofinansowany urząd.

Dobrze, że zauważono, że powinna być kontrola. Jednak nie ważne tutaj jest czy będzie coroczna, czy co 2 czy co 0.5 roku - ważny by odbywała się nieregularnie - niemożliwość przewidzenia i by nie była zapowiadana. Wiem trochę co się dzieje, gdy taka kontrola czy to z PIP, czy od GIODO jest zapowiadana na 2,3-dni przed. NIE - kontrola powinna się odbyć wraz z odpowiednimi służbami, zaś odpowiednik inspektora ochrony danych osobowych w nowym prawie powinien mieć najwyższe uprawnienia umożliwiające nawet wejście na prywatną posesję, jeżeli jest godzina 6-22. W przypadku przedsiębiorstw - powinien pozostawić odpowiedni patrol, który udokumentuje, że przedsiębiorstwo faktycznie nie było czynne - przez 30 bitych godzin - gdy się okaże, że nie wpuścili inspektora a pracowali - w końcu nie zatrzymają w pracy siłą pracowników - nałożenie kary rzędu 1mld na dofinansowanie budżetu. A jak zatrzymają siłą pracowników - to pewnie wyjdzie to na jaw z zeznań - w końcu w grupie 100 osób na pewno ktoś się poskarży, że był przetrzymywany, głodny a może nawet bez wody.

A co się dzieje - niewygodne dane są ukrywane, a po kontroli znów przywracane. Inspekcja znajduje tylko część z nich.

Koszty wszelkich innych wymogów są dla przedsiębiorców znacznie bardziej dolegliwe niż obowiązek informacyjny, chyba, że rzeczywiście dużą pozycją w dochodach małej firmy jest handel danymi klientów.
Nie widzę powodu by jakikolwiek sklep kolekcjonował cokolwiek poza niezbędne minimum, a zwłaszcza dane te komukolwiek udostępniał. Jeśli to "stały" klient to może ew. zgodę wyrazić ale i tak musi być informowany o szczegółach tego procederu. W dzisiejszych czasach udostępnianie cudzych danych to prawdziwa plaga. Nawet nr telefonu po wejściu w życie ustawy o przymusowej rejestracji pre-paidów jest już moim zdaniem informacją wrażliwą.
Niektóre banki rzeczywiście skanują dowody by nieco zwiększyć bezpieczeństwo środków klienta (choć bardziej chronić własny "tyłek"). Ale tylko niektóre - pozostałe skanują (inf. od pracownika) by pani/pan "z okienka" miała podkładkę, że nie założyła konta martwej duszy w sytuacji gdy bywały premie za namówienie klienta do założenia konta. Co oznacza, że nie ma w banku zaufania do swych pracowników... Ktoś chciałby tam trzymać pieniądze?
Za to z niewiadomych powodów banki mają inny, niepotrzebny obowiązek - informowania o gwarancjach BFG. Tony papieru, czasu na coroczne wysyłanie do klientów od lat tych samych, znanych zazwyczaj i dostępnych wszędzie informacji. I to należy zlikwidować.

Dodaj komentarz