RODO - co musisz wiedzieć

Niniejsze opracowanie nie ma celu wyjaśnienia wszystkich zasad oraz omówienia całej złożonej materii RODO. Postaramy się skupić i spojrzeć na reformę z punktu widzenia przedsiębiorcy oferującego swoje usługi lub produkty  w Internecie.

Poruszone w artykule tematy należy traktować jedynie jako krótki wstęp i wprowadzenie, gdyż każdy z rozdziałów zasługuje na oddzielną książkę. Stosując się do zasady przejrzystości celowo staram się wyjaśnić wszystko prostym językiem nie zagłębiając się w prawniczą terminologię.

Słowniczek skrótów

  • ADO – Administrator Danych Osobowych
  • RODO/GDPR – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochotny osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
  • IOD – Inspektor Ochrony Danych
  • Ustawa – Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r.
  • Projekt Ustawy – projekt Ustawy o ochronie danych osobowych z dnia 3 marca 2018r
  • Grupa robocza art. 29 - Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ciało doradcze działające przy Komisji Europejskiej

Podstawy przetwarzania

Jedną z generalnych zasad Rozporządzenia jest przetwarzanie danych osobowych zgodnie z prawem, wyłącznie na jednej z podstaw przetwarzania określonych w art. 6 (lub art.  9 w przypadku danych szczególnych).

Patrząc ze strony przedsiębiorcy prowadzącego serwis internetowy, oferującego usługi lub produkty w Internecie będą nas przede wszytskim interesowały dwie pierwsze podstawy z art. 6 ust. 1, a więc:

  • Zgoda osoby, której dane dotyczą,
  • Przetwarzanie niezbędne jest do wykonania umowy,

Zgoda wg. definicji RODO oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Na przykład:

  • Przesłanie na adres e-mail ADO pisemnego w tym elektronicznego oświadczenia o zgodzie na przetwarzanie danych osobowych,
  • Zaznaczenie odpowiedniego okienka (tzw. checkbox) w oknie przeglądarki zawierającego oświadczenie o wyrażeniu zgody

ADO zgodnie z zasadą rozliczalności musi być w stanie wykazać, iż osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych. Może to zrobić, np. poprzez odpowiednie logi ze strony logowania.

RODO dopuszcza zawarcie zgody w pisemnym (w tym elektronicznym) oświadczeniu, które dotyczy także innych kwestii. Warunkiem koniecznym jest, iż zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Należy więc zadbać o to, aby oświadczenie to  było napisane np. większą, pogrubioną czcionką, innym kolorem, w ramce, itp. 

W dalszym ciągu jednak sugeruję w celach dowodowych i w celu spełnienia zasady rozliczalności umieszczanie oświadczenia o wyrażeniu zgody w osobnym oświadczeniu lub osobnym oknie (checkboxie) do wybrania. Jeżeli decydujemy się na zbieranie zgód w formie okienek (checkboxów) do zaznaczenia, nie mogą one być domyślnie zaznaczone, użytkownik musi samodzielnie dokonać tej czynności.

NP. „Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w formularzu rejestracyjnym przez administratora danych XYZ z siedzibą w XYZ w celach marketingowych, w tym przesyłania newslettera na mój dres e-mail."

Nie jest wyrażeniem zgody również tzw. akceptacja przez milczenie lub brak działania. Tzn. niezgodne z przepisami jest np. wysłanie do Klienta newslettera zawierającego klauzulę, iż nie wyrażenie sprzeciwu w przeciągu określonego przedziału czasu oznacza wyrażenie zgody na dalsze otrzymywanie newslettera (przetwarzanie danych osobowych).

Przy zbieraniu zgody należy poinformować  osobę, której dane dotyczą o celu w którym zbierane są dane, np. cele marketingowe, w tym wysyłanie newslettera. Każdy z celów wymaga wyraźnej zgody. Obwiązek informacyjny dokładniej zostanie omówiony w dalszej części opracowania.

