RODO – co to oznacza w praktyce dla przysłowiowego Kowalskiego? Część I
- Wstęp
Pojęcie danych osobowych nie jest nam obce, gdyż poprzedniczka RODO – ustawa o ochronie danych osobowych z 1997 r. – obowiązuje dostatecznie długo, aby się oswoić z tym pojęciem i wielokrotnie mieć z nim do czynienia w życiu codziennym. Jednakże powyższa ustawa nie miała takiej reklamy w mediach jako RODO, o którym słyszymy / czytamy od wielu miesięcy we wszystkich środkach masowego przekazu. Czym jest więc owe RODO? Czy to rzeczywiście taka rewolucja w ochronie danych osobowych, jak wszyscy zapowiadali? Czy należy się go obawiać, czy wręcz przeciwnie? Na pewno warto je poznać i być świadomym swoich praw jako osoby, których dane osobowe są przetwarzane przez wiele rożnych podmiotów.
- Co to jest RODO?
RODO jest powszechnie stosowanym w Polsce skrótem dla Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
W języku angielskim dokument ten nosi miano General Data Protection Regulation (GDPR). W dniu 25.05.2018 r. RODO zaczęło obowiązywać w Polsce. Założeniem prac nad RODO było ograniczenie zróżnicowania przepisów o ochronie danych osobowych między poszczególnymi
państwami członkowskimi i w efekcie RODO w sposób kompleksowy reguluje ochronę danych osobowych w Unii Europejskiej, gdyż obowiązuje we wszystkich 28 państwach członkowskich.
- Zakres obowiązywania RODO
RODO dotyczy ochrony danych osobowych osób fizycznych, a więc nie wprowadzono w tym zakresie jakiejś istotnej zmiany. Nadmienić należy, że ochrona dotyczy też osób fizycznych prowadzących działalność gospodarczą. Czyli każdy z nas ma prawo do ochronnych swoich danych osobowych, niezależnie od tego, czy jesteśmy pracownikiem, klientem sklepu internetowego czy pacjentem w przychodni. W tym miejscu warto też wskazać, czym są dane osobowe, a w tym zakresie RODO wprowadza pewne zmiany, wynikające m.in. z rozwoju techniki i technologii. Otóż dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Bez wątpienia danymi osobowymi były i są imię i nazwisko czy numer identyfikacyjny (np. PESEL). Ale według RODO danymi osobowymi są też dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej – a więc według RODO danymi osobowymi będzie adres IP komputera czy pliki cookies, zbierane przez przeglądarkę internetową. RODO rozszerzyło też katalog danych wrażliwych. Poprzednia ustawa określała mianem danych wrażliwych
informacje dotyczące przekonań religijnych, poglądów politycznych, a także stanu zdrowia. A według RODO danymi wrażliwymi są też dane biometryczne (np. odcisk palca) oraz genetyczne.
Zmiany wprowadzono też w odniesieniu do zakresu terytorialnego RODO. Otóż RODO znajdzie zastosowanie, jeśli administrator ma np. oddział na terytorium UE i przetwarzanie danych ma związek z działalnością tego oddziału, nawet jeśli sam oddział nie przetwarza danych, i to niezależnie od tego, czy przetwarzanie odbywa się w Unii. Drugą istotną zmianą jest wprowadzenie tzw. „koncepcji nakierowania”. Dotyczy ona sytuacji, w której administrator nie mają jednostki organizacyjnej w Unii Europejskiej, ale ich czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii lub monitorowaniem zachowania takich osób (np. za pomocą plików cookies czy odpowiedniego oprogramowania). Warto wspomnieć, że oferowanie towarów lub usług nie musi się łączyć z obowiązkiem zapłaty, co wynika z tego, że wiele usług w Internecie, jak np. poczta e-mail, oferowanych jest nieodpłatnie. Unijny prawodawca poprzez bezpośrednie odniesienie podkreśla więc, że także takie usługi będą objęte zakresem nowej regulacji.
