Czas na dostosowanie się do RODO (GDPR) mija już za tydzień, więc chyba pora zmierzyć się z tym tematem również na łamach Webinsider.pl, tak by w pewnym sensie – symbolicznie – rozpocząć ostatni etap (moich) prac związanych z wdrożeniem tego rozporządzenia. I choć można żartobliwie napisać, że RODO dotyczy właściwie każdego, kto przetwarza dane osobowe do celów innych niż prywatna książka telefoniczna, to aż tak szeroko do tematu nie będę podchodził. Oczywiście od spraw ogólnych/uniwersalnych nie uciekniemy, i one będą – bo muszą, to skoncentruje się głównie na aspektach związanych z działalnością w internecie – blog, strona firmowa, sklep internetowy czy newsletter…
Spis treści w artykule
- 1 RODO, czyli Rozporządzenie o Ochronie Danych Osobowych
- 1.1 Co to jest RODO
- 1.2 Dane osobowe
- 1.3 Zbieranie danych osobowych
- 1.3.1 Rozszerzony obowiązek informacyjny
- 1.3.2 Zgody na przetwarzanie danych osobowych
- 1.3.3 Wycofanie zgody na przetwarzanie danych osobowych
- 1.3.4 Podstawa prawna
- 1.3.5 Przetwarzanie tylko przez niezbędny okres
- 1.3.6 Tylko takie dane, jakie faktycznie są niezbędne
- 1.3.7 Profilowanie
- 1.3.8 Stare zgody na przetwarzanie danych osobowych
- 1.4 Przetwarzanie danych osobowych
- 1.5 Kara za naruszenie przepisów to ostateczność
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych
Temat jest rozległy, i pewnie można by napisać na ten temat co najmniej kilka artykułów – nawet jeśli skoncentrować się tylko na elementach związanych z prowadzeniem internetowego biznesu. Dlatego artykuł podzielę na kilka sekcji, w których postaram się pogrupować zagadnienia tak, by całość była, jak najbardziej przejrzysta i przystępna. Na pewno warto też zajrzeć do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016, oraz do polskiej ustawy o ochronie danych osobowych, która wczoraj została przyjęta przez Senat (kilka dni temu przez Sejm).
Dziś głównie teoria (z odrobiną praktyki gdzieniegdzie), a jutro lub zaraz po weekendzie prawdopodobnie uda się opublikować zastosowanie w praktyce tych informacji – wdrożenie RODO na blogu, stronie firmowej, w sklepie internetowym i newsletterze.
Temat jest na pewno medialnie nośny, i przez to narosło wokół niego sporo mitów – w dużej mierze przez informacje o wysokich karach, które mają (rzekomo) być nakładane na przedsiębiorców. Ale takie jest obecnie dziennikarstwo – brak kompetencji, zajmowanie się tematami „po łebkach” i szukanie sensacji. W każdym razie, nie takie RODO straszne, jak je malują…
Co to jest RODO
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych lub – w wersji międzynarodowej – GDPR, czyli General Data Protection Regulation to relatywnie nowe prawo unijne, które dotyczy sfery przetwarzania i ochrony danych osobowych wszystkich obywateli krajów członkowski Unii Europejskiej..
Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych.
Datą, która najczęściej obecnie przy tej okazji się powtarza, jest 25 maja 2018. Jest to data ważna, ale nie dlatego, że tego dnia RODO wchodzi w życie, bo nowe prawo już obowiązuje. 25 maja kończy się przejściowy okres na dostosowanie się do tego prawa.
Co ważne – prawo dotyczy nie tylko firm zarejestrowanych (prowadzonych) w Unii Europejskiej (czy Europejskiej Strefie Gospodarczej), ale wszystkich, które przetwarzają dane osobowe obywateli państw członkowskich. Bez znaczenia, czy jest to firma z USA, Kanady, Australii, i gdzie ma swoją siedzibę czy serwery.
