Czego nie robić w pierwszym dniu obowiązywania przepisów, czyli RODOwpadki
Gdy zaczął się szał informowania klientów o tym, jak bardzo firmy dbają o ich dane osobowe, byliśmy pewni, że nie zabraknie także materiału na nowy artykuł. Oczywiście nadawcy e-maili nie zawiedli – poniżej krótki przegląd wyników.
Każdy z Was bez wątpienia ma w swojej skrzynce kilkanaście, jak nie kilkadziesiąt wzorów e-maili zawiadamiających o nad wyraz troskliwej ochronie Waszych danych osobowych. Sporo z Was ma także – o czym możecie nie wiedzieć – gotowe listy adresowe niejednej firmy, która zapomniała, do czego służy pole „odbiorcy ukryci”, czy też BCC. Co ciekawe, można przyjąć, że jeśli takiego e-maila otrzymaliście, to przetwarzacie cudze dane osobowe :)
Zaczęło się już dawno temu
Już 16 lutego jeden z naszych Czytelników otrzymał pytanie od dostawcy o treści „Czy jesteś gotowy na RODO?”. Dostawca na pewno gotowy nie był.
Worek z podobnymi e-mailami rozwiązał się w ostatnich dniach. Poniżej seria przykładów.
ashmedai z Wykopu dostał e-maila od lokalnego dostawcy internetu:
Dwa przykłady od Adriana:
Przykład od Pawła:
Podesłał czytelnik:
Podesłał Piotr:
Niezwykłą, potrójną wpadkę zanotowało Ghostery – dodatek zwiększający prywatność w przeglądarce. Dodatek zwiększający prywatność, piszący o RODO, zapominający o BCC. Pyszne.
Inny problem spotkał z kolei eBilet – osoby, które nie chciały otrzymywać newslettera, wraz z informacją o RODO dostały newsletter. Do tego nie działał link wypisujący je z newslettera, ponieważ… nie były zapisane do newslettera.
Moglibyśmy jeszcze długo, ale to może już w kolejnych odcinkach serialu RODOwpadki.
Dziękujemy wszystkim nadsyłającym materiały.
Podobne wpisy
- Dane o waszej lokalizacji są na sprzedaż. Zanonimizowane, ale to nie przeszkadza
- Co mają wspólnego Roksa.pl i loteria podatkowa w Gdańsku
- Nieuchwytny przestępca paraliżuje od stycznia pracę polskich firm i urzędów
- Jak RODO posłużyło do ograniczenia wolności prasy
- Nowy atak na klientów mBanku – na szczęście bardzo nieudany
To całe informowanie uważam za głupotę. Jeśli ktoś ma w bazie 50 tys. klientów to ma wysłać 50 tys. emaili? I jak – „pani Zosiu, proszę to zeskanować i wysłać to wszystkich” ??? Potem przychodzą informacje o RODO z nagłówkiem SPAM. Poza tym do mnie przyszło może 30% powiadomień ze wszystkich kont jakie posiadam, więc jedni muszą, inni nie. Masa niepotrzebnych emaili i bzdur zalewa sieć.
True story bro.
Pierdylion maili, nie od wszystkich a część już w spamie.
Do tego dopisywanie do list z których nie da się wypisać.
Do tych bez maila wyczekuj gołębia w oknie :)
Ciekawe czy jeśli wysłali takiego błędnego maila o RODO można już dostać karę za działanie niezgodne z RODO :D
Wygląda jak przypadkowy strzał w kolano z kuszy. Ale boleć powinno, więc kara się chyba należy.
Było mnóstwo czasu na to, aby dostosować działania firmy do wymagań RODO, m.in. na klauzule informacyjne… ale jak to w Polsce bywa… wszyscy tylko narzekać potrafią
I jeszcze jedno – jest email sprawa jest w miarę prosta. A co z bazami, które mają wszystkie dane osobowe, ale bez emaili? Będą wysyłać po kilkadziesiąt tysięcy listów poleconych? A jak firma jednoosobowa ma bazę 6 tysięcy osób – jak wyśle do wszystkich listy (polecone!) to zapłaci prawie 50 tys. zł i pójdzie z dymem.
Czy też jak nie ma emaila to nikogo nie trzeba informować?!?