- Uprawnienia konsumenta wynikające z RODO
RODO wprowadza pewne nowe uprawnienia osób, których dane są przetwarzane, a których nie było w dotychczasowych przepisach, a mianowicie:
1) prawo do informacji, jak długo dane osobowe będą przetwarzane
Dotąd często podpisywaliśmy klauzule wyrażające zgodę na przetwarzanie naszych danych, ale w praktyce nie mieliśmy żadnego wpływu na to, co się dzieje z naszymi danymi później. Czy będą one przetwarzane przez miesiąc, rok, 10 lat, a może wiecznie? RODO zmienia to diametralnie i nakazuje informować osobę, której dane są zbierane, o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu. Powinno to wymusić na podmiotach przetwarzających dane, aby dane były usuwane gdy nie są już potrzebne.
2) Prawo do przenoszenia danych osobowych
To uprawnienie ma duże znaczenie praktyczne i powinno ułatwić funkcjonowanie w obrocie prawnym. Dotychczas sprawa wyglądała tak, że podczas zmiany banku, dostawcy internetu, prądu lub gazu, czy operatora komórkowego zachodziła konieczność każdorazowego wypełniania formularzy, celem podania niezbędnych danych osobowych. RODO wprowadza natomiast zasadę, że możemy zażądać od administratora naszych danych, aby przekazał nasze dane innemu administratorowi. Pewną modyfikacją zasady przenoszenia danych jest uprawnienie do żądania od administratora, aby przesłał nam nasze dane w powszechnie
stosowanym formacie (np. pdf), abyśmy z kolei mogli je sami przesłać kompleksowo do innego administratora. Zasada wydaje jest bardzo praktyczna, choć osobiście wyrażam wątpliwości, czy wszyscy administratorzy będą chcieli się do niej stosować. Pewnie często będzie tak (przynajmniej przez jakiś czas), że każdy administrator sam będzie chciał zebrać od nas wszystkie dane (np. każąc wypełnić wniosek, albo inną kartę danych osobowych) na swoich własnych formularzach. W szczególności problem taki będzie w moim przekonaniu przy współpracy z bankami, które przykładowo przy wnioskach kredytowych nie odstąpią od zbierania danych poprzez wypełnienie ich własnych formularzy.
3) Prawo do usunięcia danych (do bycia zapomnianym)
Przedmiotowe uprawnienie osób, których dane są przetwarzane, jest przytaczane jako uprawnienie wprowadzone przez RODO. Tymczasem funkcjonowało ono również przed wejściem w życie RODO, które je jedynie rozszerza i precyzuje. Tak więc w każdym czasie można żądać od administratora naszych danych, aby jej usunął, jeśli tylko ich dalsze
przetwarzanie jest zbędne, albo gdy cofnęliśmy zgodę na przetwarzanie naszych danych i nie ma innej podstawy jej przetwarzania. Zaletą nagłośnienia tego prawa przy okazji wejścia w życie RODO może być to, żeby będziemy z tego uprawnienia częściej korzystać, gdyż nie ma potrzeby, aby ktokolwiek dysponował naszymi danymi dłużej niż to konieczne.
4) Prawo do ograniczenia przetwarzania danych
Ograniczenie przetwarzania danych polega na tym, że administrator może je jedynie przechowywać, natomiast wszelkie inne formy ich przetwarzania są co do zasady zabronione. Żądanie ograniczenia przetwarzania naszych danych dotyczy przykładowo sytuacji, gdy przetwarzane dane są nieprawidłowe i do czasu ich zweryfikowania możemy żądać od administratora ograniczenia ich przetwarzania. Innym przypadkiem, kiedy będzie można skorzystać z tego uprawnienia, będzie sytuacja, gdy administrator nie potrzebuje już naszych danych i chciałby je usunąć, ale my nie zgadzamy się na to, gdyż jest to nam potrzebne do dochodzenia od niego naszych roszczeń. Osobiście uważam, że praktyczne zastosowanie tego uprawnienia nie będzie znaczące.
5) Możliwość niewyrażenia zgody na profilowanie
Profilowanie, czyli tworzenie profilu konsumenta, nie jest zjawiskiem nowym i na pewno każdy aktywny użytkownik Internetu zetknął się z nim. Chodzi o analizę zachowań użytkownika w sieci, by na podstawie zgromadzonych danych móc lepiej dopasować ofertę do jego oczekiwań. Jeśli więc szukamy w sieci jakiegoś towaru i odwiedzamy związane z tym strony internetowe, to zauważymy, że i w przyszłości będziemy otrzymywać (w różnej formie) reklamy tego towaru. RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. RODO daje konsumentom prawo do tego, by nie podlegać automatycznego profilowaniu przez systemy badające sposób poruszania się po witrynie. W sytuacji, gdy strona internetowa korzysta z takich sposobów zbierania danych, administrator ma obowiązek
poinformować konsumenta o tym fakcie.
