Badanie Delloite: Niemal każdy ankietowany (95 proc.) podczas robienia zakupów lub podejmowania decyzji o wyborze usługi zwraca uwagę na to, czy wymaga się od niego podania danych osobowych. Podając je, najbardziej obawiamy się natarczywego dzwonienia telemarketerów (55 proc.) oraz tego, że ktoś się pod nas podszyje (50 proc.). Blisko połowa badanych darzy ograniczonym zaufaniem firmy i instytucje, które zbierają dane osobowe swoich klientów – 45 proc. sądzi, że firmy potrzebują tych danych po to, by następnie sprzedać je innym podmiotom.
„Obawy te są słuszne, choć firmy nie zawsze udostępniają dane klientów innym podmiotom dobrowolnie. Cyberprzestępcy sięgają po nie sami. Dane osobowe, finansowe oraz nasze identyfikatory i hasła do serwisów internetowych to informacje, które najczęściej padają ich łupem. Przestępcy wykorzystują je do opróżniania rachunków bankowych lub zaciągania kredytów w naszym imieniu” – wyjaśnia Marcin Lisiecki, Menadżer w dziale cyberbezpieczeństwa Deloitte.
W trakcie ostatniego miesiąca większość Polaków przynajmniej raz spotkała się z prośbą podania swoich danych osobowych (81 proc.) – czy to podczas zakupów, czy też innych czynności takich jak: korzystanie z aplikacji, gier lub pobieranie plików. Taką zgodę, przynajmniej raz, wyraziło siedmiu na dziesięciu internautów (69 proc.). Respondenci zostali także zapytani, czy kiedykolwiek padli ofiarą nieodpowiedniego w ich odczuciu wykorzystania swoich danych. Twierdząco odpowiedziało aż 58 proc., przy czym szczególnie niepokojący wydaje się fakt, że aż jedna trzecia (34 proc.) doświadczyła tego co najmniej kilkukrotnie. Nie dziwi więc, że aż 83 proc. respondentów przynajmniej raz podjęło decyzję o rezygnacji ze skorzystania z usługi po zapoznaniu się z warunkami przetwarzania danych osobowych lub po zorientowaniu się, że usługa będzie związana z prezentowaniem spersonalizowanej oferty handlowej.
RODO – sprzymierzeniec praw konsumentów?
Raport Deloitte pokazuje, że polscy konsumenci bardzo selektywnie podchodzą do udostępniania danych osobowych podmiotom zewnętrznym, a ich świadomość w tym zakresie jest wysoka. W walce o ochronę danych osobowych, mieszkańcy UE, dokładnie za rok, zyskają poważnego sprzymierzeńca w postaci unijnych przepisów. Od 25 maja 2018 r. zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych (tzw. RODO). Rozporządzenie to dotyczy wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. RODO rozszerza zakres obowiązków podmiotów przetwarzających dane, ale też wyposaża osoby fizyczne i organy nadzorujące w skuteczne narzędzia reagowania w sytuacji naruszenia rozporządzenia. Kary administracyjne nałożone na skutek złamania przepisów rozporządzenia mogą wynieść do 20 mln euro lub w przypadku przedsiębiorców do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Raport Deloitte wskazuje, że połowa internautów ma za sobą nie tylko doświadczenie związane z udostępnianiem swoich danych osobowych, ale również z wystąpieniem do firmy o usunięcie ich z jej baz. Co trzeci respondent (34 proc.) deklaruje, że co najmniej raz podjął aktywne działanie w celu uzyskania informacji na temat posiadanych przez podmiot komercyjny danych osobowych na jego temat. Zdecydowana większość internautów nie posiada jednak takich doświadczeń (66 proc.). Tymczasem w krajach Europy Zachodniej takie żądania są popularne i stanowią dla przetwarzających bardzo duże obciążenie. „Dane osobowe żądającego są bowiem często zlokalizowane w wielu różnych miejscach. Konsekwencje błędu przy realizacji żądania mogą być poważne, np. w Wielkiej Brytanii kary za nieprawidłowości przy realizacji żądań dostępu do danych sięgają kilkudziesięciu tysięcy funtów. Po wejściu w życie RODO podobne sankcje będą groziły polskim przedsiębiorcom, więc zawczasu powinni oni przygotować odpowiednie procedury” – mówi Maciej Marek, Senior Associate, adwokat z Deloitte Legal.
(Nie) kontrolowany wyciek danych
W ocenie większości respondentów (60 proc.) informacje o celach przetwarzania i inne informacje podawane przez firmy przy zbieraniu danych osobowych są z reguły przejrzyste i zrozumiałe. Niemniej dla wielu osób ich zrozumienie stanowi spore wyzwanie. „RODO wymaga, aby wszelkie komunikaty związane z przetwarzaniem były przedstawione w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Niespełnienie tych kryteriów może prowadzić na przykład do bezskuteczności zebranych zgód i konieczności usunięcia zgromadzonych danych” – wyjaśnia Maciej Marek.
Użytkownicy Internetu są jednogłośni, co do oczekiwań względem firm, którym zdarzyłby się wyciek danych osobowych części jej klientów – uważają, że nie powinny ukrywać tej informacji. Różnią się natomiast odnośnie tego, kto powinien być informowany o takiej sytuacji – najwięcej osób opowiada się za tym, by informacja ta była powszechna (44 proc.), a 35 proc. jest zdania, że taka informacja powinna trafić tylko do klientów. Zaledwie 16 proc. badanych zostało kiedykolwiek zawiadomione o naruszeniu poufności (np. w wyniku włamania, wycieku) ich danych osobowych. „To niewiele, zważywszy na nałożony przez RODO obowiązek informowania organu nadzoru o naruszeniu, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Zawiadomienie to z reguły będzie musiało zostać skierowane również do osoby, której dane dotyczą. Oznacza to w praktyce konieczność wprowadzenia przez firmy procedury zgłaszania incydentów” – mówi Agata Jankowska-Galińska, Senior Managing Associate, radca prawny w kancelarii Deloitte Legal.