Imię, nazwisko, data urodzenia, PESEL. Szastamy danymi na lewo i prawo, często nieodpowiedzialnie. W biurowcach, sklepach czy podczas korzystania z rozmaitych usług. Czy można odmówić ich podania? Czy można zażądać ich skasowania? Czy pracownik, któremu podajemy dane, musi wiedzieć o tym, co się z danymi potem stanie? Poniżej odpowiadamy na te i inne pytania.
Koleżanka przyszła do mnie z problemem: rok temu kupiła kartę podarunkową, skorzystała z niej i była ciekawa, co stało się z danymi, które wówczas podała. Ważność karty wygasła, ale dane przecież gdzieś zostały. Osoba sprzedająca kartę poprosiła bowiem o dowód osobisty, żeby "coś tam spisać". – Byłam zmęczona i chociaż zastanowiłam się, po co im mój dowód, to nie miałam siły o to dopytywać – wspomina znajoma.
Takich sytuacji – kiedy ktoś prosi nas o dane albo dowód i wydaje nam się to zupełnie niepotrzebne – jest w życiu całkiem sporo. Pytanie tylko, co dzieje się z tymi danymi, kto za nie odpowiada, czy są w jakikolwiek sposób chronione? Czy można odmówić ich podania?
Przeanalizowaliśmy kilka takich przypadków. Kwestie praw obywatela w takich sytuacjach konsultowaliśmy z Generalnym Inspektorem Ochrony Danych Osobowych Wojciechem Wiewiórowskim – który wyjaśniał, kiedy i czego wolno nam żądać, kiedy i czego można zażądać od nas. I jak ewentualnie dochodzić swoich praw.
1. Karty podarunkowe, lojalnościowe
Wiele sklepów oferuje karty podarunkowe czy lojalnościowe. Mamy na nich pewną pulę pieniędzy do wydania, a jedyne, czego producent takiej karty potrzebuje, to nasze dane. Często podajemy wtedy imię, nazwisko, datę urodzenia, czasem do tego miejsce zamieszkania czy zameldowania – a więc komplet informacji niezbędnych wprawnemu hakerowi. Często, by było szybciej, osoby sprzedające nam kartę proszą o dowód. Jak później wyjaśnimy – nie mają do tego prawa.
2. Rejestracja do lekarza
Gdy zapisujemy się – nawet prywatnie – do szpitala czy przychodni, możemy zostać spytani nie tylko o imię i nazwisko, ale też numer PESEL. Oczywiście, posiadanie naszego numeru PESEL to już poważna sprawa, bo jest on np. niezbędny do logowania na konta bankowe.
W przypadku placówek medycznych proszenie o PESEL jest jednak w pełni uzasadnione – chodzi bowiem o to sprawdzenie, czy przysługuje nam ubezpieczenie. Warto jednak zawsze zapytać, w jakim celu firma potrzebuje PESEL-u – bo może się okazać, że nieświadomie wyraziliśmy zgodę na udostępnienie tych danych dalej.
3. Biurowce
Często w recepcjach biurowców i wielu innych budynków jesteśmy proszeni o okazanie dowodu, po czym zostają spisane nasze dane. Najczęściej tylko imię i nazwisko, ale czasem też np. data urodzenia. Jak wyjaśnia nam GIODO, jeśli dane zbierane są w celach dotyczących bezpieczeństwa, firmy mają prawo do wglądu w nasz dowód osobisty, a nawet do spisania numeru identyfikacyjnego np. PESEL-u. Mogą również przechowywać nasze dane na wypadek, gdyby kilka miesięcy później okazało się, że w dniu naszej wizyty dokonane zostało jakieś przestępstwo.
4. Zakupy – kod pocztowy i nazwisko?!
Może się zdarzyć, że przy płaceniu na zakupach kasjerka zapyta nas o kod pocztowy. Jak wyjaśnia Wojciech Wiewiórowski, wówczas wszystko zależy od nas. Możemy go podać, jeśli chcemy, ale równie dobrze możemy odmówić. Niewątpliwie jednak sprzedawca nie ma prawa wymagać od nas kodu i np. stwierdzić, że jeśli mu go nie podamy, to uniemożliwi nam zapłatę. Mi osobiście zdarzyła się taka sytuacja – kasjerka mówiła, że muszę podać kod, by zapłacić, bo to część polityki firmy. W takiej sytuacji należy kategorycznie walczyć o swoje prawa.
5. Podpisywanie petycji
Przynajmniej raz w życiu zostaliście pewnie zaczepieni na ulicy przez uśmiechniętego Pana/Panią, proszących o podpisanie się pod jakąś petycją. Wówczas trzeba podać swój numer PESEL, imię i nazwisko, a nierzadko też datę urodzenia. Oczywiście, możemy podać te informacje – jeśli zależy nam na uczciwym podpisaniu petycji – ale warto zainteresować się, kto te podpisy zbiera, czy jest to akcja oficjalna i w ogóle, kto tymi danymi będzie potem dysponował.
