Wielkie koncerny i małe firmy, spece od marketingu i banki nie tracą żadnej okazji do tego, by zebrać na nasz temat jak najwięcej informacji. Zdaniem ekspertów, dziś w Polsce ten proceder kwitnie jak nigdy wcześniej, a ukrócić mogłyby go tylko kary finansowe nakładane na winowajców.
Jesienne popołudnie. Jedna z naszych czytelniczek spędza je w salonie kosmetycznym. Po skończonych zabiegach płaci kartą debetową. A po powrocie do domu odkrywa, że na jej mailowej skrzynce jest już tuzin ofert z reklamami podobnych usług. Jak to możliwe?
– Z naszej strony nie ma technicznej możliwości, by coś takiego jak wyciek danych mogło mieć miejsce – mówi mi Krzysztof Olszewski, rzecznik mBanku, bo to właśnie w tej placówce ma konto nasza czytelniczka.
Rozpytujemy dalej. Okazuje się, że bodaj najbardziej prawdopodobna wersja to taka, według której spersonalizowania naszej czytelniczki i przekazania jej adresu mailowego do innych baz marketingowych dopuściła się firma obsługująca transakcje w danym salonie.
Dowód? Nie ma szans
– Bardzo trudno to jednak udowodnić – mówi mecenas Tomasz Osiej, radca prawny specjalizujący się w ochronie danych osobowych. I dodaje: – W polskim sektorze ochrony danych osobowych do bezprawnego wykorzystania danych, czy wręcz ich kradzieży dochodzi bardzo często i niemal za każdym razem nikt nie ponosi za to odpowiedzialności.
– Osoba, do której kierowane są oferty marketingowe, powinna w pierwszej kolejności zwrócić się do firm, które je przesyłają, m.in. o takie informacje, jak to, skąd pozyskały jej dane osobowe i co je uprawnia do ich wykorzystywania – informuje z kolei rzecznik Generalnego Inspektora Ochrony Danych Osobowych, Małgorzata Kałużyńska-Jasak. – Może też np. wnieść sprzeciw wobec przetwarzania jej danych osobowych i zażądać ich usunięcia. Jeśli administrator danych tego nie zrobi, osoba ma prawo wnieść skargę do GIODO.
Co jest najcenniejsze?
Firmom najbardziej zależy na tym, by znaleźć się w posiadaniu naszego numeru PESEL, numeru telefonu i konta bankowego, adresu mailowego i adresu zamieszkania. Za obszerną bazę danych na czarnym rynku koncerny płacą nawet po kilkadziesiąt tysięcy złotych. I trudno się dziwić. Ta inwestycja szybko się zwraca.
Znam wiele osób, którym – gdy tylko na ich koncie bankowym pojawia się debet – przysyłane są oferty kredytów gotówkowych z najrozmaitszych, parających się tym placówek. A przecież, gdyby te ostatnie nie miały dostępu do naszych danych, ich działalność byłaby nieporównywalnie trudniejsza.
Przyczyn tego zjawiska jest kilka, ale dwie najważniejsze – zdaniem mecenasa Osieja to: niska świadomość społeczna problemu, wręcz bagatelizowanie wartości naszych danych oraz brak sankcji finansowych, które organ je nadzorujący – nie tylko sąd – mógłby nakładać na winowajców.
Najkrótsza droga do klienta
Podmioty tworzące własną bazę danych od podstaw, szukają do tego jak najkrótszej drogi. Tu naturalna wydaje się im pomoc osób trzecich, zwłaszcza, że w świetle prawa polskiego grożą za to naprawdę niewielkie, by nie powiedzieć żadne, sankcje. Przede wszystkim dlatego, że naruszenie przepisów o ochronie danych osobowych niezwykle trudno udowodnić. Sytuację komplikuje fakt, że często sami firmom ułatwiamy zadanie podając, np. przy rejestracji w internetowym sklepie czy na portalu społecznościowym nasze dane i – co gorsza – wyrażając zgodę na ich przetwarzanie. Warunki tego przetwarzania zwykle opisane są w regulaminach, a tych – niemal nigdy nie czytamy. – Niemniej jednak - zamieszczenie zgód i innych informacji kierowanych do klienta, obowiązkowych z punktu widzenia przepisów, nie jest właściwe i nie legalizuje pozyskania danych – kwituj Osiej.
