Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Wakacje to czas kiedy odpoczywamy i ładujemy akumulatory. Staramy się niczym nie przejmować. Czasem jednak trudno uciec od RODO, zwłaszcza jeśli jest się ekspertem w tej dziedzinie.

W ramach pożegnania wakacji, 5 krótkich historii związanych z prawem do prywatności, które przytrafiły się członkom naszego zespołu.

Historie obrazuję zdjęciami wykonanymi osobiście przez ofiary naruszeń 😉

Nepal i naruszenie zasady minimalizacji w wersji ekstremalnej

naruszenie RODO nepal

To jedna z tych historii, którymi dzielę się często na szkoleniach. Co prawda miała miejsce już kilka lat temu, ale według mnie warto ją przypomnieć. Stolica Nepalu, Kathmandu, rok 2013.

W celu komunikacji z towarzyszem podróży postanowiłem kupić kartę SIM w systemie pre paid od lokalnego operatora.

Pamiętacie Państwo dyskusję nad wprowadzeniem w Polsce podawania nr PESEL oraz imienia i nazwiska przy zakupie karty SIM?

W Nepalu poszli o krok (a nawet kilkaset kroków) dalej.

Procedura zakupu karty SIM wyglądała następująco:

  • Operator poprosił mnie o zrobienie sobie kompletu 3 fotografii.
  • Po wykonaniu zadania (na szczęście szybko i od ręki), poproszono mnie o wykonanie skanu pierwszej strony paszportu.
  • A na koniec otrzymałem bardzo długi formularz z prośbą o wypełnienie. Do zakresu zbieranych ode mnie informacji należało między innymi: kompletne dane teleadresowe, numer identyfikacyjny, imię i nazwisko babci… a także (uwaga!) na zakończenie prośba o odcisk palca (dane biometryczne). Kciuka lewego… oraz prawego.

Od tego czasu nigdy nie spotkałem się z formularzem, który w sposób bardziej rażący narusza zasadę minimalizacji (wtedy adekwatności).

Możliwe naruszenie normy RODO:
art. 5 ust. 1 lit. c) RODO - zasada minimalizacji.

Budapeszt – księga gości otwarta dla wszystkich

naruszenie RODO Budapeszt

Podczas krótkiego pobytu w Budapeszcie, nasza ekspertka spotkała się z zaskakująca sytuacją. Mieszkanie, w którym się zatrzymała zostało wynajęte za pośrednictwem dużego, międzynarodowego portalu.

Po przybyciu na miejsce, właściciel poprosił o wpisanie swoich danych do „książki gości”.

Był to gruby zeszyt, w którym należało wpisać swoje imię, nazwisko, numer identyfikacyjny i adres zamieszkania.

Problem polegał na tym, że każdy kolejny gość miał dostęp do wszystkich ww. danych osobowych. Zeszyt leżał w miejscu ogólnodostępnym dla wszystkich gości i nie był w żaden sposób zabezpieczony.

Możliwe naruszenie normy RODO:
art. 5 ust. 1 lit. a) RODO - zasada zgodności z prawem tj. przetwarzanie danych bez podstawy prawnej, art. 5 ust. 1 lit. c) RODO - zasada minimalizacji oraz art. 32 ust. 1 RODO – niewłaściwe zabezpieczenie danych tj. przechowywanie danych w ogólnodostępnym miejscu.

Skanowanie po włosku

naruszenie RODO Toskania

Kolejny przypadek naruszenia odnotowała nasza ekspertka, podczas podróży po Toskanii.

W Polsce wiele mówi się o zakazie kserowania, skanowania lub jakiegokolwiek innego rodzaju powielania dokumentów tożsamości.

W każdym z miejsc, w których zatrzymała się na nocleg (a było ich 6) proszono ją oraz jej partnera o dowód osobisty w celu wykonania fotografii dokumentu.

Miało to posłużyć rozliczeniu opłat klimatycznych. Po rozmowach okazało się jednak, że aby wywiązać się z tego obowiązku, obiekt musi przekazać władzom jedynie imię, nazwisko, kraj pochodzenia gościa i datę pobytu (od, do).

Samo wykonanie fotografii dokumentów było po prostu przyjętą praktyką, na którą nikt wcześniej nie zwracał uwagi.

Możliwe naruszenie normy RODO:
art. 5 ust. 1 lit. a) RODO - zasada zgodności z prawem tj. przetwarzanie danych bez podstawy prawnej, art. 5 ust. 1 lit. c) RODO - zasada minimalizacji oraz art. 32 ust. 1 RODO – niewłaściwe zabezpieczenie danych tj. przechowywanie zdjęć dokumentów w prywatnych telefonach.

Genewa – rower w zamian za dokument tożsamości

naruszenie RODO Genewa

Genewa oferuje turystom możliwość zwiedzania miasta na rowerze i to całkowicie za darmo.

Rower miejski, bez ponoszenia kosztów, można wypożyczyć na 4 godziny. Jednak warunkiem jest pozostawienie w punkcie obsługi paszportu lub dowodu osobistego oraz uiszczenie depozytu w wysokości 20 CHF.

