Przedsiębiorcy mają ostatnie chwile, by dostosować swą działalność do nowych wymagań. Warto zweryfikować posiadane zgody klientów, zaktualizować regulaminy i pamiętać, by nie przetwarzać zbędnych danych.



Choć unijne rozporządzenie o ochronie danych osobowych 2016/679 (RODO) zacznie być stosowane już w piątek, badania pokazują, że spora część przedsiębiorców nie wdrożyła wciąż nowych regulacji. Dotyczy to zwłaszcza mniejszych firm – większe ze względu na ryzyko wysokich kar finansowych zajęły się tym z wyprzedzeniem. Spóźnialscy gorączkowo rozglądają się za wzorami regulaminów, umów czy oprogramowaniem, które pozwoliłoby im jednym ruchem dostosować się do nowych reguł. Ale jest to zwyczajnie niemożliwe.
– Z RODO jest trochę jak z kotem – głaskanie to proces, a nie jednorazowa czynność – mówi żartobliwie dr Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa i prywatności.
– Trzeba pamiętać, że prywatność nie jest produktem, a procesem, który nie ma końca. Nie jest tak, że kupi się oprogramowanie wdrażające RODO, firewalle, antywirusy, zamówi audyt i szkolenia – i to rozwiąże problem. Kluczowa jest ciągłość. Trzeba nieustannie analizować zmiany planów i celów organizacyjnych w firmie, ale także otoczenie – zmiany technologiczne, nowe zagrożenia oraz wpływ jednego na drugie, i płynnie odpowiadać na te wyzwania – wylicza ekspert.
Zgody wciąż ważne
Dobra wiadomość dla przedsiębiorców jest taka, że jeśli zbierali zgody na przetwarzanie danych zgodnie z obowiązującymi zasadami, to zachowają one ważność. Było ryzyko ich ponownego zbierania. Zgodnie z art. 7 RODO, klient przed udzieleniem zgody powinien zostać poinformowany o prawie do jej cofnięcia. Polskie przepisy gwarantowały prawo do cofnięcia zgody, ale dotąd nie zobowiązywały do powiadamiania o tym klientów. Zgodnie ze stanowiskiem GIODO zgody pozostaną jednak ważne.
„Ich wycofanie musi być równie łatwe, jak wyrażenie, co oznacza, że jeśli zgoda była pozyskana przy użyciu interfejsu użytkownika (na przykład za pośrednictwem strony internetowej, aplikacji, strony logowania, interfejsu urządzenia internetu rzeczy lub poczty elektronicznej), jej odwołanie powinno być możliwe za pomocą tego samego interfejsu elektronicznego. Owa łatwość odwołania zgody w każdym momencie będzie decydująca w uznaniu, czy dotychczas zebrane zgody zachowają ważność” – zaznacza GIODO.
Zgodnie z zasadą rozliczalności w razie jakichkolwiek wątpliwości to przedsiębiorca będzie musiał jednak udowodnić, że uzyskał zgodę na przetwarzanie danych zgodnie ze wszystkimi regułami.
Obowiązki informacyjne
Poszerzony natomiast został zakres informacji, które należy przekazywać klientom (nie tylko przy zbieraniu zgód, ale i przetwarzaniu danych na innej podstawie). Przedsiębiorcy powinni o tym pamiętać tym bardziej, że przez pewien moment projekt polskich przepisów przewidywał zwolnienie firm MSP z niektórych obowiązków informacyjnych, a także z konieczności powiadamiania o wyciekach danych. Ostatecznie jednak, w związku z zastrzeżeniami zgłoszonymi przez Komisję Europejską, będą musieli stosować także te przepisy.
– Dużym wyzwaniem będzie obowiązek zgłaszania naruszenia ochrony danych osobowych prezesowi Urzędu Ochrony Danych Osobowych oraz osobom, których dane dotyczą. Wymaga to przygotowania odpowiednich procedur gotowości. Kiedy po 25 maja wydarzy się taki incydent, mechanizmy te będą musiały skutecznie zadziałać – zwraca uwagę Wojciech Dziomdziora, radca prawny z kancelarii Domański Zakrzewski Palinka. – Zgłoszenie naruszenia nie powinno skutkować sankcjami nakładanymi przez organ nadzorczy. Może jednak w konsekwencji prowadzić do pozwów cywilnych lub, co może być najbardziej bolesne, pogorszenia wizerunku przedsiębiorcy. Ten przykład pokazuje, że ochrona danych osobowych, a szerzej cyberbezpieczeństwo firmy to nie tylko zadanie dla informatyków i prawników, ale także dla PR-owców i przede wszystkim zarządów spółek – dodaje ekspert.
