Przetwarzanie danych osobowych w marketingu. Dysonans poznawczy, czy zła wola?

Niezwykle często obserwujemy przedziwną różnicę w opiniach osoby na temat ochrony danych osobowych w zależności od tego czy mówimy o naruszeniu jej prywatności, czy też o konieczności podjęcia działań niezbędnych dla ochrony własnej prywatności.

Powszechne oburzenie spowodowało ujawnienie skali inwigilacji prowadzonej przez amerykańskie agencje. Dlaczego Minister Spraw Zagranicznych nic z tym nie zrobi? Co na to GIODO? Nie spotkałem osoby, która godziłaby się na to, by ktoś czytał jej maile i podsłuchiwał rozmowy. Rozmawiamy o potwornych ilościach danych zbieranych przez portale społecznościowe. Boimy się korzystać z kart zbliżeniowych, metek RFID, kamer w przymierzalni, itd.

Powiedzmy sobie jednak szczerze, ile z tych narzekających osób zrezygnuje z podania swojego adresu e-mail, jeżeli w zamian uzyska zniżkę w sklepie? Ile z tych osób umieściło w sieci zdjęcie swojego dziecka? Ile zablokowało możliwość zbliżeniowego płacenia kartą?

A ilu zrezygnowało z wejścia na stronę internetową, mimo że przeglądarka ostrzegała o nieaktualnym certyfikacie? O czym?! A co to jest certyfikat?! No dobrze, nie wymagajmy zbyt wiele…

Ciągle oczekujemy, że ktoś zadba o naszą prywatność. Że przyjdzie GIODO i zrobi z nimi porządek. Ale niech nam nie zawracają głowy jakimiś klauzulami informacyjnymi! Nie chcemy podejmować decyzji, czy zgadzamy się na przetwarzanie naszych danych! Niech ktoś zdecyduje za nas!

Niestety, to nie działa w ten sposób. GIODO nie jest szeryfem, który zaprowadzi porządek i sam pokona wszystkich bandziorów. O naszą prywatność musimy zadbać sami. Jak na razie, każdy, kto nie chce, aby jego dane były gdzieś wykorzystywane, kto nie chce, aby ktoś dokonywał jakichkolwiek operacji, podszywając się pod jego tożsamość – musi samodzielnie zadbać o swoje interesy. Każdy musi poznać podstawy zasad ochrony prywatności, dowiedzieć się, jakie prawa mu przysługują i jak je egzekwować. A gdy z tym egzekwowaniem będą jakieś problemy – GIODO zapewne pomoże.

Bardzo ciekawe jest obserwowanie postaw osób zajmujących się zawodowo przetwarzaniem danych. Czy pracodawca instalujący kamerę w toalecie narusza prywatność swoich pracowników? Jego zdaniem oczywiście nie. W swojej ocenie, jest on pozytywnym bohaterem, działającym na korzyść przedsiębiorstwa. Przecież należy potępiać obiboków, ukrywających się w ubikacji.

Czy rozsyłający spam marketingowiec wie, że działa niezgodnie z prawem? Tak, ale nie ma z tego powodu poczucia winy. Po pierwsze, prawo jest złe, bzdurne i nie działa. Amerykanie i tak zbierają te dane. A ustawodawca działa tylko po to by utrudnić nam życie… Po drugie, marketingowiec działa przecież dla dobra osób, które otrzymają spam – chodzi o to, by żadna ciekawa oferta ich nie ominęła. Po trzecie, on też dostaje spam i w ogóle mu to nie przeszkadza. Po czwarte, ci którzy nie chcą otrzymywać spamu, są niedouczeni, bo powinni filtry w przeglądarce skonfigurować…

Co pomyśli o takiej argumentacji osoba, nie zajmująca się na co dzień rozsyłaniem spamu? Na pierwszy rzut oka, argumenty są takie, że aż trudno z nimi polemizować. Czy oni naprawdę w to wierzą? Zrozumienie takich postaw może nam ułatwić teoria dysonansu poznawczego.

