Wakacje to czas kiedy odpoczywamy i ładujemy akumulatory. Staramy się niczym nie przejmować. Czasem jednak trudno uciec od RODO, zwłaszcza jeśli jest się ekspertem w tej dziedzinie.
W ramach pożegnania wakacji, 5 krótkich historii związanych z prawem do prywatności, które przytrafiły się członkom naszego zespołu.
Historie obrazuję zdjęciami wykonanymi osobiście przez ofiary naruszeń 😉
Nepal i naruszenie zasady minimalizacji w wersji ekstremalnej
To jedna z tych historii, którymi dzielę się często na szkoleniach. Co prawda miała miejsce już kilka lat temu, ale według mnie warto ją przypomnieć. Stolica Nepalu, Kathmandu, rok 2013.
W celu komunikacji z towarzyszem podróży postanowiłem kupić kartę SIM w systemie pre paid od lokalnego operatora.
Pamiętacie Państwo dyskusję nad wprowadzeniem w Polsce podawania nr PESEL oraz imienia i nazwiska przy zakupie karty SIM?
W Nepalu poszli o krok (a nawet kilkaset kroków) dalej.
Procedura zakupu karty SIM wyglądała następująco:
- Operator poprosił mnie o zrobienie sobie kompletu 3 fotografii.
- Po wykonaniu zadania (na szczęście szybko i od ręki), poproszono mnie o wykonanie skanu pierwszej strony paszportu.
- A na koniec otrzymałem bardzo długi formularz z prośbą o wypełnienie. Do zakresu zbieranych ode mnie informacji należało między innymi: kompletne dane teleadresowe, numer identyfikacyjny, imię i nazwisko babci… a także (uwaga!) na zakończenie prośba o odcisk palca (dane biometryczne). Kciuka lewego… oraz prawego.
Od tego czasu nigdy nie spotkałem się z formularzem, który w sposób bardziej rażący narusza zasadę minimalizacji (wtedy adekwatności).
Budapeszt – księga gości otwarta dla wszystkich
Podczas krótkiego pobytu w Budapeszcie, nasza ekspertka spotkała się z zaskakująca sytuacją. Mieszkanie, w którym się zatrzymała zostało wynajęte za pośrednictwem dużego, międzynarodowego portalu.
Po przybyciu na miejsce, właściciel poprosił o wpisanie swoich danych do „książki gości”.
Był to gruby zeszyt, w którym należało wpisać swoje imię, nazwisko, numer identyfikacyjny i adres zamieszkania.
Problem polegał na tym, że każdy kolejny gość miał dostęp do wszystkich ww. danych osobowych. Zeszyt leżał w miejscu ogólnodostępnym dla wszystkich gości i nie był w żaden sposób zabezpieczony.
Skanowanie po włosku
Kolejny przypadek naruszenia odnotowała nasza ekspertka, podczas podróży po Toskanii.
W Polsce wiele mówi się o zakazie kserowania, skanowania lub jakiegokolwiek innego rodzaju powielania dokumentów tożsamości.
W każdym z miejsc, w których zatrzymała się na nocleg (a było ich 6) proszono ją oraz jej partnera o dowód osobisty w celu wykonania fotografii dokumentu.
Miało to posłużyć rozliczeniu opłat klimatycznych. Po rozmowach okazało się jednak, że aby wywiązać się z tego obowiązku, obiekt musi przekazać władzom jedynie imię, nazwisko, kraj pochodzenia gościa i datę pobytu (od, do).
Samo wykonanie fotografii dokumentów było po prostu przyjętą praktyką, na którą nikt wcześniej nie zwracał uwagi.
Genewa – rower w zamian za dokument tożsamości
Genewa oferuje turystom możliwość zwiedzania miasta na rowerze i to całkowicie za darmo.
Rower miejski, bez ponoszenia kosztów, można wypożyczyć na 4 godziny. Jednak warunkiem jest pozostawienie w punkcie obsługi paszportu lub dowodu osobistego oraz uiszczenie depozytu w wysokości 20 CHF.
