Absurdy RODO
Tutaj zmierzam publikować informacje o absurdach (wariactwach) i przedziwnych efektach funkcjonowania RODO. Zapraszam wszystkich do współpracy w redagowaniu tego zbioru.
„RODO - to małpa z brzytwą” – tak twierdzi jeden z profesorów informatyków
Tłumaczenie żartu:
- Czy znasz dobrego specjalistę od RODO?
- Tak
- Czy możesz mi dać adres mejlowy do niego?
- Nie, on wytłumaczył mi, że naruszyłbym wtedy zasady ODO
Perspektywa restauracji: [autor: Jarosław Ubysz] Czy konstatacja kelnerki, że łysy facet z brodą jest wegetarianinem, lubi hiszpańskie wina i bywa w każdy czwartek to dane osobowe czy nie?
A kiedy zdecyduje się zrobić z tej konstatacji notatkę w zeszycie dla drugiej kelnerki?
Przed restauracją jest kamera a wszyscy klienci płacą kartą, wiec ustalenie tożsamości jest trudne czy nie? Ostatecznie można by go poprosić o zgodę na przetwarzanie danych osobowych, ale przecież można to skomplikować.
Kelnerka notuje, że za każdym razem jest tu z inną kobietą, ale trzeba udawać, że jest tu pierwszy raz bo wtedy napiwek jest wysoki. I co wtedy, zgoda na przetwarzanie danych osobowych czy kara za przechowywanie tak wrażliwej informacji?
Perspektywa listonosza: Firma ma oczywiście wszystkie moje dane, które pozwalają na dokładną identyfikację i jest do tego uprawniona.
Czy dodatkowa adnotacja „uwaga pies” wymaga oddzielnej zgody ponieważ jest to gromadzenie danych o moich preferencjach?
Perspektywa firmy reklamowej: Mają tylko bazy numerów telefonów i bazy adresów e-mailowych; inna firma w oddzielnych rejestrach ma przypisane do tych baz dodatkowe deskryptory – młodzi, starzy, bogaci, wczasowicze z Egiptu z turnusu 24/2018, itp.
Która z firm ma zdecydować, że jej baza pozwala łatwo zidentyfikować konkretną osobę i trzeba coś z nią zrobić? Bo oddzielnie nie mają chyba problemu?
Wykorzystanie RODO we Wspólnocie Mieszkaniowej. Właśnie otrzymałem ze Wspólnoty (inni z innych Wspólnot) 2 strony (trzeba wydrukować , a więc 2 kartki) Oświadczenia ...do podpisania: Wyrażam zgodę ....na prowadzenie korespondencji wynikającej z obowiązujących ustaw (sic)....... przesyłanie informacji o dostępności kontenera na gruz,(!) choinki, .... aktualizacji danych kontaktowych - , a potem trzeba to zeskanowac i wysłać jako skan, a oni to sobie wydrukują i złożą do szafy. [bo przecież komputer lub dysk mogą miec awarię i taki cenny zbiór zgód zostanie utracony]
Policzcie ile to może być papieru oraz ile osób ma pracę, ile osób (mnie i innych) szlag trafia i ile za napisanie treści tych oświadczeń (widziałem 3 różne) zarobili prawnicy. Czy to rzeczywiście ma jakiś sens w obliczu RODO. Aha - a jak ktoś nie podpisze to informacje będzie dostawać pocztą zwykłą (złośliwie pewnie poleconą, aby sobie postał na poczcie) na adres z Księgi Wieczystej (KW).
Istnieje też druga strona tego powyższego przypadku. W większych wspólnotach, Zarząd (którym bywa też firma zarządzająca nieruchomościami) przed Walnym Zgromadzeniem kontaktuje się z właścicielami mieszkającymi poza osiedlem (za granicą) - mając do nich adresy - i przekonuje, aby ci nie mogąc uczestniczyć w Zgromadzeniu dali im pełnomocnictwo. I w trakcie Zgromadzenia tłum obecnych właścicieli ma w głosowanich raptem 15-20% udziałów, a Zarząd ponad 60% - bez zgody Zarządu nie przejdzie żaden wniosek, a tym bardziej odwołanie Zarządu. A zdesperowani właściciele nic nie mogą zrobić, bo w żadnym przypadku (RODO!) nie dostaną adresów tamtych nieobecnych właścicieli, aby ich przekonać do bardziej efektywnego zadbania o swoje dobra.
W dyskusji o tym przypadku pojawiło się kilka wątków:
- dla realizacji celów ustawowych zarządy nie muszą zbierać zgód mieszkańców na przetwarzanie danych osobowych;
- dlatego zarządy zbierają zgody na przetwarzanie adresów mejlowych oraz numerów telefonicznych dla sprawniejszego kontaktu z właścicielem,
- ale te ułatwienie kontaktów służy też kontaktom w innych celach - na przykład uzyskania pełnomocnictw od tych właścicieli,
- chcąc mieć mejlem informacje o kontenerze muszę się zgodzić na takie kontakty, ale na inne ich wykorzystanie już nie - tylko kto mi napisze odpowiedni tekst oświadczenia?