GIODO zmienia się w PUODO
Przy okazji wejścia w życie RODO (i nowej ustawy o ochronie danych osobowych) zniknie również Generalny Inspektor Ochrony Danych Osobowych (GIODO), czyli organ jeszcze przez kilka dni odpowiedzialny za kontrolę przestrzegania ustawy o ochronie danych osobowych w Polsce. W jego miejsce powstanie Urząd Ochrony Danych Osobowych (PUODO), który… z grubsza będzie miał podobne zadania przed sobą.
Zgłaszania zbiorów danych osobowych
Skoro znika GIODO, to znika też obowiązek zgłaszania zbiorów danych osobowych (np. czytelnicy newslettera, klienci sklepu internetowego) do GIODO. Na szczęście nie oznacza to, że wprawdzie do GIODO nie musimy zgłaszać, ale będziemy musieli zgłaszać do PUODO. Nic z tych rzeczy – od 25 maja 2018 znika całkowicie obowiązek zgłaszania tego typu zbiorów. Jest to niewątpliwie zmiana na plus, nie tylko ze względu na mniejszą biurokrację, ale zakończy też pewnego rodzaju fikcję prawną.
Inne akty prawne
Co ważne, RODO dotyczy głównie ochrony i przetwarzania danych osobowych. Dlatego cały czas obowiązują inne akty prawne, mające zastosowanie w konkretnych przypadkach. W przypadku świadczenia usług drogą elektroniczną (np. sklep internetowy) nadal obowiązuje m.in. ustawa o świadczeniu usług drogą elektroniczną, której zapisy cały czas są wiążące (dla obu stron).
Nie zmienia się też nic, jeśli chodzi o ciasteczka (cookies). Przynajmniej na razie, bo w przygotowaniu jest kolejne europejskie rozporządzenie, tzw. e-Privacy, Miejmy nadzieję, że zostaną wyciągnięte wnioski z „potwora ciasteczkowego”, który w swoim czasie zalał internet, i nie będziemy mieli powtórki…
Dane osobowe
W pierwszym akapicie napisałem, że RODO dotyczy właściwie każdego, bo właściwie wszystko można uznać za dane osobowe, a tym samym za ich przetwarzanie. Był to oczywiście żart, choć… Ogólnie za dane osobowe należy uznać wszelkie pozwalające w jakikolwiek sposób zidentyfikować daną osobę (fizyczną).
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Przykłady danych osobowych:
- Imię i nazwisko
- Adres e-mail (indywidualny)
- Numer telefonu (indywidualny)
- Adres zamieszkania (nie zawsze)
- Adres IP (nie zawsze)
Dodatkowo wyróżniamy dane osobowe zwykłe, których przetwarzanie obwarowane jest mniejszymi restrykcjami, oraz tzw. dane wrażliwe, gdzie obostrzenia są już dużo większe. Reguluje to artykuł 9 i 10 ustawy o RODO/GDPR.
Zbieranie danych osobowych
Wprawdzie sporo mówi się o obostrzeniach związanych ze zbieraniem danych osobowych, ale gdy się temu przyjrzeć uważnie widać, że niekoniecznie tak jest. W wielu przypadkach będzie nawet dużo łatwiej, bo np. zamiast pola do zaznaczenia „zgody na…” można taką zgodę uzyskać poprzez konkretną czynność. Ważne, by jasno i precyzyjnie komunikować użytkownikowi (klientowi), na co właśnie się zgadza (lub nie).
