RocketReach. Telefony do prezesów na wyciągnięcie ręki - i wbrew przepisom
Jednym kliknięciem uzyskałem służbowy i prywatny email oraz numer telefonu prezesa jednej z największych spółek na polskiej giełdzie. Specjalistyczny serwis chwali się, że ma bazę 400 mln ludzi ze świata biznesu. A co z RODO? Firma uważa, że ich... nie obowiązuje.
- Dzień dobry, czy mam przyjemność rozmawiać z panem (tutaj podałem imię i nazwisko prezesa dużej spółki) - zapytałem po wykręceniu numeru znalezionego w serwisie RocketReach.
- Tak - odpowiedział.
- Znalazłem pana numer w serwisie internetowym, który oferuje kontakty do ludzi biznesu. Chciałem zapytać, czy udostępniał pan im swój numer lub czy kontaktowali się z panem z informacją, że mają ten numer u siebie i oferują go innym.
- Nie, z tego co pamiętam, to żadnemu takiemu portalowi nie dawałem swoich kontaktów. Chociaż mój numer telefonu nie jest tajny, to raczej nie upubliczniam go w internecie.
Sprawdziłem. Na kombinację "imię nazwisko" oraz numer telefonu lub pierwsze trzy cyfry faktycznie nie widzę żadnego wyniku. Ale nawet gdyby wyciekł z innej strony, obowiązują konkretne przepisy, które regulują takie sytuacje. Od maja 2018 r. obywateli Europy chroni RODO, a na firmy, które dysponują naszymi danymi, nałożone zostały konkretne obowiązki.
Po swojemu
RocketReach chwali się na swojej głównej stronie bazą 400 mln kontaktów, rekomendacjami od globalnych partnerów i obietnicami lepszych wyników dla swoich klientów. Firma nie ma też oporów chwaleniem się, skąd pozyskuje dane osobowe jak numery telefonów i adresy email, także te prywatne. W regulaminie informują, że są one kupowane od firm lub "zdobywane z publicznie dostępnych zasobów", takich jak Facebook, Google, Twitter, Linkedin, itp.
Zobacz także
Zacząłem od przejrzenia regulaminów firmy i tego, czy piszą cokolwiek na temat RODO. Piszą. W całkowicie autorskiej interpretacji:
Gdy RocketReach pozyskuje dane osoby, dane te są przechowywane poza Unią Europejska i uważamy, że przepisy RODO nie mają do nich zastosowania na podstawie miejsca przechowywania oraz innych czynników.
Kilka słów wyjaśnienia. Po pierwsze, RODO chroni nie dane osobowe, a osoby, których te dane dotyczą. Konkretnie obywateli krajów Unii Europejskiej. Po drugie, dane podlegają ochronie niezależnie od tego, gdzie mieści się firma je przetwarzająca ani gdzie je przetwarza.
Dowolna firma kupująca lub pozyskująca dane osobowe obywatela UE ma obowiązek powiadomić go o tym fakcie i uzyskać zgodę, nawet jeśli dane te były udostępnione wcześniej innej firmie.
Udało mi się skontaktować z przedstawicielem firmy RocketReach i zapytać go o te wątpliwości. W odpowiedzi dostałem link do regulaminu, w którym firma "uważa, że dane nie podlegają RODO". Gdy jeszcze dwukrotnie zwróciłem uwagę na to, że dane jednak podlegają RODO, dwukrotnie dostałem w odpowiedzi ten sam link.
Przepisy są jasne
O powyższy problem zapytałem też Prezesa Urzędu Ochrony Danych Osobowych (UODO). Biuro prasowe odpisało, że nie może wypowiadać się wiążąco w tym temacie, za to przytoczyło punkty rozporządzenia RODO. Jak się okazało - te same, na które wcześniej zwracałem uwagę firmie RocketReach.
Należy pamiętać, że administrator musi również przestrzegać zasad określonych w art. 5 RODO. A zatem także w przypadku pozyskania danych ze źródeł ogólnodostępnych administrator musi stosować się m.in. do zasady przejrzystości. Zgodnie z nią administrator musi m.in. dopełnić obowiązku informacyjnego, którego wymaga RODO. Powinien więc poinformować m.in. o: swoich danych, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO.
Serwis RocketReach daje możliwość usunięcia swoich danych z ich bazy, którą nazwali dosłownie "nie sprzedawaj moich informacji". W standardowych warunkach wystarczy tylko wysłać wiadomość z prośbą. Tutaj - najpierw podać pełne dane, aby serwis mógł nas zweryfikować, i dopiero potem czekamy na usunięcie. Takich maili powinno zatem napłynąć miliony, bo prawdopodobnie większość osób, tak jak prezes, do którego się dodzwoniłem, nie ma świadomości, że ich dane są dostępne dla każdego na jedno kliknięcie.
- Czy mogę zapisać sobie pana numer telefonu? Pytam, bo pozyskałem go ze źródła, które łamie przepisy. Czy woli pan, abym go usunął? - zapytałem, kończąc rozmowę z jednym z najbogatszych Polaków.
- Proszę sobie zapisać, a ja przyjrzę się temu serwisowi - odpowiedział.