Osoba której dane dotyczą musi zostać poinformowana zanim wyrazi zgodę na przetwarzanie danych o możliwości wycofania zgody, samo wycofanie zgody musi być równie łatwe jak jej wyrażenie.  W naszym przykładzie powinna to być w szczególności możliwość odznaczenia wcześniej zaznaczonego okienka (checkboxa) lub zaznaczenie okienka, które zawiera oświadczenie o wycofaniu zgody. Wydaje się, iż wymaganie to spełni również np. odwołanie zgody poprzez wysłanie zwykłego oświadczenia o wycofaniu zgody mailem przez osobę której dane dotyczą. Przykładowo:

„Oświadczam, iż wycofuję zgodę na przetwarzanie moich danych osobowych przez ADO XYZ z siedzibą w XYZ"

Uwaga, jest to moja osobista opinia. Czy wysłanie maila jest równie łatwe co zaznaczenie okienka po zalogowaniu na stronie danego serwisu internetowego to oczywiście kwestia interpretacji, która zapewne zostanie wyjaśniona przez orzecznictwo sądów.

Od wyrażenia zgody nie może być uzależnione wykonanie umowy, w tym świadczenie usługi, jeżeli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

NP. Aplikacja mobilna w postaci gry w statki będzie wymagała od użytkownika podania imienia, nazwiska, adresu e-mail i nr telefonu, w przeciwnym wypadku nie będzie możliwe zainstalowanie i korzystanie z aplikacji. Dane te nie są niezbędne do korzystania z aplikacji, a więc zgoda taka nie jest zgodą dobrowolną w myśl art. 7 ust 4 RODO. 

Jeżeli od przetwarzania danych osobowych zależy wykonanie umowy podstawą do przetwarzania jest art.  6 ust 1b (przetwarzanie jest niezbędne do wykonania umowy), a nie jest nią zgoda i w tym przypadku zbieranie zgody nie jest wymagane.

NP. Podanie swoich danych osobowych  - adresu do wysyłki w formularzu podczas dokonywania zakupu w sklepie internetowym. Bez podania adresu nie będzie możliwa wysyłka towaru, a więc podanie tych danych jest niezbędne w celu wykonania umowy.

Jeżeli zgoda została wyrażona na podstawie przepisów obowiązujących do dnia 25.05.2018r obowiązuje nadal jeżeli spełnia wymagania określone w RODO i opisane w niniejszym rozdziale, a więc m.in. jest dobrowolna, konkretna, świadoma i przy tym został spełniony obowiązek informacyjny.

Zgoda na przetwarzanie DO dziecka.

W przypadku oferowania usług społeczeństwa informacyjnego dziecku wymagane jest uzyskanie lub zaaprobowanie zgody od osoby sprawującej władze rodzicielską lub opiekę. W RODO wiek dziecka został ustalony na 16 lat.

Usługa społeczeństwa informacyjnego to każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług – czyli usługa świadczona jest bez równoczesnej obecności stron, usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych, usługa świadczona jest poprzez przesyłanie danych na indywidualne żądanie.

W ramach powyższej definicji mieści się sprzedaż i oferowanie produktów on-line, np. gier, filmów, aplikacji, książek, muzyki i szablonów stron internetowych, itp.

Bazując na wytycznych grupy art. 29 (WP 259 https://www.giodo.gov.pl/pl/1520346/10402) wymaganie zgody od opiekuna dziecka nie powinno bazować na rozwiązaniu, które samo w sobie naruszałoby zasady gromadzenia danych osobowych określone w RODO, np. żądanie skanu dowodu osobistego od opiekuna dziecka. Grupa podaje przykładowy proces weryfikacji:

Przy zakładaniu konta np. w sklepie internetowym jedną z wymaganych danych jest wiek. Jeżeli użytkownik w formularzu rejestracyjnym poda wiek poniżej 16 lat otrzymuje informację, iż w celu kontynuowania wymagana jest zgoda jego opiekuna/rodzica. Użytkownik powinien podać adres e-mail swojego rodzica/opiekuna. Na podany adres e-mail sklep wysyła wiadomość z informacją, iż użytkownik w wieku poniżej 16 lat wyraził chęć założenia konta w sklepie i wymagana jest zgoda opiekuna/rodzica na przetwarzanie jego danych osobowych. Proces rejestracji konta może być kontynuowany po otrzymaniu zgody ze wskazanego adresu e-mail. Na pierwszy rzut oka widać niedoskonałość i możliwość "obejścia" takiej weryfikacji na wiele sposobów, ale stosując się do powyższych wytycznych w wystarczający sposób spełniamy nałożony na nas obowiązek. Oczywiście jeżeli "zweryfikowany" adres/użytkownik w dalszym ciągu wzbudza naszą niepewność powinniśmy zażądać dalszej weryfikacji - np. poprzez telefon.

ADO jest w tym przypadku zobowiązany, aby wykazać, iż podjął rozsądne starania w celu weryfikacji zgody osoby sprawującej opiekę.

Obowiązek informacyjny

ADO podczas zbierania danych osobowych, od osoby, której dane dotyczą, np. w momencie wypełniania przez użytkownika formularza rejestracyjnego w sklepie internetowym podaje następujące informacje:

  1. Swoją tożsamość i dane kontaktowe
  2. Dane kontaktowe IOD – jeżeli został wyznaczony
  3. Cele oraz podstawę prawną przetwarzania danych osobowych
  4. Prawnie uzasadniony interes realizowany przez ADO lub stronę trzecią jeżeli przetwarzanie odbywa się na podstawie art. 6 ust 1 f
  5. Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców
  6. Informację o zamiarze przekazania danych osobowych do państwa trzeciego – spoza UE
  7. Okres przez który dane będą przechowywane, a gdy nie jest to możliwe, kryteia ustalenia okresu
  8. informacje o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  9. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  10. jeżeli przetwarzanie odbywa się na podstawie zgody (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  11. informacje o prawie wniesienia skargi do organu nadzorczego;
  12. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  13. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dobrą praktyką w przypadku obowiązku informacyjnego wydaje się umieszczenie pod wypełnianym formularzem rejestrującym konto, okienka do zaznaczenia z przykładową  treścią „Oświadczam, iż zostały mi przekazane informacje zgodnie z wymaganiami art. 13 ogólnego rozporządzenia o ochronie danych 2016/679”i w treści tego oświadczenia odnośnik (link) do dokumentu zawierającego powyższe informacje.

Jeżeli ADO planuje dalej przetwarzać uprzednio zebrane dane osobowe w innym celu niż zostały zebrane powinien poinformować osobę, której dane dotyczą o nowym celu oraz ponowić obowiązek informacyjny zgodnie z art. 13 ust 1 i 2 RODO. 

Obowiązek informacyjny nie ma zastosowania gdy osoba, której dane dotyczą dysponuje już tymi informacjami. Należy zawsze pamiętać, iż w przypadku sporu to ADO ma obowiązek wykazać, iż dana osoba dysponowała informacjami.

Prawa osób, których dane dotyczą

Osoba, której dane są przetwarzane przez ADO ma prawo do:

  1. dostępu do danych
  2. sprostowania danych
  3. usunięcia danych
  4. ograniczenia przetwarzania danychprzenoszenia danych
  5. sprzeciwu do przetwarzania danych
  6. niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych

W celu wykonania jednego z powyższych przysługujących jej praw osoba, której dane dotyczą wysyła do ADO żądanie do spełnienia ciążących na nim obowiązków.

Wszelkie informacje oraz komunikacja z osobą której dane dotyczą powinna być prowadzona w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Dopuszczalne jest udzielenie informacji na piśmie, elektronicznie lub ustnie na żądanie osoby, której dane dotyczą.

Informacja o podjętych działaniach powinna być udzielona w terminie do miesiąca od otrzymania żądania. Z uwagi na skomplikowany charakter lub ilość żądań termin może być przedłużony do dwóch miesięcy – należy poinformować o przedłużeniu terminu i jego przyczynach. 