PS. tak przy okazji - z powodu, że wspólny garaż podziemny jest osobną nieruchomością (o podatku jak dla dz. gospodarczej), to w KW mam dostęp do ponad 200-stu imion, nazwisk, par współwłaścieli, oraz ich numerów PESEL.I gdzie tu ochrona danych osobowych?
RODO w Przychodni. Obecnie z powodu ODO na drzwiach gabinetów lekarskich nie ma tabliczek jaki lekarz przyjmuje, aby nie było wiadomo do lekarza jakiej specjalizacji czekają pacjenci. Wydaje się jednak konieczne również uniemożliwienie rozpoznania pacjentów , którzy czekają do danego gabinetu.
Pacjenci powinni, idąc do lekarza nakładać przed przychodnią burkę, aby nie byli rozpoznawalni. I w takim stroju mogą czekać na wizytę, a potem opuszczać przychodnię.
Zapewne również lekarze powinni się wślizgiwać do gabinetów w burkach, wszak niektórzy z nich mogli by być rozpoznawalni.
Należy też zlikwidować tradycyjne recepcje przyjmujące pacjentów do lekarzy. Wystarczy rejestracja telefoniczna lub internetowa z płatnością w automatach.
Dalsza analiza realizacji pełnej anonimowości pacjentów u lekarzy w toku.
RODO na cmentarzu. Chciałem poprawić tabliczkę z danymi pochowanej tam osoby. Ale nie mogłem tego zrobić, bo potrzebna jest zgoda właściciela grobowca. Niestety kancelaria cmentarza ze względu na ODO nie może mi udzielić takiej informacji i nie chce też pośredniczyć w nawiązaniu kontaktu z właścicielem.
Takie sobie pytania: [autor: Jarosław Ubysz]
- Mam bazę adresów e-mailowych. Czy adresy 123@gmail.com mam traktować inaczej niż jan.kowalski@gmail.com ? W końcu to Jan Nowak mógł się zarejestrować jako jan.kowalski i ZANIM nie dokonam próby identyfikacji danych z osobą nie mogę wiedzieć czy jest ona łatwa czy trudna.
- Czy jedno trafne ustalenie jednej osoby na 10 adresów to duża łatwość, czy nie? A na 100 adresów? A na 10000 adresów?
- Ustalenie osoby fizycznej (w kontekście problemów kryminalnych) to w dzisiejszych czasach wyłącznie DNA. Czy to znaczy, że tylko dane prowadzące w „łatwy sposób” do DNA są wrażliwe, a inne nie, bo są problematyczne?
- Czy adres IP jest identyfikacją osoby? Na 95% tak, bo nikt tym sobie głowy nie zawraca. Tak więc lista IP podlega ochronie ponieważ za pośrednictwem operatora internetu pozwala na łatwą identyfikację. A jeżeli przechowuję oddzielnie listę IP szwajcarskich pre-paidów to co? Czy identyfikacja osoby za pomocą władz Szwajcarii jest łatwa czy trudna?
Z życia wzięte [Autor: Jarosław Ubysz]
Karta SIM: Być może wejście w życie tych przepisów będzie miało dla mnie ten pozytywny skutek, że firma e-obuwie przestanie mnie nękać spamem sms-owym (jakoś nigdy nie chciało mi się ustalać jaka jest procedura aby to z nimi załatwić). Tyle tylko, że oni wcale nie mnie nekają swoim spamem, bo ja po prostu włożyłem jakiś czas temu do tabletu (tableta?) kartę sim mojej żony.
No i co? jeżeli nawet dostali kiedyś zgodę na przetwarzanie danych od konkretnej osoby (bo był tam zapewne adres wysyłki, ale obowiązek meldunkowy mamy przecież już zniesiony [Oj-chyba powrócił - przyp.WBI] ) to co teraz? Przecież nie chodzi o to, że nękają tą konkretną osobę, ale aktualnego dysponenta karty sim (która jeszcze na szczęście nie jest wszczepiana pod skórę) i na logikę usunięcie z ich bazy tego numeru może być autoryzowane jedynie użyciem numeru telefonu, a nie pismem z peselem i czytelnym podpisem.
To na temat tego, czy numer karty sim, adres IP (lub MAC), adres poczty elektronicznej, konto na FB stanowią dostateczną identyfikację fizycznej osoby? (Nie mam konta na FB, natomiast prowadzę konto w imieniu mojego psa i zapewniam, że jest to bardzo popularny proceder).
Oczywiście, jak wiadomo z filmów, dla rozmaitych służb jest to prosta droga do (szeroko pojętej, bo zawsze stosują kryteria rozszerzające) identyfikacji, ale akurat rozmaite służby są z tych przepisów wyłączone;
Rejestracja na blogu. Jeszcze jeden przykład, istotny gdyby ktoś jednak próbował sie odwołać do istoty i celu stanowienia tego prawa jako formy ochrony prywatności - czy jeżeli ktoś na moim otwartym blogu (na którym jednak rejestruję dyskutantów) publikuje swoje zdjęcie i informacje o wszystkich konferencjach, w których uczestniczył jako prelegent przez ostatnie 5 lat to czy będę ścigany za to, że nie wziąłem od niego zgody na przetwarzanie danych osobowych? a jeżeli zdjęcie i konferencje będą fałszywe?