Rozszerzony obowiązek informacyjny
Niezwykle ważna jest też tzw. zasada przejrzystości, czyli powinniśmy udzielić informacji o tym, kim jesteśmy (komu użytkownik powierza swoje dane), jaki jest cel przetwarzania danych osobowych (np. marketing, newsletter, realizacja zamówienia w sklepie internetowym), jaki będzie zakres i okres przetwarzania danych osobowych, czy i komu dane będą przekazywane…
W każdym razie administrator danych osobowych musi przekazać m.in.:
- Swoje dane kontaktowe
- Cel przetwarzana danych osobowych
- Podstawę prawną przetwarzania danych osobowych
- Czy dane osobowe będą powierzane innym podmiotom
- Okres przechowywania danych osobowych
- Informacje o prawie wglądu do danych, ich zmiany lub usunięcia
- Informacje o prawie do przeniesienia danych i do bycia zapomnianym
- Informacje o prawie wniesienia skargi do PUODO
I dlatego ten artykuł będzie miał tyle punktów… ;-)
Zgody na przetwarzanie danych osobowych
Nowe przepisy nie wymagają od osób/podmiotów zbierających dane osobowe większej liczby (ilości) zgód niż stare przepisy – jeden cel przetwarzania to jedna zgoda. Tu nic się nie zmienia, przynajmniej na minus. Ważne by – jak już pisałem – jasno i uczciwie komunikować tego typu informacje.
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Zgoda na przetwarzane danych osobowych musi być:
- Dobrowolna (chceckbox do zaznaczenia, akcja do wykonania)
- Świadoma (rzetelne informacja)
- Konkretna i jednoznaczna (precyzyjnie wskazany zakres i cel przetwarzania danych)
Co więcej – RODO znosi wymóg odbierania zgody na przetwarzanie danych osobowych w formie komunikatu tekstowego z polem do zaznaczenia (checkbox). Teraz możemy taką zgodę odebrać poprzez wykonanie jakiejś czynności, np. kliknięcie linku w wiadomości potwierdzającej chęć zapisania się do newslettera.
Artykuł 7
1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Istotne, że zgody te muszą być dobrowolne, a więc to użytkownik swoim działaniem musi taką zgodę wyrazić. Jeśli np. zdecydujemy się na rozwiązanie z checkboxami (może mieć sens przy większej liczbie zgód, które chcemy ew. pozyskać) to nie mogą one być domyślnie zaznaczone. Musi je zaznaczyć sam użytkownik, gdyż w innym wypadku taka zgoda nie będzie ważna.
Pamiętajcie, że RODO duży nacisk kładzie na to, by wszelkie komunikaty dotyczące przetwarzania i ochrony danych osobowych były przekazywane w możliwie jak najprostszy, jak najbardziej zrozumiały sposób. Ważne, by informacje, które przekazujemy, pokrywały się z tym, co faktycznie zamierzamy robić z uzyskanymi danymi osobowymi.
Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane.
Na pewno treść komunikatów nie powinna brzmieć jak powyższy cytat z… ustawy o RODO, bo coś czuję, że posypałyby się kary… ;-)
Udokumentowanie zgody na przetwarzanie danych osobowych
Warto też przemyśleć to, jak możemy w razie potrzeby udokumentować wyrażenie przez użytkownika niezbędnych zgód na przetwarzanie danych osobowych. Nie ma tu jakichś sztywnych wytycznych (i dobrze), i każdy powinien samodzielnie dostosować ten proces do swojej działalności, tak by w razie ewentualnej kontroli…
Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG (10) oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
Np. w przypadku newslettera dobrze jest przed dodaniem do bazy danych przesłać do osoby zainteresowanej wiadomość linkiem służącym do potwierdzenia, i czynność kliknięcia w ten link – oprócz dodania do naszej bazy danych – powinna zostać odnotowana w systemie (np. data i godzina, adres IP).
Wycofanie zgody na przetwarzanie danych osobowych
Skoro umożliwiamy użytkownikowi wyrażenie zgody na przetwarzanie danych osobowych, to musimy również umożliwić mu wycofanie takiej zgody – w dowolnym momencie, bez zbędnych komplikacji. Wycofanie zgody musi być równie proste co wyrażenie zgody.
Artykuł 7
3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Jeśli np. użytkownik mógł zapisać się do naszego newslettera poprzez podanie adresu e-mail i kliknięcie w link potwierdzający, to nie możemy wymagać, by wycofanie tej zgody (rezygnacja z newslettera) wiązała się np. z koniecznością wysłania do nas rezygnacji w formie papierowej. Po prostu do każdej wiadomości wysyłanej w ramach newslettera dodajemy odpowiednik link, który umożliwia zarządzanie subskrypcją, w tym całkowitą rezygnację z otrzymywania wiadomości.