Na szczęście alternatywą dla wątpliwej pod kątem ochrony danych osobowych praktyki genewskich wypożyczalni rowerowych jest zainstalowanie aplikacji umożliwiającej wypożyczenie roweru.

Aplikacja działa w podobny sposób jak warszawskie Veturilo. Mając świadomość negatywnych konsekwencji związanych z ewentualną kradzieżą tożsamości, ekspertka zdecydowała się na wypożyczenie roweru za pomocą aplikacji.

Możliwe naruszenie normy RODO:
art. 5 ust. 1 lit. c) RODO - zasada minimalizacji oraz art. 5 ust. 1 lit. a) RODO - zasada zgodności z prawem tj. przetwarzanie danych bez podstawy prawnej.

Zabór dokumentu tożsamości na Maderze

naruszenie RODO Madera

Podczas meldowania nasz ekspert został poproszony o przekazanie dowodów osobistych na „około pół godziny”.

Naturalne było więc pytanie, do czego dokumenty będą potrzebne. Odpowiedź była następująca: wykonanie skanu w celu zameldowania.

Na sugestię, że chyba jednak nie jest to konieczne oraz, że w Portugali tak jak w naszym kraju obowiązują przepisy RODO z lekkim oporem, ale przyznano rację. Finalnie dokumenty nie były skanowane.

Możliwe naruszenie normy RODO:
art. 5 ust. 1 lit. a) RODO - zasada zgodności z prawem tj. przetwarzanie danych bez podstawy prawnej oraz art. 5 ust. 1 lit. c) RODO - zasada minimalizacji danych tj. przetwarzanie danych w zakresie szerszym niż był niezbędny dla osiągnięcia celów przetwarzania.

Czy walczyć o swoją prywatność na wakacjach?

Z jednej strony będąc świadomym swoich praw, nie powinniśmy zgadzać się na naruszenia. Z drugiej strony na wakacjach chcemy odpocząć. Nawet od RODO 😉

W niektórych przypadkach (np. skanowanie dokumentów tożsamości czy paszportów) nie chodzi wyłącznie o sferę niematerialną. Zostawienie paszportu czy dowodu osobistego w obiekcie turystycznym czy wypożyczalni rodzi dla nas realne ryzyka. Począwszy od zagubienia dokumentu, aż po jego sfałszowanie.

Każdy spór czy konflikt z miejscowymi, będzie dla nas obciążający psychicznie, a tym samym może skutecznie odbierać zasłużony czas relaksu i odpoczynku.

e-learning RODO

Nie chcesz, żeby TWOI pracownicy byli przyczyną podobnych incydentów? Przeszkól ich z zakresu ochrony danych osobowych! Twoi pracownicy otrzymają certyfikat i poznają praktyczną wiedzę z zakresu RODO zamiast nużących regułek. Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Jak się zachować?

Warto rozważyć dwie kwestie.

  • Gdzie leży nasza granica? W którym momencie powiemy „nie”? Kiedy jesteśmy tak zdeterminowani, że liczymy się z odmową realizacji usługi?
  • Kiedy jesteśmy gotowi nagiąć się do zasad proponowanych nam przez usługodawcę? A jeśli tak, to jak możemy zareagować, żeby wyraźnie zakomunikować, że proponowana procedura, narusza zasady RODO?

Kiedy mamy do czynienia z sytuacjami takimi jak: zatrzymanie naszych dokumentów tożsamości w zastaw – nie powinniśmy się na nie godzić. Nawet kosztem naszego wakacyjnego bezkonfliktowego samopoczucia. Ryzyko jest zbyt duże.

Gdy chodzi o sytuacje budzące mniejszy poziom ryzyka (np. skanowanie dowodu osobistego w dużej wypożyczalni aut) – decyzję musimy podjąć sami.

Jeśli już zgodzimy się na skan naszego dowodu osobistego przy wypożyczeniu auta, nie mając żadnej innej alternatywy, zwróćmy w sposób stanowczy uwagę na fakt zaistniałego naruszenia.

Oczywiście na obszarze EOG będzie to znacznie prostsze, ponieważ wszyscy znają skrót GDPR.

Jeśli nie udało nam się wykazać odpowiednim poziomem asertywności na tegorocznych wakacjach… nic straconego, za rok zadziałajmy bardziej stanowczo.

Zakomunikowanie drugiej stronie naruszenia nie musi od razu oznaczać konfliktu.

Jak mówi stare powiedzenie „kropla drąży skałę”.

Bez naszej inicjatywy (choćby tylko informowania), niewiele się zmieni.

A czy Wy mieliście jakieś podobne wakacyjne “przygody”? Zachęcamy do dzielenia się swoimi doświadczeniami w komentarzach.

 

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Co to są odpowiednie środki zabezpieczeń według RODO?
Prywatność zawsze na pierwszym miejscu
O decyzji UODO ws. Morele.net słów kilka

Zostaw odpowiedź