Jeżeli ADO nie podejmie działań w terminie do miesiąca informuje o powodach niepodjęcia działań oraz możliwości wniesienia skargi do organu nadzorczego oraz do sądu.

Udzielenie informacji jest bezpłatne. ADO może pobrać rozsądną opłatę lub odmówić udzielenia informacji jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne.

Na zasadach powyżej opisanych osoba, której dane dotyczą ma:

Prawo dostępu – uprawnienie do uzyskania od ADO potwierdzenia czy przetwarzane są dane osobowe oraz uzyskanie dostępu do nich oraz do następujących informacji:

  1. cele przetwarzania;
  2. kategorie odnośnych danych osobowych;
  3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  6. informacje o prawie wniesienia skargi do organu nadzorczego;
  7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  9. Jeżeli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej – informacja o odpowiednich zabezpieczeniach o których mowa w art. 46

Ponad to ADO zobowiązany jest dostarczyć na żądanie kopii danych osobowych podlegających przetwarzaniu. Za każdą kolejną kopię ADO może pobrać rozsądną opłatę.

Przykładowo - po dniu 25.05.2018r jeżeli otrzymamy np. maila od zarejestrowanego Klienta sklepu o treści „proszę o informację czy Sklep przetwarza moje dane osobowe i w jakim zakresie?” w przeciągu miesiąca od daty otrzymania powinniśmy przesłać oświadczenie zawierające powyższe informacje, a na żądanie również kopię danych w powszechnym formacie - np. MS Office.

Prawo do sprostowania – osoba, której dane dotyczą ma prawo żądać od ADO:

  1. Sprostowania danych osobowych, które są nieprawidłowe
  2. Uzupełnienia niekompletnych danych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Analogicznie jak powyżej otrzymujemy informację od Użytkownika XYZ, iż w przetwarzanych przez ADO danych osobowych jest błąd w nazwisku lub adresie, jesteśmy zobowiązani w terminie do miesiąca przetwarzane dane poprawić lub uzupełnić.

Prawo do bycia zapomnianym - osoba, której dane dotyczą ma prawo żądać od ADO niezwłocznego usunięcia dotyczących jej danych osobowych jeżeli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

ADO, który otrzyma od osoby której dane są przetwarzane żądanie ich usunięcia powinien niezwłocznie, nie później niż  w terminie miesiąca usunąć dane lub zmodyfikować je w ten sposób, aby dana osoba nie była możliwa do identyfikacji (np. anonimizacja).

Prawo do bycia zapomnianym doznaje jednak pewnych wyjątków i nie ma zastosowania jeżeli przetwarzanie jest niezbędne w jednym z poniższych przypadków:

  1. do korzystania z prawa do wolności wypowiedzi i informacji;
  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; - np. nie możemy żądać prawa do bycia zapomnianym od Urzędu Stanu Cywilnego lub Urzędu Skarbowego, a także usunięcia danych od przedsiębiorcy który przetwarza nasze dane w celach księgowych lub podatkowych (np. przechowywanie faktur vat przez okres 5 lat)
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3; - oznacza, iż prawo do bycia zapomnianym nie ma zastosowania do wyników badań wykonanych przez Medycynę Pracy na zlecenie Pracodawcy
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
  5. do ustalenia, dochodzenia lub obrony roszczeń. – można uznać, iż możemy przechowywać dane do czasu przedawnienia roszczeń

Kolejnym obowiązkiem wynikającym z omawianego prawa jest zobowiązanie ADO, który upublicznił dane np. w Internecie do poinformowania innych ADO którzy dane te przetwarzali o usunięciu wszelkich łączy do tych danych, kopii tych danych lub ich replikacji. ADO powinien podjąć racjonalne działania z uwzględnieniem dostępnych środków i technologii. Różny będzie zakres działań w zależności od możliwości finansowych i technologicznych danego podmiotu.