6) Zwiększona ochrona małoletnich
RODO zwróciło też uwagę na ochronę praw małoletnich. Mianowicie w przypadku świadczenia jakiejkolwiek usługi na rzecz osoby poniżej 16. roku życia i przetwarzania w związku z tym danych osobowych tej osoby, zgody na przetwarzanie danych osobowych udziela rodzic lub opiekun prawny. W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Osobiście trudno mi sobie wyobrazić, w jaki sposób administrator miałby weryfikować, czy przycisk „zgody” kliknął rodzic czy dziecko. Przedmiotowy przepis oznacza, że dziecko poniżej 16. roku życia bez zgody rodziców teoretycznie nie będzie już mogło założyć np. konta na Facebooku czy innym portalu społecznościowym. Tym bardziej jestem ciekawa, jak w praktyce będzie wyglądało weryfikowanie przez portal zgody rodziców.
- Obowiązki administratorów danych osobowych
RODO wprowadza zasadę bezpośredniej odpowiedzialności administratorów za przetwarzanie danych, co jest istotne z punktu widzenia konsumenta. Dla firm jako administratorów oznacza to z jednej strony konieczność wdrożenia odpowiednich środków technicznych i IT (informatycznych), a więc często konieczność modernizacji biur. Innymi słowy administrator ma obowiązek samodzielnej oceny ryzyka i zastosowania takich metod, które pozwolą w możliwie największym zakresie zabezpieczyć przetwarzane dane. Oczywiście nawet najdoskonalsze zabezpieczenia nie wyeliminują w 100% ryzyka nielegalnego pozyskania danych. W takim przypadku administrator ma obowiązek powiadomić o wycieku danych osobowych właściwy organ i to w ciągu 72 godzin. W dotychczasowych przepisach nie było takiego obowiązku i to najczęściej z mediów dowiadywaliśmy się, że gdzieś na śmietniku znaleziono worki z dokumentami zawierającymi dane osobowe tej czy innej instytucji. W związku z dodatkowymi uprawnieniami osób, których dane są przetwarzane, rozbudowane zostały również formuły wyrażające zgodę na przetwarzanie naszych danych. Muszą one teraz zawierać dodatkowo informacje o prawie do przenoszenia danych, czasie ich przechowywania, jak również planach przekazywania poza granice kraju. Warto o tym pamiętać podpisując takie formularze po wejściu RODO w życie.
- Wysokość kar nakładanych za naruszenie RODO
Istotną zmianą zarówno z punktu widzenia przedsiębiorców jak i konsumentów jest wprowadzenie kar, i to wysokich, za naruszenie przepisów o ochronie danych osobowych. W porównaniu do dotychczasowych przepisów jest to prawdziwa rewolucja, gdyż dotychczas kar takich praktycznie nie było. RODO przewiduje natomiast możliwość nałożenia kary w wysokości do 20 milionów euro bądź 4% wartości rocznego światowego obrotu przedsiębiorstwa. Wybór kary zależy od tego, która z tych wartości jest wyższa. Tak więc zbagatelizowanie nowych przepisów może więc drogo kosztować, co tylko wzmocni pozycję osób, których dane są przestrzegane. Można się też spodziewać częstszych kontroli przestrzegania przez administratorów i inne podmioty przepisów o ochronie danych osobowych.
- Podsumowanie
Jak widać RODO nie wprowadza żadnej rewolucji. Owszem, niesienie ze sobą szereg nowych uprawnień dla osób, których dane są przetwarzane, i nowych obowiązków dla osób, które te dane przetwarzają, ale określanie tych zmian jako rewolucyjnych jest grubą przesadą. Jeśli mówić o jakiejkolwiek rewolucji w zakresie ochrony danych osobowych, to co najwyżej odnośnie kar za naruszenie przepisów o ochronie danych. Ich wysokość z całą pewnością spowoduje, że żaden z administratorów nie będzie już mógł sobie pozwolić na traktowanie tych przepisów per nogam. Niewątpliwe warto jednak zapoznać się z nowymi regulacji, aby lepiej chronić swoje dane.