Numer telefonu w zamian za odcisk palca, czyli przetwarzanie danych osobowych w Katmandu
Czy zastanawialiście się kiedyś, dlaczego w różnego rodzaju formularzach, dawanych nam do wypełnienia przez urzędy lub firmy, figurują czasem tak dziwne i abstrakcyjne pozycje jak np. nazwisko panieńskie matki czy imiona naszych rodziców? Albo dlaczego w trakcie ankiety oceniającej trenera w trakcie szkolenia, jesteście proszeni o podanie swojego numeru PESEL oraz numeru telefonu komórkowego?
Dlaczego w niektórych przypadkach, aby zamieścić komentarz na forum internetowym, konieczne jest podanie swojego imienia i nazwiska, maila oraz daty urodzenia, a w innych już nie?
Czy prawo działa w ten sposób, że podmiot administrujący danymi osobowymi tworzy formularze według własnego uznania i jeśli uzyska naszą zgodę to może wiedzieć o nas dosłownie wszystko?
Udzielę typowo prawniczej odpowiedzi – „i tak” „i nie”. Tak – ponieważ w naszym systemie prawnym wciąż „obowiązuje” starożytna rzymska paremia „volenti non fit iniuria” (chcącemu nie dzieje się krzywda). Jeśli klient chce podzielić się z firmą szczegółowymi informacjami o własnej osobie i wyrazi na to zgodę – nikt nie ma prawa ingerować w cały proces.
Nie – ponieważ ustawa o ochronie danych osobowych „wyposażona” została w tzw. zasadę adekwatności (art. 26 ust. 1 pkt. 3). Jeśli sędzia bądź Generalny Inspektor Ochrony Danych Osobowych uzna, że zestaw danych zbierany od klienta jest zbyt szczegółowy (nieadekwatny), może nakazać usunięcie danych, uznając tym samym proces za nielegalny.
Oczywiście jest cała masa interesujących orzeczeń sądowych, które klasyfikują poszczególne zestawy informacji jako adekwatne bądź nieadekwatne do wskazanego celu. Jednak to nie o orzeczeniach będzie traktował przedmiotowy wpis. Tym razem zastanowimy się nad tym, co może motywować ludzi do zbierania zbyt dużej ilości informacji o klientach bądź interesantach. A także nad tym, jakie skutki wywołuje zbieranie zbyt dużej ilości danych o kliencie czy interesancie.
Obserwowałem procesy zbierania danych w różnych instytucjach i państwach, na przestrzeni wielu lat. Zauważyłem jedną prawidłowość (od której oczywiście zdarzają się wyjątki). Im sprawniej działająca i nie bojąca się ryzyka firma, tym mniej danych jest jej „potrzebnych” w dostarczanych formularzach. Podobną analogię możemy znaleźć na „poziomie” państwa. Im sprawniej i wydajniej ono funkcjonuje – tym prostsze i krótsze są formularze identyfikacyjne wręczane interesantom.
Jako jeden z przykładów chcę przedstawić Nepal – przepiękny kraj, który po wielu perturbacjach, stał się w końcu republiką. Ustrój wciąż jednak nie jest zbyt stabilny. Kupując kartę do telefonu komórkowego, musimy wypełnić formularz. A w nim: poza standardowym zakresem danych… podajemy imiona i nazwiska naszych rodziców… dziadków, adres zamieszkania, numer paszportu… ale także… załączamy nasze zdjęcie(!) oraz odciski linii papilarnych kciuka lewego… oraz prawego.
Dlaczego więc w Nepalu (i nie tylko), zakup zwykłej karty SIM, odbywa się kosztem przysługującego obywatelom prawa do prywatności?
Osobiście widzę następujące przyczyny. Po pierwsze chęć „wykazania się”, urzędników tworzących nowe regulacje prawne. Co to za przepis, rozporządzenie, który jest prosty i krótki? Czy aby przełożeni nie pomyślą, że się za mało staram?
Interesant zmuszony do wypełniania długiego i skomplikowanego formularza czuje się mały, słaby i pozbawiony swoich praw. A przecież o to też chodzi niezbyt pewnym siebie urzędnikom. Zbyt pewny siebie interesant czy klient to duże zagrożenie.
Wypełnianie skomplikowanych formularzy, tworzy też… miejsca pracy. W stolicy Nepalu, Kathmandu, na każdym rogu znajdziemy warsztat fotograficzny czy ksero. Urzędnicy mają zajęcie, wykonują swoje obowiązki dłużej i tym samym jest dodatkowe uzasadnienie na wydawanie publicznych pieniędzy.
Przykład z Nepalu jest dość skrajnym przykładem ale identyczne mechanizmy działają w Polsce czy w Niemczech. Wszędzie tam, gdzie nie czujemy się pewnie, gdzie się boimy – próbujemy schować się za skomplikowanym formularzem i w ten sposób „dodać” sobie autorytetu.
Według mnie nie jest to najlepsza metoda na zwiększenie swojego poczucia bezpieczeństwa. Pierwsze co czuje osoba wypełniająca skomplikowany formularz, to złość lub poczucie krzywdy i naruszenia jej prawa do prywatności.
Zbieranie danych osobowych, które tak naprawdę nie są nam niezbędne to także więcej pracy dla naszych pracowników, przygotowujących i przechowujących formularze. Co z tego, że w skali jednego formularza to kilkanaście sekund więcej, jeśli w skali roku, nasi pracownicy mogą poświęcać na czekanie aż klient wypełni formularz, nawet kilka tygodni.
Zdaję sobie sprawę z tego, że w większości przypadków działania polegające na zbędnym formalizowaniu są nieświadome. Warto jednak poświęcić trochę więcej czasu, bądź skorzystać z pomocy specjalisty, zanim przygotujemy kwestionariusz, który skutecznie zniechęci do nas klientów, ściągnie na nas kontrolę GIODO i sprawi, że nasi pracownicy poczują się jak nepalscy urzędnicy.
Wszędzie tam, gdzie możemy zbierać mniej danych osobowych – zbierajmy ich mniej. Skorzystają na tym wszyscy.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.