RODO nie wyjaśnia jak ADO ma wypełnić obowiązki związane z prawem do bycia zapomnianym. Na dzień dzisiejszy pozostaje jeszcze wiele niewyjaśnionych wątpliwości, np. jak wykonać prawo i skutecznie usunąć dane z kopii zapasowych baz danych. Istnieje wiele opracowań na ten temat, jednak nie zamierzam powielać informacji, które nie są sprawdzone lub podparte opiniami posiadającymi moc prawną. Zalecam wykonywać obowiązki zachowując najwyższą staranność i wprowadzać ewentualne korekty po pojawieniu się orzecznictwa np. Trybunału Sprawiedliwości Unii Europejskiej. Nie życzę również, aby Czytelnik tego tekstu stał się integralną częścią tego Orzecznictwa ☺

Prawo do ograniczenia

Na żądanie osoby, której dane dotyczą ADO ma obowiązek ograniczenia danych w następujących przypadkach:

  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Ograniczenie przetwarzania danych oznacza zakaz dalszego ich przetwarzania w celu na który zostały zebrane i po wniesieniu żądania w wyżej opisanych przypadkach ADO ma obowiązek ograniczyć przetwarzanie danych wyłącznie do ich przechowywania.

Dalsze przetwarzanie jest zezwolone wyłącznie za zgodą osoby, której dane dotyczą lub w celu ustalenia, dochodzenia, obrony roszczeń, ochrony prawa innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego.

Obowiązek powiadomienia o sprostowaniu, usunięciu lub ograniczeniu przetwarzania

ADO informuje o:

  1. sprostowaniu, usunięciu lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku
  2. na żądanie osoby której dane dotyczą o odbiorcach, którym dane ujawniono

Przenoszenie danych

ADO na żądanie osoby, której dane dotyczą ma obowiązek przesłać do tej osoby lub innego ADO dane osobowe przetwarzane na podstawie zgody lub umowy w sposób zautomatyzowany. Dane powinny być przesłane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego – na dzień dzisiejszy nie ma ustalonego standardu, spełniające te kryteria są na pewno powszechne formaty pakietu office: xml…

Obowiązek ten dotyczy danych, które „dostarczyła” zainteresowana osoba. Dostarczyła nie bez powodu zostało wzięte w cudzysłów – dostarczeniem jest zarówno wypełnienie formularza jak i „obserwacja działań” danej osoby: historia wyszukiwania, dane lokalizacyjne gps zapisane w aplikacji, tętno monitorowane przez obecnie popularne bransoletki, historia zakupów w sklepie, rejestr połączeń telefonicznych, historia rachunku bankowego. Wg29

ADO który otrzymał dane staje się nowym ADO otrzymanych danych. Przeniesienie danych nie oznacza obowiązku ich wykasowania przez ADO przenoszącego.

Prawo do przenoszenia nie może niekorzystnie wpływać na prawa innych osób. Przekazane dane powinny być adekwatne do zakresu świadczonej usługi. Przykładowo przenosząc rejestr połączeń między operatorami należy pamiętać, iż w rejestrze tym znajdują się również dane osób do których dzwoniliśmy lub do nas dzwoniły. Operator nie może przetwarzać tych danych w innym celu niż wynikającym z przeniesienia, a więc np. możliwości korzystania z historii połączeń przez osobę, która żądała przeniesienia.

W założeniu prawo to ma ułatwiać korzystanie przez osoby fizyczne z danych należących do nich samych. Zwróćmy uwagę jak dużym ułatwieniem jest stosowane już od dużego czasu możliwość przeniesienia numeru telefony komórkowego w przypadku zmiany operatora.

Przykłady i interpretacje  wykorzystane w tym akapicie w całości bazują na opinii Grupy roboczej art. 29 WP 242 (https://www.giodo.gov.pl/pl/1520344/10391)

Prawo do sprzeciwu

Osoba, której dane dotyczą w dowolnym momencie ma prawo wnieść sprzeciw wobec przetwarzania danych osobowych na potrzeby marketingu, w tym profilowania w zakresie w jakim przetwarzanie jest związane z marketingiem bezpośrednim. Po wniesieniu sprzeciwu dane osobowe nie mogą być dalej przetwarzane w celu marketingu bezpośredniego.

