Komu udostępniać dane?

Z dr Edytą Bielak-Jomaa, Generalnym Inspektorem Ochrony Danych Osobowych, rozmawia Radek Molenda

Jaką możemy mieć pewność, że nasze dane – udostępniane na każdej recepcie, na poczcie, podczas kontroli biletów czy spisywania jakiejkolwiek umowy – nie zostaną wykorzystane w sposób bezprawny?

Dane osobowe są cennym towarem rynkowym, poszukiwanym m.in. przez ludzi, którzy chcą je wykorzystać w przestępczych celach. Z tego względu trzeba się z tymi danymi – własnymi, bliskich, znajomych – właściwie obchodzić. Czyli nie przekazywać nieznanym sobie osobom i podmiotom, ci bowiem, którzy chcą je od nas wyłudzić, często stosują w tym celu bardzo skomplikowane środki socjotechniczne. Nierzadko również sami udostępniamy je podmiotom, o których nic nie wiemy, nie pytając nawet, czy mają prawo ich od nas żądać i w jakim celu będą je przetwarzać.

Innym zjawiskiem ułatwiającym przestępcom działalność jest stosowanie przez administratorów danych niewłaściwych zabezpieczeń, co sprzyja kradzieży danych. Zdarzają się też przypadki udostępniania danych osobowych podmiotom nieupoważnionym przez pracowników administratora. W konsekwencji dochodzi do wypływu danych, które są wykorzystywane do przestępczych celów. Jest to dziś bardzo poważny problem.

Skąd możemy wiedzieć, komu i w jakim zakresie udostępniać nasze dane?

W pierwszej kolejności, przed udostępnianiem swoich danych osobowych, należy przeanalizować przepisy prawa regulujące działalność podmiotu, który żąda od nas konkretnych informacji. Przepisy przesądzają, kto, w jakim zakresie i do jakich celów może pozyskać dane osobowe innej osoby.

A jeśli nie znamy tych przepisów lub nie przesądzają one wprost o możliwości przetwarzania naszych danych?

Wtedy zastosowanie mają ogólne zasady określone w ustawie o ochronie danych osobowych. Aby przetwarzanie danych osobowych, np. ich pozyskiwanie, było legalne, każdy ich administrator, czyli podmiot decydujący o celach i środkach przetwarzania danych osobowych, musi spełnić przynajmniej jedną z przesłanek, która go do tego uprawnia. Są one wymienione w art. 23 ust. 1 ustawy – jeśli chodzi o przetwarzanie danych osobowych tzw. zwykłych, jak np. imię i nazwisko, adres zamieszkania czy numer PESEL, oraz w jej art. 27 ust. 2 – w przypadku przetwarzania tzw. danych szczególnie chronionych, takich jak np. dane o stanie zdrowia, kodzie genetycznym, nałogach czy przynależności partyjnej lub związkowej. Co zaś do pozyskiwania danych osobowych przez różnego rodzaju wypożyczalnie, np. łyżew, nart, kajaków itd. – często stosowaną przez nie praktyką jest zatrzymywanie lub wręcz kopiowanie dokumentów potwierdzających tożsamość jako zastawu za wypożyczony sprzęt. Takie działanie jest nielegalne – niezgodne z ustawą o dowodach osobistych i naruszające podstawowe zasady z ustawy o ochronie danych osobowych. Powinniśmy wtedy proponować inny sposób postępowania, np. pozostawienie kaucji lub spisanie imienia i nazwiska oraz adresu zamieszkania, ewentualnie samego tylko numeru PESEL. Można także zrezygnować z usługi, jeśli dojdziemy do wniosku, że bezpieczeństwo naszych danych osobowych jest dla nas ważniejsze niż potrzeba krótkotrwałego skorzystania z oferty firmy.

Jakie dane i w jaki sposób powinniśmy szczególnie chronić?

Przy udostępnianiu danych osobowych zawsze należy zachować daleko idącą ostrożność. Nie powinniśmy ich podawać np. wtedy, gdy w ogóle nie wiemy, kto ich od nas żąda. Szczególnie czujnym warto być przy wypełnianiu różnego rodzaju ankiet, udostępnianiu danych w internecie czy wówczas, gdy próbuje je od nas pozyskać osoba kontaktująca się telefonicznie, podająca się za pracownika np. urzędu, banku czy operatora telekomunikacyjnego. Jeśli nie mamy całkowitej pewności, że jest ona tym, za kogo się podaje, lepiej nie przekazywać jej informacji na swój temat. Są bowiem osoby, które doskonale potrafią opracować fikcyjną ofertę, np. znanego przedsiębiorcy, a następnie wydobyć od potencjalnego klienta informacje, o które taki przedsiębiorca by zapytał. Dlatego zawsze radzę, by pochopnie nie udostępniać swoich danych osobowych, lepiej poprosić o przesłanie szczegółowych informacji pocztą tradycyjną lub elektroniczną. Jeśli ktoś faktycznie chce nam przedstawić ofertę, dostosuje się do nas.

Przed podjęciem ostatecznej decyzji o udostępnieniu danych warto pamiętać, że pozyskujący je podmiot musi spełnić wobec nas obowiązek informacyjny, czyli przekazać nam informacje na swój temat tak, abyśmy mieli pewność, przez kogo, na jakiej podstawie, w jakim celu i w jaki sposób nasze dane będą przetwarzane. Radzę uważnie zapoznać się z tymi informacjami i rozważyć, czy na wskazanych tam warunkach chcemy nasze dane udostępnić.

Czyli nie pomagać złodziejom?

Warto też pamiętać, by nie wyrzucać na śmietnik dokumentów czy nośników informatycznych. Dla potencjalnego złodzieja to kopalnia wiedzy, zwłaszcza gdy zawierają informacje umożliwiające ustalenie, gdzie pracujemy, ile zarabiamy, kiedy nie ma nas w domu, ile mamy dzieci, jak drogie robimy zakupy. Pamiętajmy, aby niszczyć dokumenty w sposób uniemożliwiający odtworzenie zawartych w nich danych osobowych, aby używać oprogramowania chroniącego komputer i urządzenia mobilne przed złośliwym oprogramowaniem, aby nie odpowiadać na maile spamerów i nie używać funkcji wypisywania się z list mailingowych, a także by zachować ostrożność przy korzystaniu z usług bankowości elektronicznej i dokonywaniu zakupów przez internet.

Warto przestrzegać zasady, by w serwisach internetowych i systemach komputerowych używać innych identyfikatorów i haseł, niż te, które wykorzystywane są do innych ważnych usług, np. e-bankowości, e-zakupów. Przy tym używać trudnych do odgadnięcia haseł i okresowo je zmieniać. Jeśli bowiem sami nie będziemy właściwie chronić naszych danych, to ani prawne regulacje, ani GIODO nie uchronią nas przed przykrymi konsekwencjami takiej lekkomyślności.

rozmawiał Radek Molenda fot. BP GIODO Idziemy nr 38 (572), 18 września 2016 r.