Jestem wewnętrznie przekonany, że ludzie naruszający naszą prywatność, nie muszą działać ze złych pobudek. Ich celem nie jest wyrządzenie nam krzywdy. Mają do wykonania określone zadanie, a nie znają innych narzędzi do jego realizacji, niż te, którą godzą w naszą prywatność. Nie dopuszczając do swojej świadomości informacji o wpływie ich działań na wolność innych osób i na ich prawo do decydowania o swojej prywatności, obarczają winą obowiązujące prawo lub wręcz osoby, których dobra naruszają! Klasyczny przypadek obwiniania ofiary…

Racjonalizacja postępowania wymaga, aby w jakiś sposób przekonać siebie, że podejmowanie działanie jest sensowne. Czy nie ma lepszego sposobu przekonania klientów by kupili określony produkt, niż rozsyłanie milionów maili? Marketingowcy nie będą brali pod uwagę statystyk skuteczności. Przecież oni działają dla dobra otrzymujących spam…

Być może szansa zwiększenia skuteczności działania ustawy o ochronie danych osobowych kryje się nie w podniesieniu jej represyjności, a w wykorzystaniu technik poznanych przy okazji badań nad zjawiskiem dysonansu poznawczego?

Ciekawy jest jeszcze jeden aspekt zagadnienia. Osoba, która nierozważnie zgodziła się na przetwarzanie swoich danych osobowych, będzie twierdziła, że tak naprawdę, to jej w ogóle na tym nie zależy. Że jej dane są nieistotne i tak naprawdę, to nie ma nic do ukrycia.

 

Wikipedia – Dysonans poznawczy

Wikipedia – Teoria spostrzegania siebie

 

Co z bazami danych osób, którzy biorą udział w programach lojalnościowych, bo wówczas apteka przekazuje dane osobowe hurtowniom? Co prawda znawcy przedmiotu mówią, że apteka nalicza tylko punkty na kartach klientów, ale nie wie jaka osoba się pod nią kryje. Z tego co wiem jednak większość aptek tworzy bazę osobową, z której nie musi korzystać przy obsłudze programu lojalnościowego, ale ją przecież ma i pytanie czy może ją mieć? Czy własny program lojalnościowy (wewnątrz apteki jest dozwolony), a ten łączący wiele aptek i hurtownie już nie? Istnieje przekonanie, że legalne pozostają wszystkie programy lojalnościowe i akcje marketingowe w których apteka reklamuje samą siebie (ale nie wolno jej reklamować np leku).

Ustawa dopuszcza oczywiście możliwość przekazywania danych pomiędzy administratorami danych. Może się to odbywać na zasadzie udostępnienia lub powierzenia danych do przetwarzania.

W wypadku wszelkiego rodzaju programów lojalnościowych, naturalne wydaje się oparcie o instytucję powierzenia danych do przetworzenia (art. 31 uodo). Możemy mieć do czynienia z sytuacją, gdy administratorem danych osobowych przetwarzanych w celach marketingowych nie będzie apteka, a organizator akcji promocyjnej i to na nim będzie spoczywał obowiązek rejestracji zbioru danych. Przykładowo, apteka zbierając dane klientów i ich zgody na przetwarzanie danych osobowych, będzie występować w imieniu organizatora z którym podpisze umowę powierzenia danych. W takiej sytuacji, apteka nie zgłasza zbioru i nie jest jego administratorem. Nie zwalnia to jednak apteki z dopełnienia innych obowiązków: zabezpieczenia danych, wystawiania upoważnień, itd.

Apteka przetwarza wówczas dane nie będąc ich administratorem, a szczegółowe obowiązki z tym związane, zapisuje się zwykle w umowie. Po zakończeniu obowiązywania umowy, wszystkie kopie danych, muszą zostać zniszczone lub zwrócone administratorowi danych (organizatorowi akcji promocyjnej, programu lojalnościowego, itp).

Należy jeszcze zwrócić uwagę na wszelkie informacje handlowe wysyłane drogą elektroniczną (np. wiadomość e-mail, strona internetowa po zalogowaniu się osoby).  Osoba do której kierujemy takie informacje, musi najpierw wyrazić zgodę na ich otrzymywanie i nie jest to ta sama zgoda co zgoda na przetwarzanie danych osobowych. Szczegóły określa ustawa o świadczeniu usług drogą elektroniczną.

Ustawa o ochronie danych osobowych nakłada na przedsiębiorców szereg obowiązków i ograniczeń. Nie oznacza to, że prowadzący aptekę musi znać wszystkie niuanse ustawy – na rynku jest coraz więcej firm i osób specjalizujących się w ochronie danych, którym można zlecić te zadania.