Sprzeciw może również zostać wyrażony co do przetwarzania danych polegających na profilowaniu, które jest niezbędne do celów wynikających z prawnie uzasadnionego interesu realizowanego przez ADO lub stronę trzecią.

Prawo do wniesienia sprzeciwu obejmuje jeszcze obszar, który pozostaje za polem zainteresowania w zakresie tego artykułu.

Zautomatyzowane podejmowanie decyzji

Zautomatyzowane podejmowanie decyzji, w tym profilowanie niesie za sobą zarówno znaczne korzyści jak lepiej dopasowany do klienta produkt, z drugiej strony znaczne ryzyko naruszenia praw i obowiązków.

Wg. definicji RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się

Grup artykułu 29 podaje bardziej potoczną definicję wg. której profilowanie to gromadzenie informacji na temat danej osoby (lub grupy osób) i analizowanie ich cech lub wzorców zachowań w celu umieszczenia ich w określonej kategorii lub grupie i / lub w celu stworzenia prognoz lub ocen dotyczących na przykład ich:

  1. możliwości/umiejętności wykonania zadania;
  2. zainteresowania; lub
  3. prawdopodobnego zachowania.

Profilowanie i zautomatyzowane podjęcie decyzji to nie zawsze to samo. Zautomatyzowane podejmowanie decyzji to mówiąc najogólniej podejmowanie decyzji za pomocą środków technicznych bez udziału człowieka. Jako przykład zautomatyzowanego podejmowania decyzji WG 29 podaje np. wystawienie mandatu na podstawie zdjęcia z auto radaru.

Zautomatyzowane przetwarzanie danych, w tym profilowanie, którego skutkiem jest podjęcie decyzji, która wywołuje skutki prawne wobec osoby, której dane dotyczą lub w podobny sposób istotnie na nią wpływa jest dozwolone jedynie w przypadku gdy decyzja ta:

  1. jest niezbędna do zawarci lub wykonania umowy między osobą której dane dotyczą, a ADO
  2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
  3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Przykładem decyzji, która opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą skutki prawne lub w podobny sposób znacząca na nią wpływa jest automatyczne odrzucenie elektronicznego wniosku kredytowego lub elektroniczne metody rekrutacji bez udziału ludzkiego.

W przypadkach opisanych w pkt. 1 i 3 powyżej osoba któej taka decyzja dotyczy powinna co najmniej mieć zapewnione prawo do uzyskania interwencji ludzkiej ze strony ADO, wyrażenia własnego stanowiska i zakwestionowania tej decyzji.

Takie przetwarzanie danych w celu zapewnienia właściwych środków ochrony praw wymaga m.in. spełnienia obowiązku informacyjnego opisanego powyżej. 

O czym jeszcze należy pamiętać:

RODO jest neutralne technologicznie. Oznacza to tyle, iż w rozporządzeniu nie znajdziemy skonkretyzowanych wytycznych co do wymaganych środków zabezpieczeń. Każdy z ADO sam decyduje jakie środki techniczne i organizacyjne uzna za odpowiednie. Wdrożone środki mają zapewnić, aby przetwarzanie DO odbywało się zgodnie z Rozporządzeniem i co bardzo ważne, to po stronie ADO istnieje obowiązek udowodnienia tego. Takie podejście umożliwia stosowanie przepisów wraz z rozwojem technologii bez konieczności wprowadzania zmian w przepisach.

Wraz z RODO zaczną obowiązywać dwie nowe zasady: privacy by default i privacy by design oznacza to, iż produkt lub usługa muszą być dostosowane już w fazie projektu, jeszcze przed „wypuszczeniem” na rynek do przepisów Rozporządzenia. Dodatkowo produkt domyślnie musi być ustawiony w takim trybie, aby nie udostępniał naszych danych. Przykładowo w aplikacji, która udostępnia naszą lokalizację, zaraz po zainstalowaniu funkcja ta powinna być wyłączona i dopiero po wyraźnym uruchomieniu tej funkcji z naszej strony może te dane przetwarzać/udostępniać.

