Odwiedzając jedną z firm, która ma swoją siedzibę w wieżowcu Legency Tower w Warszawie przy ul. Prostej 20, trzeba się liczyć z tym, że wizyta będzie przypominała procedury stosowane na wejściu do najbardziej chronionych urzędów w kraju.
System informatyczny obsługujący budynek skonstruowany jest tak, że aby wejść do wewnątrz, trzeba zostawić na recepcji nie tylko swoje imię, nazwisko, numer telefonu czy adres mailowy, ale również zdjęcie – dokładnie skan twarzy. W przeciwnym razie "system" nas nie przepuści dalej.
Tak jest we wszystkich nowoczesnych budynkach należących do amerykańskiego giganta, firmy We Work.
WeWork to firma międzynarodowa, operator i właściciel ekskluzywnych powierzchni biurowych w największych polskich miastach. Skala przetwarzania danych osobowych tylko na terytorium Unii Europejskiej liczona jest w milionach. Mimo tego firma nie ma Inspektora Ochrony Danych, jak również żadnego innego przedstawiciela na terenie UE, który byłby odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych.
Na stronie internetowej podany jest jedynie telefon kontaktowy w Nowym Yorku. Na maile z prośbą o kontakt nikt nam nie odpowiedział.
- Osoby wchodzące do budynku WeWork są przypierane do muru i przymuszane, aby zostawić swoje chronione dane. Inaczej nie zostaną przepuszczone dalej. Nie wiadomo, co się z tymi danymi później dzieje, kto je przetwarza, jak długo są przechowywane? - wylicza pan Maciej z Warszawy, który osobiście przeszedł procedurę weryfikacji w Legency Tower.
Postanowił wprost zapytać o to WeWork. Po długim okresie oczekiwania odpowiedź w końcu nadeszła. Po angielsku.
- Odpisali mi z takim amerykańskim luzem, bym się tym nie martwił, bo moje dane są w dobrych, czyli ich rękach. Powodem ich zbierania jest interes prawny ich klientów. Nie piszą natomiast ani słowa, jakie dane zebrali, kto je przechowuje i gdzie oraz jak długo będą jeszcze przetwarzane - komentuje pan Maciej.
W odpowiedzi przesłanej do pana Macieja przez WeWork w języku angielskim czytamy: "Gromadzimy ograniczoną ilość danych osobowych (np. nazwisko i zdjęcie) naszych gości w celu kontroli osób nieupoważnionych do wejścia do biur naszych klientów. Aby zrobić to skutecznie, WeWork potrzebuje podstawowych informacji i zdjęcia. Informacje te są przetwarzane w celu ochrony naszego prawnie uzasadnionego interesu bezpieczeństwa, zgodnie z RODO".
Pan Maciej uznał, że odpowiedź Amerykanów jest wymijająca i złożył skargę na WeWork do Urzędu Ochrony Danych Osobowych.
Zaznacza przy tym, że nie tylko on czuje się z tym źle, że nie ma wglądu do swoich danych chronionych. Podobne opinie przekazali mu również pracownicy z firm, które w budynku przy ul. Prostej 20 wynajmują powierzchnie biurowe.
Zdaniem Damiana Stachyra, eksperta ochrony danych osobowych i prezesa zarządu spółki Inspektorzy ODO, samo zainstalowanie takiego systemu nie jest niezgodne w prawem, natomiast firma, która wprowadza takie narzędzia kontroli dostępu, musi zważyć, czy nie są one nadmiarowe wobec celu, jakim jest ochrona interesów ich klientów. A co ważniejsze, czy nie naruszają one podstawowych praw i wolności osób fizycznych.
- W sytuacji, gdy dochodzi do przetwarzania danych osobowych, administrator tych danych zobowiązany jest wypełnić obowiązek informacyjny wobec osób, których dane te dotyczą. WeWork nie wypełnia tego obowiązku zarówno w odniesieniu do opisanego systemu rejestracji osób, jak i w odniesieniu do systemu monitoringu wizyjnego w swoich biurowcach – jest to naruszenie, którego wyjaśnieniem powinien zająć się Prezes Urzędu Ochrony Danych Osobowych – ocenia Stachyra.
Rzecznik prasowy Urzędu Ochrony Danych Osobowych Adam Sanocki potwierdza, że niedawno wpłynęła do nich skarga od osoby fizycznej na WeWork.
"Obecnie sprawa ta jest analizowana. Warto dodać, że skierowana do prezesa Urzędu Ochrony danych Osobowych skarga inicjuje postępowanie administracyjne. O szczegółach związanych z toczącymi się postępowaniem zawiadamiane są jedynie strony tego postępowania bądź ich pełnomocnicy" - czytamy w mailu przesłanym do redakcji.
Z fast foodu wyciekł grafik
UODO bardzo oszczędnie wypowiada się również o sprawie innego amerykańskiego giganta, sieci McDonald’s. Urząd bada również ich przypadek.
Kilka tygodni temu informowaliśmy, że wyniku błędu sieć udostępniła dane osobowe swoich pracowników, w tym numery PESEL oraz informacje dotyczące powodu nieobecności w pracy danego pracownika.
- Naruszenie prawa polegało na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald’s w Polsce zawartych w narzędziu do wyświetlania grafików pracy – przypomina rzecznik UODO i dodaje, że prezes UODO prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia. "Organ nadzorczy analizując sprawę, zwrócił się do spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych" - napisał Sanocki. UODO chce też wiedzieć, czy sieć monitorowała ich działanie.
Biuro prasowe McDonald's informuje, że 22 lipca firma otrzymała zgłoszenie o naruszeniu danych osobowych. "Niezwłocznie przystąpiliśmy do zabezpieczenia danych oraz wyeliminowania możliwości dostępu do nich. (...) Wyniki audytu wskazują na omyłkowe umieszczenie kopii bazy danych w nieprzeznaczonym do tego folderze" - czytamy w komunikacie przesłanym nam przez sieć.
"Podjęliśmy szereg działań, aby poinformować o zdarzeniu osoby, których dane mogły zostać ujawnione. Uruchomiliśmy specjalną infolinię, dzięki której można było uzyskać szczegółowe informacje na temat podjętych działań, zakresu danych, a także kroków jakie powinni podjąć, aby chronić się przed potencjalnym zagrożeniem wynikającym z tej sytuacji." - czytamy dalej w mailu do money.pl. McDonald's podkreśla, że sytuacja ta nie dotyczyła danych gości.
"Ubolewamy, że doszło do tej sytuacji i jednocześnie zapewniamy, że we współpracy z agencją obsługującą nas w zakresie narzędzia, dokonaliśmy wszelkich niezbędnych kroków, aby zabezpieczyć dane pracowników" - podsumowuje biuro prasowe koncernu.