Podstawa prawna
Oczywiście zbieranie danych osobowych – jak wiele innych czynności tego typu – ma swoją podstawę prawną, którą można/warto przedstawić użytkownikowi.Często też podstawa prawna zależy od tego, z jakich powodów i w jakich okolicznościach chcemy/musimy uzyskać dane osobowe.
Może to być np.:
- Zgoda na marketing produktów i usług (newsletter)
- Umowa sprzedaży (np. sklep internetowy)
- Prawnie uzasadnione interesy odbiorcy danych osobowych (np. realizacja gwarancji czy rękojmi)
- Obowiązki wynikające z (innych) przepisów prawa
I o ile np. zgoda na przetwarzanie danych osobowych w celu wysyłki newslettera musi być odebrana wprost, to już np. zgoda na przetwarzanie danych osobowych w związku z realizacją zamówienia w sklepie internetowym nie musi, a nawet nie powinna być odbierana dodatkowo, bo ma związek z realizacją umowy sprzedaży, i wynika wprost z przepisów prawa:
Przetwarzanie tylko przez niezbędny okres
Jedną z zasad związanych ze zbieraniem i przetwarzaniem danych osobowych jest zasada czasowości, czyli wskazanie okresu, w którym dane osobowe będą przetwarzane. W przypadku newslettera może to być do momentu wyrażenia chęci rezygnacji z otrzymywania wiadomości, ale np. w przypadku zakupów w sklepie internetowym może to być np. 2 lata, czyli do ustania wszelkich potencjalnych roszczeń (gwarancja, rękojmia) z tytułu dokonania zakupów w danym sklepie (chyba, że użytkownik zdecyduje się założyć konto, tak by mieć stały dostęp np. do historii swoich zakupów).
Tylko takie dane, jakie faktycznie są niezbędne
Kolejną ważną zasadą jest to, że zbieramy tylko takie dane, jakie faktycznie są niezbędne dla danego procesu. W przypadku newslettera zazwyczaj będzie adres e-mail i ew imię/pseudonim (choć słyszałem i takie głosy, że być może już imię/pseudonim to za dużo, bo do wysyłki wiadomości e-mail wystarczy tylko adres e-mail ;-)), raczej/zazwyczaj nie ma potrzeby pytania o datę urodzenia, adres, imię psa czy rozmiar buta.
W przypadku sklepu internetowego oczywiście potrzebujemy uzyskać większy zakres danych, czyli imię i nazwisko, adres dostawy (ew. adres płatności, czy do faktury), numer telefonu… Ale tu też należy zachować umiar, i nie „wypytywać” o inne informacje, które „mogą przydać się w marketingu”. Zwłaszcza że jak znam marketerów, to oni chętnie przyjmą wszelkie dane… ;-)
Profilowanie
Nowością, która pojawia się w prawie, wraz z RODO jest tzw. profilowanie, czyli kierowanie do danego użytkownika spersonalizowanego przekazu (reklama, newsletter) na podstawie m.in. posiadanych informacji i jego wcześniejszych działań (np. w jakie linki klikał, jakie wiadomości czytał). Co do zasady profilowanie nie jest zakazane (również automatyczne), ale musimy o tym fakcie poinformować użytkownika.
„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
Trochę inaczej sytuacja wygląda w przypadku, gdy z profilowanie będzie miało istotne skutki dla danego użytkownika, np. na podstawie informacji i jego zachowania będziemy ustalać koszt ubezpieczenia, czy… noclegu (są takie przypadki). W takim przypadku nie wystarczy poinformować użytkownika. Trzeba odebrać od niego zgodę.