To tylko kilka przypadków, kiedy ktoś może nas poprosić o dane, a nam jego prośba wydaje się wątpliwa. Jest jednak kilka ogólnych zasad, do których możemy się stosować i wówczas mieć pewność, że nasze dane nie zostaną sprzedane stu innym firmom.
Kto może żądać dowodu?
We wspomnianej wcześniej sytuacji karty podarunkowej, sprzedająca ją osoba zażądała dowodu osobistego. Czy wolno jej było to zrobić? Zdaniem GIODO, jest to wątpliwe. Jak wyjaśnia dr Wojciech Wiewiórowski, identyfikacji dokumentem może od nas wymagać przedsiębiorca, z którym zawieramy umowę. W przypadku karty podarunkowej możemy odmówić podania dowodu i po prostu wymagane dane podać ustnie. To o tyle istotne, że w dowodzie znajdują się w zasadzie wszystkie nasze dane identyfikacyjne – nie tylko imię, nazwisko i data urodzenia, ale też numer PESEL i numer dokumentu. Takie dane na pewno producentom kart upominkowych nie są potrzebne.
Oczywiście, dowodu może od nas żądać także sprzedawca alkoholu bądź papierosów, podobnie jak inne instytucje czy firmy, które muszą potwierdzić nasz wiek.
Kiedy jednak już podamy nasze dane, a karta lub usługa, którą kupiliśmy, wygaśnie – co się z nimi dzieje? W przypadku mojej znajomej wiedziałem, jaką konkretnie firmę sprawdzić. Na jej stronie podany jest regulamin, który określa na co zgadzamy się podając swoje dane. Są one przechowywane zgodnie z unijnymi przepisami o ochronie danych osobowych. Dopóki nie wyrazimy zgody, nie będą udostępniane żadnym osobom trzecim, ani wykorzystywane w celach marketingowych.
Tutaj jednak GIODO przestrzega, by pilnować, na co wyrażamy zgodę – bo podanie danych osobie pytającej jest wówczas jednoznaczne z wyrażeniem zgody na ich przetwarzanie.
Kto i co może z danymi
Skąd możemy mieć pewność, że podając nasze dane, nie zostaną one odsprzedane dalej lub wykorzystane np.do celów marketingowych? – Osoba zbierające dane ma obowiązek informacyjny. Musi nam powiedzieć dokładnie kto i w jakim celu zbiera oraz będzie je przechowywał. Na przykład, gdy wchodzimy do jakiegoś budynku i jesteśmy proszeni o podanie danych, dysponować nimi nie będzie instytucja, do której w tym budynku idziemy, tylko np. właściciel nieruchomości lub firma ochroniarska – mówi nam GIODO.
Korzystanie z zebranych danych, niezgodnie z celem, jest zabronione i wówczas możemy dochodzić swoich praw. Warto jednak pamiętać, że w przypadku transakcji – na przykład wspomnianego kupowania karty podarunkowej – sprzedawca może od nas w zasadzie żądać jakichkolwiek danych. – To od nas zależy, czy zapłacimy tej osobie swoimi danymi – podkreśla Wojciech Wiewiórowski. Warto pamiętać jednak, że nie musimy ich podawać!
W momencie, kiedy przy jakiejkolwiek transakcji podamy swoje dane, będą one później przechowywane i pracownicy danej firmy będą mieli do nich dostęp. Przy czym GIODO przestrzega, by uważać na regulaminy i sformułowania w nich zawarte. Może się bowiem okazać, że podając swoje dane, wyrażamy zgodę na "udostępnianie danych podmiotom współpracującym z firmą". Teoretycznie nie oznacza to udostępniania danych osobom czy firmom trzecim, ale takich "podmiotów współpracujących" mogą być setki i w efekcie utracimy kontrolę nad naszymi danymi.
Czy możemy mieć wgląd w dane i je usuwać?
Ogólnie – tak. Jak mówi nam GIODO, zawsze mamy prawo dostępu do naszych danych. Możemy również odwołać naszą zgodę dotyczącą przechowywania i przetwarzania danych, ale jest tu jeden haczyk. Otóż jeśli wcześniej wyraziliśmy zgodę na udostępnianie tych danych dalej (czyli np. "podmiotom współpracującym"), to takie wycofanie zgody nie zadziała automatycznie na wszystkie firmy. Musielibyśmy w takiej sytuacji żądać cofnięcia zgody w każdej z firm. Obecnie Komisja Europejska proponuje, by taka automatyczna kasacja następowała we wszystkich spółkach, które ze źródła otrzymały nasze dane, ale to dopiero przyszłość.
Jeśli zaś w sklepie, instytucji lub jakimkolwiek innym miejscu, podczas załatwiania jakichś spraw, ktokolwiek pyta nas o dane, a nam wydaje się to podejrzane – zawsze mamy prawo spytać po co i przez kogo takie informacje będą zbierane. To nasze prawo i każda osoba je zbierająca ma obowiązek odpowiedzieć na nasze pytania – chociaż niestety z egzekwowaniem tego może być problem. Wówczas tylko od nas zależy, czy zechcemy podać dane w ciemno.