Czy zgodnie z obowiązującym prawem, apteka musi rejestrować bazę danych osobowych w GIODO? Są to co prawda dane wrażliwe, jednak z drugiej strony – z tego co wiem – bazy danych z pacjentami w ochronie zdrowia zwolnione są z takiego wymogu, a więc także dotyczy to aptek. Z trzeciej strony baza taka służyć ma obsłudze pacjentów np. wydawaniu leków na receptę, ale już wykorzystywanie jej do innych celów np. wysyłki kartek okolicznościowych nie służy „statutowym” działaniom apteki, a więc czy ta sama baza raz musi być rejestrowana w GIODO a raz nie musi. Z czwartej strony oczywiście większość pacjentów nie zgodzi się, żeby bazę służącą wydawaniu recept wykorzystywać do celów marketingowych, a więc w zasadzie powinna powstać druga baza tylko z tymi osobami, które się zgodzą, rozumiem, że wówczas taką „podbazę” trzeba zgłaszać do GIODO. Z piątej strony, o ile znam GIF, to nie zgodzi się na tworzenie takich baz do potrzeb marketingowych, bo apteki nie są po to, aby prowadzić działalność reklamową (nawet samoreklamową). Rozumiem, że takie same ograniczenia towarzyszą wysyłce elektronicznej?

Ustawa o ochronie danych osobowych nakłada na przetwarzających te dane szereg obowiązków. Nie udam się ich dopełnić, jeżeli nie zapoznamy się z podstawowymi pojęciami wprowadzonymi w ustawie.

Nie stworzymy wymaganych dokumentów, takich jak: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym i nie przygotujemy zgłoszenia zbioru, jeżeli nie będziemy prawidłowo rozumieć terminów: dane osobowe, zbiór danych, administrator danych, itd.

Już samo pojęcie zbioru danych osobowych stwarza pewne problemy i jest często mylone z bazą danych. Baza danych to nie jest to samo co zbiór danych osobowych!

Należy wyraźnie odróżnić zbiór danych, od jego fizycznej reprezentacji w bazie danych programu w którym dane przetwarzamy. Ten sam zbiór może być przetwarzany jednocześnie w kilku bazach (lub programach) a nawet w formie akt papierowych. W jednej bazie danych programu komputerowego możemy również przetwarzać kilka zbiorów danych. Co więcej, ta sama informacja, może jednocześnie należeć do różnych zbiorów danych osobowych.

Najlepiej zapomnieć na chwilę o programach komputerowych, bazach danych i zastanowić się jakie dane, w jakim celu i w oparciu o jaką przesłankę uchylającą zakaz przetwarzania (art.23 ust.1 ustawy o ochronie danych osobowych), będą u nas przetwarzane. Przykładowo, możemy stwierdzić, że przetwarzamy dane osobowe w pięciu zbiorach:

–       Dane pracowników – art.23 ust.1 pkt 2-  „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w związku z realizacją recepty  – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w celu wystawienia faktury – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w celach marketingowych – art.23 ust.1 pkt 1- „osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zbiór zgłaszamy.

–       Dane przetwarzane w celu dostawy towaru do klienta – art.23 ust.1 pkt 3- „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Zbiór zgłaszamy.

To w ilu i jakich programach i bazach danych są przetwarzane dane z tych zbiorów, nie jest dla identyfikacji zbiorów istotne. Informację o tym będziemy musieli jednak później umieścić w naszej polityce bezpieczeństwa.

Zbiory danych związane z realizacją recept nie podlegają rejestracji. Podobnie, nie podlegają jej zbiory danych tworzone wyłącznie w celu wystawienia faktury, zbiory danych przetwarzanych w związku z zatrudnieniem, itd.

Podkreślmy, że ewentualnej rejestracji podlega zbiór danych (nie „dane”, nie „baza danych”). Dlatego nie możemy twierdzić, że ta sama baza danych raz musi być zgłaszana a raz nie musi, gdyż zgłaszany jest zbiór danych osobowych. Nawet jeżeli, dla ułatwienia, dane są wprowadzane do systemu tylko jeden raz, to mogą być przetwarzane w różnych zbiorach, np. różniących się celem przetwarzania.

To, że zbiór danych osobowych jest zwolniony z rejestracji, nie oznacza, że do przetwarzania danych w tym zbiorze nie znajdują zastosowania przepisy ustawy, a administrator danych jest zwolniony z pozostałych spoczywających na nim obowiązków. W szczególności administrator musi opracować politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, dopełnić obowiązku zabezpieczenia danych, prowadzenia dokumentacji, wydawania upoważnień, itd.