Reszta najczęściej odbywa się z wykorzystaniem poczty pantoflowej. Ktoś znajdujący się w potrzebnie pyta kogoś zaufanego czy zna osobę, która mogłaby dostarczyć mu jedną, konkretną bazę danych. Prędzej czy później udaje mu się znaleźć pośrednika trudniącego się tym rodzajem handlu, który dane klientów dostarcza i któremu wystarczy zapłacić. Ile? Średnio ponoć około pięciu tysięcy.
Gdzie po sprawiedliwość?
– To jest możliwe właściwie tylko wtedy, kiedy z całą pewnością wiemy z jakiej bazy i dokąd wypłynęły nasze dane – przekonuje prawnik. Ale nawet jeśli winę uda się udowodnić ponad wszelką wątpliwość to i tak firma, która dopuściła się nielegalnego handlu danymi osobowymi swoich klientów, niewiele na tym straci.
Po pierwsze, sąd może poprosić inspektora GIODO o kontrolę w danej firmie. – Każdy sygnał dotyczący bezprawnego wykorzystywania danych inspektorat rozpatruje indywidualnie i w zależności od okoliczności danej sprawy podejmuje – w granicach swoich kompetencji - odpowiednie działania, np. wszczyna postępowanie administracyjne lub kieruje do organów ścigania zawiadomienie o popełnieniu przestępstwa – wyjaśnia Kałużyńska-Jasak.
Po drugie, sędzia może zastosować wobec winowajcy przepis karny o przetwarzaniu danych bez podstawy prawnej. Najczęściej stosowana jest jednak trzecia możliwość: grzywna albo ograniczenie lub pozbawienie wolności. Grzywna, w zależności od skali problemu, sprowadza się do kilku lub maksymalnie kilkuset tysięcy złotych. Jeśli natomiast mowa o więzieniu – sąd może wydać wyrok skazujący na maksymalnie dwa lata za kratkami. Niewiele, gdy mówimy o cenie za gigantyczne zyski.
Polska to nie jedyny kraj, w którym kwitnie nielegalny handel danymi osobowymi. Jakiś czas temu pracownicy niemieckiego Związku Central Konsumenckich zorganizowali prowokację, w ramach której jego pracownicy w ciągu dwóch dni zdobyli płyty DVD z danymi sześciu milionów Niemców. – Wraz z postępem technologicznym skala tego procederu będzie rosła do niewyobrażalnych rozmiarów – mówi mecenas Osiej. – Ratunkiem mogą okazać się jedynie zmiany w prawie dające prawo nakładania nie tylko przez sąd, ale przede wszystkim przez organ nadzoru (GIODO) kar na administratorów takich nielegalnych baz danych. Wtedy handel danymi przestanie im się opłacać.
Cóż, naszej czytelniczce pozostaje zatem następnym razem w zakładzie kosmetycznym zapłacić gotówką.
Naczelny Sąd Administracyjny w wyroku z 13 lipca 2004 r. stwierdził, że „jeżeli jedna firma kupiła dane osobowe od innej, musi o tym niezwłocznie poinformować osoby, których dotyczy transakcja. Nie wolno też wysyłać jednocześnie ofert marketingowych, gdyż dalsze korzystanie z takich danych zależy od zainteresowanych, którzy mogą zgłosić sprzeciw lub skorzystać z innych form kontroli”.
GIODO
Jeśli (…) chodzi o odpowiedzialność karną wynikającą z omawianej ustawy, to wskazać należy, że ten, kto przetwarza w zbiorze dane osobowe, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 49 ust. 1). Takiej samej karze podlega ten, kto zaś administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 ust.1). O nałożeniu takiej kary decyduje sąd.