Media co chwila donoszą o kolejnych przypadkach łamania przepisów o ich ochronie. W 2008 roku głośno było o tym, że z Pekao SA wyciekły dane ponad 1000 osób starających się o praktyki, staże i inne formy zatrudnienia w banku.
Pod koniec ubiegłego roku w Polskę poszła z kolei wieść, że na stronach urzędu miasta Wągrowiec w Wielkopolsce zamieszczono imiona i nazwiska, a także dokładne adresy osób, które składały do gminy skargi.
W listopadzie wrocławscy internauci dostali maile zachęcające do poparcia w wyborach wieloletniego prezydenta miasta, Rafała Dutkiewicza. Ich elektroniczne adresy miały wyciec z bazy użytkowników Wrocławskiej Karty Miejskiej. Kontrolę wewnętrzną zlecił w tym przypadku sam prezydent, a sprawą zajęły się również prokuratura i Generalny Inspektor Ochrony Danych Osobowych (GIODO).
Lista skarg coraz dłuższa
Ta ostatnia instytucja na brak pracy nie narzeka.
- W ubiegłym roku trafiło do nas aż 1114 skarg związanych z łamaniem praw dotyczących ochrony danych osobowych, podczas gdy jeszcze w roku 2007 było ich tylko 796 - mówi dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych.
Przyrost minister Wiewiórowski tłumaczy głównie wzrostem poziomu świadomości społeczeństwa, niekoniecznie liczby zdarzeń.
- Coraz większa jest nasza wiedza o ochronie danych osobowych i coraz większe zainteresowanie tą tematyką - stwierdza.
Wśród skarg do GIODO przeważają te, w których ludzie podejrzewają, że ich dane osobowe zostały przez firmy - najczęściej marketingowe czy instytucje finansowe - wykorzystane bez zgody na przetwarzanie.
- Niestety, często okazywało się, że takie sytuacje były spowodowane niewiedzą lub nieuwagą tych osób, które przy podpisywaniu zgody na przetwarzanie danych nie doczytały, że zgadzają się również na ich przekazywanie innym podmiotom - stwierdza minister Wiewiórowski.
Taka zgoda mogła być np. dopisana w umowie drobnym drukiem, którego z zasady nikt już nie czyta.
- Ale trafiały do nas również sprawy świadczące o niefrasobliwości instytucji administrujących danymi - dodaje generalny inspektor.
Wśród nich sporą grupę stanowiły skargi na spółdzielnie i wspólnoty mieszkaniowe, które rzecz jasna mogą przekazywać swoim mieszkańcom informacje o spotkaniach czy zadłużeniu. Nie mogą natomiast wywieszać ich, wraz z listą imion i nazwisk, na tablicach ogłoszeniowych.
Na prowadzonych przez pracowników GIODO inspekcjach okazywało się, że firmy ciągle nieodpowiednio zabezpieczają dane albo zbyt pochopnie udzielają upoważnień dotyczących bezpieczeństwa danych. Jak często inspektorzy spotykali się z problemem nielegalnego przekazywania lub handlu bazami danych?
- Takie przypadki rzeczywiście się zdarzają. Jeśli noszą znamiona przestępstwa, zawiadamiamy organy ścigania - mówi Wojciech Wiewiórowski. - Średnio rocznie informujemy odpowiednie służby o podejrzeniu popełnienia przestępstwa około 20 razy.
Opolszczyzna nie jest białą plamą
W ubiegłym roku opolska policja zajmowała się czterema tego typu przypadkami. Wszystkie dotyczyły bezprawnego przetwarzania danych osobowych. Była wśród nich sprawa znalezionych na ul. 10 Sudeckiej Dywizji Zmechanizowanej dokumentów zawierających dane osobowe. - Śledczy uznali ją jednak za działanie nieumyślne i umorzyli postępowanie - wyjaśnia Aleksandra Wnuk z biura prasowego Komendy Wojewódzkiej Policji w Opolu.
Policja badała też sprawę z Dobrzenia Wielkiego, gdzie jeden z uczestników konfliktu sąsiedzkiego dotarł do dokumentacji medycznej swojego adwersarza i - pewnie po to, by go zniesławić - przesłał ją do jednego z tamtejszych urzędów.
Mieszkaniec Niemodlina z kolei narażony został na nękanie telefonami przez osoby, które chciały od niego kupić przedmiot wystawiony na internetowej aukcji. - W serwisie podano jego prawdziwe imię oraz numer telefonu, tymczasem mężczyzna nigdy nie wystawiał żadnego przedmiotu do sprzedaży - mówi Aleksandra Wnuk. Sprawę tę umorzono z powodu niewykrycia sprawcy. Ogłoszenie zawisło bowiem na jednym z zagranicznych serwerów.
Najbardziej przykrą ze spraw był natomiast anons erotyczny, który 18-letni mieszkaniec powiatu oleskiego zamieścił w sieci bez zgody swojej 17-letniej koleżanki.
- Rzecz miała miejsce w maju ubiegłego roku - wspomina Aleksandra Wnuk z biura prasowego opolskiej policji. - Mężczyzna został zatrzymany w lipcu. Usłyszał zarzut i przyznał się do winy.