Firmy z sektora MSP nie muszą natomiast prowadzić rejestru czynności przetwarzania, w którym mają być odnotowane wszystkie czynności dokonywane na danych osobowych. Warunek jest taki, że przetwarzanie danych ma charakter sporadyczny, nie obejmuje danych wrażliwych (np. wyznanie, zdrowie) i nie powoduje ryzyka naruszenia praw i wolności osób, których dane dotyczą.
Nowe podejście
RODO wprowadza zasadę privacy by design, zgodnie z którą ochrona prywatności powinna być wbudowana w każdy projekt zakładający przetwarzanie danych. Powinien zostać on przemyślany tak, by zbierać jak najmniej danych i zapewniać ich bezpieczeństwo. Ma to istotne znaczenie dla firm planujących wypuszczenie na rynek nowych produktów czy usług.
– Proces privacy by design, do którego zachęca RODO, to przekładanie zasad na specyficzną sytuację przedsiębiorstwa czy produktu. A przede wszystkim to samodzielne wyznaczanie tych zasad, adekwatnie do zagadnienia. Każdy podmiot sam wyznacza, czym będzie u niego privacy by design. Tu nie ma podejścia szablonowego i to odróżnia profesjonalistę z doświadczeniem i wiedzą od amatora – podkreśla dr Łukasz Olejnik.
Czasem firmy będą musiały przeprowadzać ocenę skutków dla ochrony danych osobowych (ang. Data Protection Impact Assessment; dalej: DPIA). Będzie obligatoryjna tam, gdzie pojawi się ryzyko naruszenia praw lub wolności osób. I nie chodzi tylko o duże firmy – nawet start-up mający pomysł na usługę internetową może być zmuszony do takiej oceny. W razie wątpliwości powinien móc wykazać, że przeprowadził analizy, które nie potwierdziły ryzyka naruszenia praw lub wolności.
Branża internetowa
Szczególną uwagę muszą poświęcić RODO firmy działające w internecie. Już teraz spora część z nich informuje w nowy sposób o cookies działających na ich stronach. Choć nie brakuje prawników, którzy uważają, że nie jest to niezbędne, branża postanowiła nie ryzykować.
– Źle się stało, że granica wieku określona w RODO nie została obniżona w polskiej ustawie do lat 13 – ubolewa Wojciech Dziomdziora zwracając uwagę na problemy, jakie mogą mieć przedsiębiorcy z pozyskaniem zgód rodziców.
– Weryfikacja wieku może odbywać się na różne sposoby, np. poprzez wyrażenie zgody przez rodzica drogą mailową czy poprzez obowiązek dokonania płatności (choćby symbolicznej) kartą kredytową lub przelewem. Te i inne mechanizmy nie są i nie będą w pełni skuteczne, ważne jednak, żeby nie były całkiem fikcyjne. Za takie należy uznać samo podanie daty urodzenia lub zaznaczenie opcji potwierdzającej pełnoletność osoby wyrażającej zgodę – wyjaśnia ekspert.
Jak podkreśla Ministerstwo Cyfryzacji w przewodniku przygotowanym dla przedsiębiorców, nie wszystkie serwisy muszą jednak uzyskiwać zgody rodziców. Jeśli przetwarzanie danych obywa się na podstawie akceptacji regulaminu świadczenia usług drogą elektroniczną, to zgoda taka nie jest wymagana.
