Handel danymi osobowymi, czyli apetyt na PESEL
Handel danymi osobowymi to w Polsce powszechny i dochodowy proceder. I jest legalny pod warunkiem, że firma pozyskująca dane powiadomi ich właściciela o ich nabyciu i celu, w jakim będzie danych używać. Tylko tego warunku prawie nikt nie dotrzymuje
Imię, nazwisko, PESEL, adres domowy, adres e-mail, numer telefonu to dziś cenny towar. Firmy marketingowe namiętnie handlują danymi i tworzonymi z nich bazami. Mnożą się informacje o sprzedawaniu danych osób np. poszkodowanych w wypadkach, klientów banków lub telekomów. Cena takiego kontaktu zależy od informacji w nim zawartej. Samo nazwisko z numerem telefonu czy adresem e-mail jest warte średnio kilkadziesiąt groszy. Co innego w połączeniu z numerem PESEL, informacją o zarobkach, zakupach i innych zachowaniach konsumenckich. Takie, tzw. spersonalizowane, dane potrafią kosztować ponad 100 zł za sztukę i są gratką dla marketingowców, którzy opracowują strategie reklamowe i sprzedażowe w firmach.
Legalnie rozdawane
Pozyskiwanie i sprzedawanie danych z powszechnie dostępnych źródeł takich jak: portale społecznościowe, fora internetowe czy książki telefoniczne, jest w pełni legalne. Przy okazji warto podkreślić, że to my sami jesteśmy najczęściej najlepszym źródłem „wycieku” danych osobowych, które trafiają do zbiorów speców marketingowych. Nagminnie popełniamy bowiem proste błędy, udostępniając w sieci informacje o sobie, m.in. podajemy daty urodzenia, miejsce zamieszkania, pracy, wypoczynku czy nawet zakupów. Informacje te chętnie gromadzą i przetwarzają firmy marketingowe, ale też np. banki.
Firmy nabywające dane osobowe muszą najpierw spełnić szereg obowiązków, by z zakupionych danych móc legalnie korzystać. – Taka firma, zanim przedstawi nam np. ofertę handlową, musi zwrócić się do nas o wyrażenie nowej zgody na przetwarzanie przez nią naszych danych osobowych – mówi Adam Myziak, założyciel ABI Consult, były inspektor Głównego Inspektora Ochrony Danych Osobowych (GIODO) w latach 2000-2010. I przypomina, że w tej sprawie Naczelny Sąd Administracyjny w wyroku z 13 lipca 2004 r. stwierdził, że „jeżeli jedna firma kupiła dane osobowe od innej, musi o tym niezwłocznie poinformować osoby, których dotyczy transakcja. Nie wolno też wysyłać jednocześnie ofert marketingowych, gdyż dalsze korzystanie z takich danych zależy od zainteresowanych, którzy mogą zgłosić sprzeciw lub skorzystać z innych form kontroli”. Zatem zgodnie z prawem dalsze korzystanie z tak pozyskanych danych zależy tylko od zainteresowanych. Mogą oni zgłosić sprzeciw lub skorzystać z innych form kontroli przetwarzania swoich danych. – Nie zmienia to faktu, że przepisy te często są łamane – dodaje ekspert.
Nielegalne, bo kradzione
W każdej firmie bazy danych są, zaraz po pracownikach, drugim najcenniejszym zasobem w organizacji. Dlatego są one łakomym kąskiem dla oszustów, a nawet firmowych złodziei. Co jakiś czas pojawiają się doniesienia o kolejnej kradzieży bazy danych osobowych. Jedna z bardziej spektakularnych kradzieży w Polsce miała miejsce ponad dwa lata temu w Łodzi. Pracownik jednej ze znanych sieci komórkowych chciał sprzedać dane 135 tys. osób z całej Polski. Kwota, jakiej sobie zażyczył, to 54 tys. zł – 40 groszy za komplet danych jednej osoby. Eksperci twierdzą, że musiały to być podstawowe dane, jak np. nazwisko, numer telefonu. Ale sprawa jest jasna: póki jest popyt na takie dane, a chętnych jest wielu, póty będzie podaż. I trudno się przed tym uchronić, szczególnie gdy najsłabszym ogniwem jest człowiek, jak w przypadku łódzkiej kradzieży.
Sytuację ma poprawić instytucja Administratora Bezpieczeństwa Informacji (w skrócie ABI), który od kilku miesięcy pojawia się w firmach w celu sprawdzenia, czy przetwarzanie danych osobowych przez firmę jest zgodne z przepisami prawa. – Ale na efekty działania ABI trzeba jeszcze poczekać – dodaje rzeczniczka GIODO.
7 grzechów głównych w ochronie danych
1. Wyrzucanie do śmieci dokumentów (np. wyciągów z banku) czy nośników informatycznych, zamiast ich zniszczenia w sposób uniemożliwiający odtworzenie zawartych tam danych osobowych.
2. Pozostawianie dowodu tożsamości jako zastawu, np. w wypożyczalniach, lub zgoda na ich kopiowanie.
3. Podpisywanie zgody na przetwarzane danych osobowych (dołączone do różnych formularzy, ankiet, umów) bez sprawdzania kto i w jakim zakresie będzie je przetwarzał.
4. Korzystanie z bankowości elektronicznej bez oprogramowania chroniącego komputer i urządzenia mobilne przed działaniami złośliwego oprogramowania.
5. Odpowiadanie na e-maile spamerów.
6. Używanie tych samych nieskomplikowanych haseł do różnych operacji (e-bank, e-zakupy, e-mail, serwisy społecznościowe).
7. Nieograniczone udostępnianie przez internet danych o sobie, swoich bliskich i znajomych.
Więcej na ten temat w kwietniowym wydaniu „Gazety Bankowej”