Bezpieczeństwo-Informacji.pl

Czy przed rejestracją w sklepie internetowym, zakładaniu konta bankowego czy brania udziału w konkursach poświęcasz kilkanaście minut na przeczytanie regulaminu?

Zapewne wielu z Was tego nie robi i kto wie, może na tym traci. O jego nieprzeczytaniu z reguły przypominamy sobie, gdy trzeba np. zapłacić za usługę, która – jak myśleliśmy – była darmowa, jednak zapis o płatności został gdzieś wplątany w regulamin.

Nie tylko istotne zapisy dotyczące ewentualnych płatności, czy zobowiązań znajdziemy w regulaminach. Jeśli skorzystanie z usługi, czy sklepu internetowego wymaga podania naszych danych osobowych, winny się w nim znajdować również informacje o sposobie ich przetwarzania – innymi słowy, informacja co będzie działo się z naszymi danymi.

Kilka miesięcy temu zakładałem konto w sklepie internetowym należącym do dużej i znanej firmy. Swoje dane osobowe przekazałem świadomie w celu realizacji i obsługi zamówień przez sprzedawcę. Zapewnieniem ich wykorzystania do tego celu był wyraźny zapis regulaminu: „Dane osobowe znajdujące się w bazie danych sklepu internetowego nie są przekazywane podmiotom
nie uczestniczącym w realizacji zamówienia”. Więc sprawa jest jasna – podmiot pośredniczący, to np., poczta czy kurier.

Byłem bardzo zaskoczony, kiedy pewnego wieczoru odebrałem telefon z ofertą promocyjnego zakupu pewnego produktu. Na moje wyraźne żądanie uzyskałem od dzwoniącego informacje o sposobie pozyskania kontaktu do mnie. Ogromne było moje zdziwienie, gdy dowiedziałem się, że firma otrzymała go od tej, która zgodnie ze swoim regulaminem miała strzec dostępu do moich danych. Dalsza rozmowa potwierdziła, że przekazany został nie tylko numer telefonu, ale także pełne dane adresowe.

Spowodowało to moją natychmiastową reakcję i żądanie jak najszybszego wyjaśnienia zaistniałej sytuacji przez firmę sprzedażową. Naruszony bowiem został nie tylko regulamin wewnętrzny określający zasady sprzedaży, ale przede wszystkim doszło do rażącego naruszenia art. 36 pkt. 1 ustawy o ochronie danych osobowych, który mówi:

„Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.”

Firma przyznała się już w pierwszym mailu do niesłusznego przekazania innemu podmiotowi danych dotyczących mojej osoby, za co przeprosiła. Jednakże w takim przypadku przeprosiny to zbyt mało, aby zapomnieć o tym przykrym incydencie.

W trakcie prowadzenia rozmów drogą elektroniczną z firmą, sporządziłem skargę do Generalnego Inspektora Ochrony Danych Osobowych, gdzie swój koniec miała znaleźć sprawa. Do pisma przewodniego wskazującego winnego naruszenia przepisów ustawy i określeniu moich oczekiwań względem postępowania prowadzonego przez GIODO dołączyłem komplet dokumentów – wyciąg z korespondencji oraz regulaminu firmy – stanowiących dowód.

Skarga nie została jednak przeze mnie wysłana – przedstawiciele firmy kilkukrotnie kontaktowali się ze mną również telefonicznie przepraszając po raz kolejny, wyrażając żal i przede wszystkim zobowiązując się do niedopuszczenia w przyszłości do powstania podobnej sytuacji, a także przetwarzania danych osobowych swoich klientów w zakresie nie przekraczającym wyrażonej zgody.
W efekcie końcowym zawarte zostało porozumienie pomiędzy mną a firmą skutkujące polubownym załatwieniem sprawy z korzyścią dla obu stron.

Przykład ten doskonale obrazuje, jak istotne jest czytanie regulaminów i reagowanie na wszelkie incydenty ich naruszenia. O nasze dane powinniśmy dbać przede wszystkim my sami, a jeśli już je przekazujemy jakiemukolwiek podmiotowi – róbmy to świadomie.

P.S.
Z uwagi na polubowne załatwienie sprawy nazwa firmy oraz szczegóły porozumienia nie zostały w tym materiale ujawnione.

Sławomir Głaz