Na szczęście alternatywą dla wątpliwej pod kątem ochrony danych osobowych praktyki genewskich wypożyczalni rowerowych jest zainstalowanie aplikacji umożliwiającej wypożyczenie roweru.
Aplikacja działa w podobny sposób jak warszawskie Veturilo. Mając świadomość negatywnych konsekwencji związanych z ewentualną kradzieżą tożsamości, ekspertka zdecydowała się na wypożyczenie roweru za pomocą aplikacji.
Zabór dokumentu tożsamości na Maderze
Podczas meldowania nasz ekspert został poproszony o przekazanie dowodów osobistych na „około pół godziny”.
Naturalne było więc pytanie, do czego dokumenty będą potrzebne. Odpowiedź była następująca: wykonanie skanu w celu zameldowania.
Na sugestię, że chyba jednak nie jest to konieczne oraz, że w Portugali tak jak w naszym kraju obowiązują przepisy RODO z lekkim oporem, ale przyznano rację. Finalnie dokumenty nie były skanowane.
Czy walczyć o swoją prywatność na wakacjach?
Z jednej strony będąc świadomym swoich praw, nie powinniśmy zgadzać się na naruszenia. Z drugiej strony na wakacjach chcemy odpocząć. Nawet od RODO 😉
W niektórych przypadkach (np. skanowanie dokumentów tożsamości czy paszportów) nie chodzi wyłącznie o sferę niematerialną. Zostawienie paszportu czy dowodu osobistego w obiekcie turystycznym czy wypożyczalni rodzi dla nas realne ryzyka. Począwszy od zagubienia dokumentu, aż po jego sfałszowanie.
Każdy spór czy konflikt z miejscowymi, będzie dla nas obciążający psychicznie, a tym samym może skutecznie odbierać zasłużony czas relaksu i odpoczynku.
Nie chcesz, żeby TWOI pracownicy byli przyczyną podobnych incydentów?
Przeszkól ich z zakresu ochrony danych osobowych! Twoi pracownicy otrzymają certyfikat i poznają praktyczną wiedzę z zakresu RODO zamiast nużących regułek. Sprawdź nasze interaktywne szkolenia e-learningowe.
Sprawdź nasze interaktywne szkolenia e-learningowe.
Jak się zachować?
Warto rozważyć dwie kwestie.
- Gdzie leży nasza granica? W którym momencie powiemy „nie”? Kiedy jesteśmy tak zdeterminowani, że liczymy się z odmową realizacji usługi?
- Kiedy jesteśmy gotowi nagiąć się do zasad proponowanych nam przez usługodawcę? A jeśli tak, to jak możemy zareagować, żeby wyraźnie zakomunikować, że proponowana procedura, narusza zasady RODO?
Kiedy mamy do czynienia z sytuacjami takimi jak: zatrzymanie naszych dokumentów tożsamości w zastaw – nie powinniśmy się na nie godzić. Nawet kosztem naszego wakacyjnego bezkonfliktowego samopoczucia. Ryzyko jest zbyt duże.
Gdy chodzi o sytuacje budzące mniejszy poziom ryzyka (np. skanowanie dowodu osobistego w dużej wypożyczalni aut) – decyzję musimy podjąć sami.
Jeśli już zgodzimy się na skan naszego dowodu osobistego przy wypożyczeniu auta, nie mając żadnej innej alternatywy, zwróćmy w sposób stanowczy uwagę na fakt zaistniałego naruszenia.
Oczywiście na obszarze EOG będzie to znacznie prostsze, ponieważ wszyscy znają skrót GDPR.
Jeśli nie udało nam się wykazać odpowiednim poziomem asertywności na tegorocznych wakacjach… nic straconego, za rok zadziałajmy bardziej stanowczo.
Zakomunikowanie drugiej stronie naruszenia nie musi od razu oznaczać konfliktu.
Jak mówi stare powiedzenie „kropla drąży skałę”.
Bez naszej inicjatywy (choćby tylko informowania), niewiele się zmieni.
A czy Wy mieliście jakieś podobne wakacyjne „przygody”? Zachęcamy do dzielenia się swoimi doświadczeniami w komentarzach.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Wakacyjne doświadczenia autora oraz Zespołu Lex Artist
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.