Groziło mu za to, jak i innym osobom łamiącym artykuł 49 ustawy o ochronie danych osobowych dotyczący bezprawnego ich przetwarzania, do 2 lat pozbawienia wolności.
Spore zamieszanie w kwestiach związanych z ochroną danych osobowych wprowadziły też popularne od kilku lat w Polsce serwisy społecznościowe typu Nasza Klasa czy Facebook. Tworzący tam swoje profile często bezrefleksyjnie umieszczali w nich sporo informacji o sobie, o tym, jak im się powodzi, mieszka, podróżuje, oraz informacje z danymi swoich znajomych - choćby imiona i nazwiska osób widocznych na zdjęciach.
- Takie postępowanie ma poważne konsekwencje. Trzeba bowiem zdawać sobie sprawę z tego, że dane umieszczone na profilu, a więc podane do publicznej wiadomości, mogą być wykorzystywane do różnych celów, a nad ich przetwarzaniem przestajemy mieć kontrolę - stwierdza Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych.
Prawdziwą plagą w serwisach okazały się w pewnym momencie fałszywe profile. - Ich zakładanie bez zgody osoby, której dotyczą, to nic innego jak kradzież tożsamości - kwituje GIODO. Problem ten dotyczył nie tylko celebrytów, ale też na przykład… nauczycieli. - Fałszywe profile zakładali im "dowcipni" uczniowie i wykorzystywali je do zamieszczania informacji nieprawdziwych, obraźliwych lub wręcz kompromitujących - opowiada GIODO.
Jest ochrona
Przypadków i form bezprawnego wykorzystywania naszych danych osobowych jest wiele, ale nie unikniemy ich podawania - w bankach, urzędach, towarzystwach ubezpieczeniowych i innych firmach. Choćby dlatego, że dla wielu przedsiębiorstw, np. licznych na opolskim rynku biur pośrednictwa pracy, rozbudowane bazy danych z nazwiskami potencjalnych pracowników to podstawa działalności. Dlatego przedsiębiorstwa te wykorzystują cały arsenał środków do ich ochrony.
- Zabezpieczenie danych odbywa się w naszym przypadku na kilku płaszczyznach - od ochrony fizycznej sprzętu, serwerów i archiwów z dokumentami drukowanymi zawierającymi dane osobowe, poprzez ochronę polegającą na kształtowaniu świadomości pracowników - tłumaczy Piotr Chrobak z biura pośrednictwa pracy Holland Contracting, które ma w swoich zasobach bazę danych ponad 80 tys. osób.
- Wszyscy pracownicy wiedzą, że nie można podawać osobie X informacji o osobie Y, mają ustawione monitory tak, aby klient nie miał możliwości podglądania ich nawet zza okna, nie zapisują haseł dostępu na "żółtych karteczkach" przyklejanych na monitor, wylogowują się z systemu, kiedy opuszczają stanowisko pracy i pilnują, aby na ich biurku nie było dokumentów z widocznymi danymi osobowymi. Każdy taki niepotrzebnie wydrukowany dokument natychmiast trafia do niszczarki, która jest jednym z podstawowych sprzętów w firmie. Ostatnim elementem zabezpieczeń są te stosowane w oprogramowaniu komputerowym: szyfrowanie, kontrola dostępu i temu podobne objęte zazwyczaj tajemnicą firmy, stale monitorowane, zmieniane i ulepszane.
Co my sami możemy zrobić, by nie narazić się na nie chciane konsekwencje związane z kwestią ochrony danych osobowych?
- To truizm, ale po pierwsze trzeba uważać, komu, na jakiej podstawie i po co przekazujemy swoje dane, a więc mimo niedogodności czytać drobny druk - podpowiada generalny inspektor ochrony danych osobowych. - Proszę pamiętać, że przy jakiejś transakcji przedsiębiorca może od nas wymagać podania adresu, imienia, nazwiska, nawet PESEL-u. Ale w 99 procentach przypadków nie ma prawa pytać klientów np. o stan posiadania, informacje o rodzinie czy stanie zdrowia.
Wyjątkowo niewygodna i wieloznaczna jest zgoda na przekazywanie danych. Oznacza bowiem, że firma może je dać innemu przedsiębiorstwu, będącemu z nią np. w jednej grupie kapitałowej. Trzeba też pamiętać, że mamy prawo do podawania wyłącznie swoich danych. Każde pytanie o dane kogoś z rodziny czy znajomych powinno budzić naszą nieufność.
- Uważajmy też na to, co piszemy o sobie w serwisach internetowych. To, co trafia do przestrzeni publicznej, może być przecież różnie wykorzystane - zastrzega szef GIODO.
Wszelkie wątpliwości zawsze można zgłaszać do biura Generalnego Inspektora lub organów ścigania. Zawsze też możemy zażądać usunięcia naszych danych z bazy konkretnej firmy, a od 7 marca tego roku, kiedy to weszła w życie nowelizacja ustawy o ochronie danych osobowych - również odwołać wydaną wcześniej zgodę na przetwarzanie danych. Z niewielkim wyjątkiem. - Nie możemy bowiem odwołać zgody na przetwarzanie danych albo żądać ich usunięcia od firmy, np. banku, z którą mamy podpisaną i wciąż trwającą umowę.