Stare zgody na przetwarzanie danych osobowych
Wprawdzie RODO to nowe prawo, to jednak zmiany wcale nie są aż tak rewolucyjne, jakby mogło się czasem wydawać. Dlatego, jeśli przed 25 maja 2018 zgody na przetwarzanie danych były zbierane w sposób prawidłowy, zdobny z (nadal jeszcze) obowiązującym prawem, to nie ma potrzeby ponownego zbierania zgód. Oczywiście można to zrobić, zwłaszcza w przypadku bardziej rozległych baz, choćby po to, by przeczyścić bazę z nieaktualnych rekordów.
Jeśli nie mamy też 100% pewności, że takie zgody były zawsze zbierane prawidłowo, albo chcemy zmienić ich zakres – w takim przypadku również warto zadbać o ponowne wyrażenie zgód przez osoby, których dane chcemy przetwarzać.
Przetwarzanie danych osobowych
Skoro już pozyskaliśmy dane osobowe, to teraz musimy je odpowiednio przetwarzać:
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Tutaj również jest sporo zmian, w większości raczej pozytywnych, bo znikają „głupoty” np. w stylu wymogu zmieniania hasła co 30 dni, czy zostają wprowadzone nowe zapisy, dostosowujące prawo do aktualnego stanu technicznego.
Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności.
Skoro już wiemy, że przetwarzanie danych ma służyć ludzkości, to:
Privacy by design (privacy by default)
Jedną z podstawowych zasad przy tworzeniu systemów do przetwarzania danych osobowych jest „privacy by design” lub inaczej „privacy by default”, czyli dbałość i ochronę danych osobowych na każdym kroku tworzenia projektu, zaczynając od samego projektu, który powinien uwzględniać to, że będą przetwarzane dane osobowe, a tym samym zagwarantować odpowiednie procedury i odpowiednią ochronę.
Anonimizacja danych
Czasem dane zbierane np. do celów statystycznych pozwalają w pewnych okolicznościach zidentyfikować osobę, tym samym stając się danymi osobowymi, których przetwarzanie – patrząc na cel i zasadność – jest bezcelowe. W takim przypadku warto skorzystać z anonimizacji danych:
Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych
Większość usług związanych z gromadzeniem np. statystyk dotyczących odwiedzin na naszej stronie powinna obecnie posiadać taką opcję, z której w większości przypadków warto skorzystać.
Powierzenie przetwarzania danych
Kolejnym niezwykle ważnym elementem jest powierzenia przetwarzania danych osobowych. Jest to ważne dlatego, że prawie każdy podmiot przetwarzający dane osobowe takie powierzenia dokonuje:
- Hosting
- Księgowość
- Systemy służące do e-mail marketingu
- Poczta, kurier
- Zewnętrzna platforma e-Commerce (sklep internetowy jako usługa)
A to tylko kilka przykładów. I o tym warto pamiętać, warto o tym napisać, czy w regulaminie sklepu internetowego, czy w naszej polityce prywatności. Co istotne – na szczęście nie musimy wymieniać konkretnych podmiotów, np. firma kurierska XYZ. Wystarczy wskazać kategorie tych podmiotów, np. firma kurierska.
Umowa zawarta drogą elektroniczną
To co się zmienia zdecydowanie na plus, to to, że umowa o powierzenia danych osobowych nie będzie musiała być zawierana z zewnętrznym podmiotem w formie papierowej. Wystarczy forma elektroniczna. Co więcej – w większości przypadków może być ona zawarta poprzez zaakceptowanie regulaminu danego serwisu (usługi).
Podmiot z poza Europejskiego Obszaru Gospodarczego (EOG)
Na szczęście wejście w życie RODO nie oznacza, że nie będziemy mogli przekazywać danych osobowych do firm (serwisów) działających poza Europejskim Obszarem Gospodarczym, czyli np. do USA, gdzie swoją siedzibę ma większość firm świadczących różnego rodzaju usługi, z których na co dzień wielu europejskich przedsiębiorców korzysta.