OPINIA
To nowe prawo już obrosło mitami
Dr Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji / Dziennik Gazeta Prawna
Ze smutkiem obserwuję wyolbrzymianie pewnych problemów, na które RODO nie ma żadnego wpływu, bo przepisy w tym zakresie się nie zmieniają. Weźmy chociażby temat gromadzonych wizytówek. Firmy lawinowo zasypują nas pytaniami, czy mają zaprzestać pozyskiwania wizytówek, bo nie ma jak wykonać obowiązku informacyjnego na etapie ich pozyskania. Po pierwsze, obowiązek informacyjny istnieje również dzisiaj. Po drugie, nie zawsze do gromadzonych w związku z pozyskiwaniem wizytówek danych stosuje się przepisy RODO. Jeżeli wizytówki nie są w żaden sposób systematyzowane i elektronicznie ewidencjonowane, RODO nie stosujemy. Po trzecie, przepisy RODO nie znajdują zastosowania do danych dotyczących osób prawnych, w tym danych o firmie i formie prawnej oraz danych kontaktowych. Do wizytówek firmowych (ogólnej wizytówki firmy) oraz wizytówek zarządów spółek RODO raczej nie znajdzie więc zastosowania. Gros spółek w Polsce to spółki, gdzie członkowie zarządu wyczerpują skład personalny spółki. Po czwarte, obowiązku informacyjnego z art. 13 nie stosuje się w zakresie, w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami. Zwyczajem jest, że wizytówkami się odwzajemniamy. Otrzymujemy w zamian wizytówkę osoby, która od nas ją pobrała. Na niej są najczęściej dane administratora. Są one wiec znane i informować o nich nie musimy. Po piąte, część treści, o których mowa w art. 13 RODO niemal nigdy nie znajdzie zastosowania do wizytówek. Nie służą one np. profilowaniu. Po szóste wreszcie, część wizytówek, które wykorzystujemy w stosunkach prywatnych, jako objęta celem osobistym w ogóle nie podlega pod RODO. Takie podejście – racjonalne, możemy zastosować do ogromnej ilości pro blemów.
Przetwarzanie możliwe nie tylko za zgodą
Najczęstsze podstawy przetwarzania danych osobowych przez przedsiębiorców:
zgoda klienta – wbrew pozorom, nie tak często wymagana. Przykładowo sklep internetowy nie musi prosić o zgodę, aby dokończyć transakcję sprzedaży. Musi natomiast, jeśli chce przetwarzać dane w celach innych niż realizacja umowy – np. wysyłać reklamy na adres e-mailowy klienta;
wykonanie umowy – sklep internetowy może przetwarzać dane takie jak adres klienta, jego nazwisko czy numer telefonu po to, by zrealizować umowę sprzedaży. To samo dotyczy sytuacji, gdy przetwarzanie jest niezbędne do podjęcia działań poprzedzających zawarcie umowy (np. przygotowanie kalkulacji składki ubezpieczeniowej);
wypełnienie obowiązku prawnego ciążącego na administratorze – sytuacja, w której konkretne przepisy prawa zobowiązują przedsiębiorcę do przetwarzania danych. Dotyczy to chociażby operatorów telekomunikacyjnych przy rejestracji kart SIM;
prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią – przetwarzanie jest konieczne np. w celu egzekucji należności od klienta, który zalega z płatnością.
O czym powinien pamiętać każdy przedsiębiorca
zasada minimalizmu – zbieraj tylko te dane, które są niezbędne do realizacji celu, w jakim je przetwarzasz (np. numer PESEL nie może być żądany przez sprzedawców internetowych);
zasada rozliczalności – zbieraj dowody, gdyż w razie problemów będziesz musiał udowodnić, że zrobiłeś wszystko, co było trzeba, aby zapobiec naruszeniom ochrony danych osobowych,
ocena ryzyka – dostosuj stosowane zabezpieczenia do poziomu ryzyka; powinien on być monitorowany w sposób stały;
obowiązki informacyjne – informuj klientów m.in. o tym, w jakim celu przetwarzasz ich dane, jak długo będziesz je przechowywał;
zgłaszaj naruszenia – jeśli dojdzie do wycieku, informuj o nim zarówno klientów, jak i prezesa Urzędu Ochrony Danych Osobowych;
prawo do bycia zapomnianym i przenoszenia danych – usuwaj dane na żądanie klienta, chyba że ich przetwarzanie jest niezbędne np. do reklamacji.