Muszę przyznać, że jak rok temu widziałem w mediach jakieś informacje o tym, że pojawią się nowe przepisy o ochronie danych osobowych to całkiem mnie to cieszyło. Uznałem, że dobrze się dzieje, bo świadomość prawna ludzi wzrośnie i będą wiedzieli np. o tym, że zostawienie dowodu osobistego w wypożyczalni rowerów wodnych nad jeziorem nie jest najlepszym pomysłem. Z drugiej strony stwierdziłem, że przedsiębiorcy też przestaną ignorować zasady dotyczące ochrony danych osobowych i poważniej będą podchodzić do kwestii ochrony prywatności konsumentów.
Zweryfikowałem swoje spojrzenie na ten temat w ostatnim tygodniu, gdy informacje o RODO zaczęły pojawiać się właściwie wszędzie, a w atmosferze straszenia karami i ogólnego braku informacji o tym, co trzeba zrobić aby być „zgodnym z RODO” niektórzy przedsiębiorcy (zwłaszcza ci najmniejsi) ulegli panice i zastanawiali się nawet nad zakończeniem prowadzenia przez siebie działalności.
A dziś postanowiłem sprawdzić co z tego wyszło. Oczywiście na pierwszy rzut oka stwierdziłem, że świat się nie zawalił, przedsiębiorstwa nie zamknęły drzwi i wszystko jest mniej więcej takie samo jak dotychczas. To nie wystarczyło i postanowiłem sprawdzić, czy rzeczywiście ci, których RODO najbardziej dotyczy – czyli np. podmioty, które działają w internecie i prowadzą różnego rodzaju działania marketingowe – rzeczywiście zmienili swoje podejście do pewnych kwestii.
W skrzynce pocztowej odnalazłem dziesiątki wiadomości informujących mnie o przetwarzaniu moich danych osobowych przez różne podmioty. Znalazłem jedną z nich, taką o której nigdy wcześniej nie słyszałem i stwierdziłem, że przeczytam o tym, co robią z moimi danymi.
Napisali, że znaleźli moje dane w CEiDG, powiązali je z informacjami na mojej stronie internetowej i wszystko wpisali do swojej bazy. Stąd też mają mój adres e-mail, na który wysłali mi tę wiadomość Nie wymagają ode mnie żadnej zgody, bo prawie cale przetwarzanie opierają na swoim prawnie uzasadnionym interesie, którym jest marketing usług własnych, jak również produktów i usług ich partnerów handlowych. Poza tym przetwarzają moje dane z uwagi na to, iż zobowiązują ich do tego przepisy prawa.
Zacząłem się zastanawiać, jakie przepisy prawa zobowiązują firmę, która zbiera dane osobowe wszystkich przedsiębiorców jak leci i rozsyła im jakieś wiadomości marketingowe do tego, aby takie rzeczy robić. I uznałem, że najlepiej będzie jak sam ich zapytam.
W treści wiadomości znalazłem kontakt do Inspektora Ochrony Danych, powołanego w tej firmie. Napisałem do niego wiadomość e-mail z pytaniem o co chodzi, jaki mają obowiązek wynikający z przepisów prawa aby przetwarzać moje dane.
Niestety, kilka sekund po naciśnięciu przycisku wyślij wiadomość wróciła na moją skrzynkę z informacją, że adres odbiorcy nie istnieje. Po prostu firma wpisała dane kontaktowe do Inspektora Ochrony Danych, ale niestety nie stworzyła odpowiedniej skrzynki pocztowej. Pozostał on więc dla mnie instytucją czysto teoretyczną, z którą w rzeczywistości nie mogłem się skontaktować.
Wnioski z tej historii są proste:
Jeżeli już decydujemy się na informowanie użytkowników o przetwarzaniu ich danych osobowych na podstawie jakiegoś przepisu prawa, postarajmy się o to, aby ten przepis rzeczywiście istniał.
Jeżeli mówimy użytkownikowi, że może się skontaktować z Inspektorem Ochrony Danych, załóżmy mu skrzynkę pocztową.