By dane mogły zostać przekazane, musi zostać spełniony chociaż jeden warunek:
- Jeśli jest to podmiot amerykański, to powinien być wpisany na listę Privacy Shield (Tarcza Prywatności)
- Przekazywanie danych jest niezbędne do wykonania umowy (a użytkownik został o tym poinformowany)
- Osoba, której dane będą przetwarzane, wyraziła taką wolę (dobrowolnie i świadomie)
W przypadku większości najpopularniejszych serwisów/usług – przynajmniej tych działających w USA – zapewne będzie spełniony pierwszy warunek.
Rejestr czynności przetwarzania
Jak już pisałem w jednym z pierwszych akapitów – znika GIODO, i znika obowiązek zgłaszania zbiorów danych osobowych. Zamiast tego pojawia się rejestr czynności przetwarzania (artykuł 30 ustawy o RODO), który jest dokumentem wewnętrznym, a więc nikomu go nie zgłaszamy, tylko rzetelnie prowadzimy (przyda się nie tylko na wypadek kontroli). Może być prowadzony zarówno w formie papierowej, jak i elektronicznej.
Nie ma tutaj jednego wzoru, jak taki rejestr powinien wyglądać, ale powinien zawierać takie informacje jak:
- Dane kontaktowe Administratora Danych Osobowych (ADO) i ew. – jeśli jest powołany – Inspektora Ochrony Danych (IOD)
- Cel przetwarzania danych (mogą być różne cele)
- Opis kategorii osób, których dane są przetwarzane (np. użytkownicy newslettera, kliencie sklepu internetowego)
- Opis kategorii danych osobowych (np. imię i nazwisko, adres e-mail, numer telefonu)
- Kategorie odbiorców danych osobowych (powierzenie danych osobowych)
- Ewentualny planowany termin usunięcia danych (zaprzestania przetwarzania)
- Ewentualnie opis podjętych środków bezpieczeństwa (technicznych i organizacyjnych)
Rejestr czynności przetwarzania jest jednym z najistotniejszych dokumentów związanych z przetwarzaniem danych, w związku z tym organy nadzorcze mogę przykładać do jego prowadzenia dużą uwagę. Dodatkowo rejestr muszą prowadzić nie tylko administratorzy danych osobowych, ale również podmioty, którym dane zostały powierzone.
Zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania dla małych podmiotów
Teoretycznie, z obowiązku prowadzenia rejestru czynności przetwarzania zwolnione są małe podmioty, zatrudniające mniej niż 250 osób, o czym mówi punkt 5 artykułu 30 ustawy o RODO:
Artykuł 30
5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Napisałem teoretycznie, gdyż… kwestią otwartą pozostaje „sporadyczne przetwarzania danych”, co choćby w przypadku działalności internetowych może nie mieć miejsca. A zarazem sam rejestr nie jest czymś skomplikowanym, i warto się zastanowić, czy dla bezpieczeństwa (i spokoju ducha) nie warto jednak zrezygnować z potencjalnego zwolnienia z obowiązku jego prowadzenia…
Administrator Danych Osobowych (ADO)
W świetle RODO administratorem danych osobowych (ADO) jest właściwie każdy podmiot przetwarzający dane osobowe. Może nim być osoba fizyczna, prawna, organ publiczny, jednostka organizacyjna lub inny podmiot nieposiadający osobowości prawnej. Ogólnie każdy, kto przetwarza dane w kontekście RODO, dlatego też ADO nie wymaga powoływania, powstaje jakby z automatu, gdy zaczynamy przetwarzać dane osobowe.