Na wszystkie przepisy należy patrzeć kompleksowo, np. nie można żądać od ADO przeniesienia danych osobowych, których ADO nie miał obowiązku już przechowywać i z tego powodu zostały one usunięte. 

Sankcje za naruszenie przepisów RODO

Naruszenie przepisów RODO grozi nałożeniem kary administracyjnej w wysokości do 20.000.000 euro lub 4% światowego obrotu. Zgodnie z art. 83 RODO kary powinny być skuteczne, proporcjonalne i odstraszające z uwzględnieniem takich okoliczności jak m.in.: charakter, wagę i czas naruszenia, liczby poszkodowanych, umyślności czynu, działań podjętych w celu zminimalizowania szkody. Wbrew pozorom jednak to nie kara administracyjna może okazać się  najbardziej dotkliwą z sankcji, a możliwość wprowadzanie przez Organ Nadzorczy czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania. Zakaz przetwarzania danych osobowych może w poszczególnych przypadkach wiązać się z zaprzestaniem działalności przez dany podmiot. Wyobraźmy sobie działalność sklepu internetowego bez możliwości przetwarzania danych adresowych klientów. Za nieprzestrzeganie przepisów grozi również odpowiedzialność cywilna – żądanie zaprzestania naruszenia, odpowiedzialność na zasadach ogólnych, np. odszkodowanie związane z poniesioną szkodą jeżeli dopuścimy do wycieku danych. Szeroko był komentowany przykład utarty danych w postaci skanu dowodu osobistego i wykorzystanie skanu do uzyskania kredytu. Odpowiedzialność karną przewiduje Projekt ustawy – do 2 lat pozbawienia wolności za przetwarzanie danych, choć ich przetwarzanie jest niedopuszczalne, np. brak zgody.

Powierzenie danych osobowych

Powierzenie oznacza przetwarzanie danych w imieniu administratora, a więc podmiot przetwarzający (procesor), któremu powierzono dane nie jest ADO gdyż nie stanowi o celach i sposobie przetwarzania. Powierzeniem stanowić będzie przede wszystkim outsourcing usług – hosting, księgowość, usługi informatyczne.

Podmiot, któremu powierzymy dane powinien zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, krótko mówiąc musi spełniać wszystkie wymagania stawiane przez RODO. To ADO musi się upewnić zanim powierzy dane, czy procesor odpowiada powyższym wymaganiom i jak w każdym innym przypadku udowodnić, iż się upewnił.

Jak to zrobić? Wydaje się, iż dopóki nie są gotowe kodeksy postępowania (art. 40) oraz mechanizmy certyfikacji (art. 42) jedynym rozwiązaniem jest audyt takiego procesora pod kątem zgodności z przepisami RODO. 

Powierzenie danych powinno odbywać się na podstawie umowy o powierzenie danych, której minimalną treść określa art. 28 ust 3. Umowa ta stanowi w szczególności, że procesor:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32 – odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia danych

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4, zgoda ADO na korzystanie z podprocesora, konieczność nałożenia na podprocesora takich samych obowiązków jakie ADO nakłada na procesora

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36; bezpieczeństwo przetwarzania, zgłaszanie naruszeń, zawiadamianie osób, których narusznie dotyczy, ocena skutków dlaochrony danych, uprzednie konsultacje

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Umowa taka będzie umową nienazwaną i strony powinny jak najdokładniej ustalić swoje wzajemne obowiązki, a powyższy przepis stanowi tylko niezbędne minimum takiej umowy.

CDN...

Artykuł został przygotowany przez radcę prawnego Pawła Foltmana z Kancelarii Radcy Prawnego Pawła Foltmana.

Informujemy, że nasz dodatek dla Joomla: DJ-EasyContact, służący jako formularz kontaktowy został zaktualizowany i obecnie jest całkowicie zgodny z RODO (GDPR).

Zachęcamy do pobierania, gdyż jest on całkowicie darmowy. Więcej informacji można znaleźć tutaj