Znajdź w rozporządzeniu info o „niewspółmiernie dużym wysiłku”. Przewija się tam kilkukrotnie, rozporządzenie jest ok tylko nasza kasta prawniczo urzędnicza zrobiła z tego papkę i nakręciła panikę.
Czemu? A może temu żeby znajomy królika u mnie w urzędzie dostał 4,5k netto za przygotowanie „polityki” od każdego wydziału i 700 netto miesięcznie za obsługę od każdego z nich.
Jak to szło w komunikacie? Firmy karać dotkliwie, ale tak żeby nie upadały?
nie muszą wysyłać poleconego do każdego z 6 tysiecy klientów. Wystarczy ,że skasują dane i przestaną je przetwarzać. Jak chcą dalej przetwarzać, to zgoda nie może być wymuszana i nie może być domniemana. Po prostu wszyscy którzy nadal chcą przetwarzać czyjeś dane, muszą od nowa uzyskać na to zgodę. Tyle w temacie.
ej, ale w końcu informowanie o przetwarzaniu danych pozyskanych przed 25.05 to obowiązek czy – jak sądzę – tylko dobra praktyka? nie jest tak, że wszystkie te maile mogliby sobie odpuścić i byłoby zgodnie z prawem?
Prawda jest taka, że nie ma obowiązku spamowania wszystkim obecnym klientom, że oto nagle zmieniliśmy politykę prywatności. Rozporządzenie RODO (w skrócie tę nazwę ujmując), tak naprawdę tylko oprawia w ramy wszystkie te dobre praktyki, które każdy sprzedawca/usługodawca lub inny podmiot przetwarzający dane osobowe powinien stosować od pierwszego dnia swojej działalności, czyli np. niektórzy od 25 lat lub nawet więcej. Cała panika to oczywiście sprężyna mediów oraz inspektorów-samozwańców, którzy zostali teraz „Inspektorami Danych Osobowych” wyłącznie na mocy tego że zapragnęli nimi być, a to z kolei wyłącznie w celu wyłudzania tysięcy złotych (tak, wyłudzania!) od setek firm, które tak naprawdę wcale nie muszą przechodzić ani żadnego audytu, ani też mieć żadnego „osobistego” Inspektora Danych Osobowych, bo niezbędną dokumentację o dostosowaniu się do RODO mogą sami stworzyć maks. w dwa wieczory po godzinach pracy. Ale ci „inspektorzy” (z bożej łaski) poczuli strumień zer na prawo od jedynki i teraz ciągną jak, nie przymierzając, prostytutka z 40-letnim stażem…
I tak na przykład w naszej pięknej „Stolycy” zapisy na audyty do takich inspektorów samozwańców są już ponoć na listopad, a nawet na grudzień. Cenniki? Od 4 do (…) tysięcy PLN, w praktyce często poniżej „dyszki” nie schodzi. Im większa firma, tym większe łojenie po kieszeni.
Czysta, klarowna paranoja. Klarowna jak porządny wiejski bimber. Zamiast niepotrzebnej paniki polecam wszystkim po prostu zapoznać się BEZPOŚREDNIO z czystym tekstem unijnego rozporządzenia RODO, nieobleczonym w tysiące guseł i dyrdymałów, którymi Internet jest teraz nadziany jak dobra kasza skwarkami. Wystarczy przeczytać to rozporządzenie spokojnie i ze zrozumieniem (naprawdę, 2 godziny z życia to nie jet taka wielka strata). Tekst dostępny jest na ministerialnych stronach (gov.pl) i naprawdę trzeba mieć dużo złej woli żeby go nie znaleźć (mi znalezienie go zajęło jakieś 12 sekund).
I nie rozsyłajcie pochopnie tysięcy zbędnych maili do swoich klientów/kontrahentów, bo „najlepszy” efekt jaki uzyskacie, to narazicie się przez nieuwagę na podobne sytuacje jak w powyższym artykule, czyli informując innych o swojej (jakże wspaniałej, bo skopiowanej od innych) nowej polityce prywatności możecie nieświadomie podzielić się z innymi całą listą kontaktową swoich kontrahentów.