Inspektor Ochrony Danych
Trochę inaczej wygląda sytuacja w przypadku Inspektora Ochrony Danych (IOD), który jest w pewnym sensie bezpośrednim następcą Administratora Bezpieczeństwa Informacji (ABI). Jednak o ile powołanie ABI było dobrowolne, to powołanie IOD w pewnych warunkach jest obowiązkowe, i mówi o tym m.in. artykuł 37 ustawy o RODO:
Artykuł 37
1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Dlatego też IOD zapewne zazwyczaj nie będzie powoływany w mniejszych działalnościach, w tym działających w internecie (blog, sklep internetowy). Ale jakby ktoś bardzo chciał, to taka możliwość istnieje…
Prawo do bycia zapomnianym
Pewnego rodzaju nowością – przynajmniej na taką skalę – jest prawo do bycia zapomnianym (prawo do usunięcia swoich danych), które przysługuje wszystkim osobom, których dane są przetwarzane. I mowa tutaj o faktycznym usunięciu danych związanych z daną osobą, a nie tylko zaprzestaniu ich przetwarzania (np. wysyłka newslettera):
Artykuł 17
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
I jeśli wpłynie do nas – jako administratorów danych osobowych – tego typu prośba/żądanie, to najlepiej ją niezwłocznie spełnić, oczywiście biorąc pod uwagę dostępne możliwości.
Są jednak sytuacje, gdy nie tylko takiego żądania nie musimy spełniać, co wręcz nie możemy:
Artykuł 17
3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
Dlatego w przypadku pojawienia się tego typu żądania spełniamy je, ale po wcześniejszej weryfikacji, czy osoba, która żąda usunięcia danych faktycznie ma do tego prawo (choćby czy jest tą osobą, za którą się podaje), i czy przetwarzanie jej danych faktycznie jest już zbędne.
Prawo do przenoszenia swoich danych
Jeszcze ciekawsze wydaje się prawo do przenoszenia danych, które daje możliwość użytkownikowi zgłoszenia do nas prośby o przekazanie wszystkich danych, jakie znajdując się w naszym systemie innemu administratorowi danych osobowych (np. historia zakupów w naszym sklepie internetowym):
Artykuł 18
1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:
a) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b); oraz
b) przetwarzanie odbywa się w sposób zautomatyzowany.2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
Tu sam jestem ciekaw, jak to będzie wyglądać w praktyce, bo jakoś nie bardzo wyobrażam sobie sytuację, że ktoś np. napisze do blogera A, by ten udostępnił mu jego dane (w najnowszej wersji WordPressa pojawiła się taka opcja), a następnie prześle je do blogera B z żądaniem, by ten je zaimportował do siebie… ;-)
Kara za naruszenie przepisów to ostateczność
No i tym sposobem dochodzimy do tematu kar, czyli tematu, na którym kończy i zarazem zaczyna swoje artykuły spora grupa pracowników mediów, czasem dla żartu czy niepoznaki zwana dziennikarzami.
Oczywiście RODO przewiduje kary, i to niemałe:
Artykuł 83
4. Naruszenia przepisów dotyczących następujących kwestii [Patryk z Webinsider.pl: skorygowałem, bo oryginalnie jest tutaj „kwesti”] podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (…)
5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (…)
6. Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (…)
Nie da się ukryć, że kwoty te (i procenty) robią wrażenie, ale… Należy mieć świadomość, że organ kontrolny (np. PUODO) będzie brał pod uwagę nie tylko skalę naszej działalności, co również skalę i typ wykroczenia, oraz to czy i jak dbaliśmy o powierzone nam dane osobowe… Dlatego dbajmy o jak najlepszą ochronę powierzonych nam danych osobowych, dołóżmy wszelkich starań, by zapewnić ich bezpieczne, prawidłowe i zgodne z prawem przetwarzanie, ale nie popadajmy w panikę, bo to tylko RODO… ;-)
Swego czasu w serwisie LinkedIn dr Maciej Kawecki (Dyrektor Departamentu Zarządzania Danymi, Koordynator reformy ochrony danych osobowych w Ministerstwo Cyfryzacji) zamieścił infografikę o tytule „kary za naruszenie przepisów to ostateczność”, i oby faktycznie na pierwszym miejscu była np. edukacja w tym zakresie.
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
- Przykładowy kalkulator wyceny usługi druku 3D, czyli nie tylko materiał się liczy - 1970-01-01
- Home Assistant 2024.10, czyli nowa karta „nagłówek” i niedziałający TTS w ramach usługi Google Cloud - 1970-01-01
Artykuł z którym warto zapoznać się. ;)