Umiar i spokój – tylko to może was uratować. :)
Na koniec mała dygresja… Pamiętacie jaki cyrk był z wdrażaniem komunikatów o „cookie”? Zapewne pamiętacie. Pod naporem medialnego i internetowego prania mózgów wszyscy panicznie się w to „ubrali”, nawet ci, którzy mają strony internetowe W OGÓLE nie przetwarzające i niezapisujące cookies (tak tak, wbrew pozorom jest bardzo wiele takich stron). I co? Ano to, że byli spryciarze, co wyłudzili po stówie (lub więcej) od łebka za wstawienie mu na stronę czegoś, czego nie miał i nie ma obowiązku zamieszczać.
To na razie tyle tytułem RODO. Spokojnego „łykendu” i nie wpadajcie w panikę. :)
Problem w tym ze RODO jest bardzo nieprecyzyjne w okreslaniu czy komus wlepic kare czy nie. Jak zaliczysz jakas wpadke to ludzie nie majacy pojecia jak dzialaja internety beda oceniac czy podjete przez ciebie kroki byly wystarczajace czy tez nie. A w takim przypadku najwazniejsze beda nie faktyczne zabezpieczenia i dzialania podjete w kryzysowym momencie, tylko papiery w tym podkladka ze wywiazales sie z obowiazku informacyjnego wobec wszystkich mozliwych ludzi z jakimi miales stycznosc. Bo kontroler jak nic nei znajdzie to sie przypierdzieli do byle gowna aby tylko miec w statystykach ze byl skuteczny bo wlepil komus kare.
I wlasnie takiego nieprecyzyjnego okreslenia kiedy, za co i jakiej wysokosci kare mozna dostac najbardziej obawiaja sie firmy. Dlatego zalewa nas spam (ktory odnosi skutek odwrotny bo ludzie przestaja to czytac) i dlatego czesc firm wypierdziela ze swoimi uslugami za granice, albo je mocno ogranicza. A np. firma w ktorej pracowalem postanowila sie zamknac bo jej wlasciciel zatrudniajacy 5 osob na krzyz stwierdzil, ze pierdzieli i nie bedzie sie babral w tym gownie, a na prawnikow go nie stac. Wolal pojsc na szefa dzialu do wiekszej konkurencji.
Większość tych maili zostala wysłana przed 25maja w związku z czym nie mogły one złamać nowych przepisów. Ponadto, adres email w wielu przypadkach nie jest daną osobową.
Większość adresów to imię i nazwisko. Źle wysłane maile z brakiem możliwości usunięcia z listy „newsleterowej” do której nigdy nie było się zapisanym to też kaplica.
Dla przykładu drugi i ostatni akapit.
https://giodo.gov.pl/pl/1520008/2856
Wsadźcie sobie te R0D0 w tylną część ciała. Kolejna biurokratyczna durnota made in UE i nowe koryta dla kolesi.
To się nazywa „double fail=1E100”. Informować o prawie do prywatności i ochrony danych osobowych i na tym spalić.
Ehh, cookies, RODO, niedługo wprowadzą jeszcze wymóg ręcznego powtwierdzania każdego certyfikatu SSL przy wejściu na stronę… :( wszyscy dobrze o tym wiedzą że prawda jest inna i już dawno wszystkie nasze dane „RODO” zostały sprzedane, teraz tylko muszą nam to wylistować jak i gdzie, a my mamy to potwierdzić i jeśli chcemy je usunąć to pisać tam, gdzieś tam, albo może lepiej jednak dać sobie z tym spokój i mieć wywalone na to… Google i Microsoft jakoś nie informowali ale można było wszystko wyłączyć. I tak śledzą i będą śledzić. Kolejny dziwny przepis UE jak ten z cookies. A jak ktoś nie chce mieć tej regułki to niech zamiast cookies stosuje LocalStorage – tego ten przepis nie obejmuje.
A mnie zastanawia, jak w kwestii RODO wyglądają księgi wieczyste online. Wchodząc na księgę wieczystą dowolnej nieruchomości wielorodzinnej można zobaczyć nazwiska kupujących, numery PESEL, numery lokali (czyli adres), banki kredytujące, numery umów kredytowych oraz kwoty zabezpieczenia (czyli mniej więcej kwoty kredytów) wszystkich właścicieli mieszkań w budynku. Całkiem sporo informacji.