Ostatni dzwonek dla firm na sprawdzenie zbiorów danych osobowych. Jeśli nie będą mogły udowodnić, że przetwarzają je zgodnie z prawem, to grożą im dotkliwe kary
Wielu przedsiębiorców próbuje właśnie gorączkowo zweryfikować legalność posiadanych przez siebie baz z danymi osobowymi. Problem stanowią przede wszystkim te starsze, kilkunastoletnie, lub też zakupione z niepewnego źródła. Jednak także i te w miarę świeże mogą powodować kłopoty. Chociażby wtedy, gdy firma ma problem z udowodnieniem, że osoby, których dane widnieją w zbiorze, zgodziły się na ich przetwarzanie.
Firmy wciąż niewiele wiedzą o RODO / Dziennik Gazeta Prawna
Powodem obaw jest unijne rozporządzenie o ochronie danych osobowych, które zacznie być stosowane już 25 maja. Co ciekawe, nie zmienia ono zasadniczo samych zasad przetwarzania. – Już na podstawie obecnych przepisów przetwarzanie danych zakupionych z niepewnego źródła może naruszać prawo, np. jeżeli nie było przesłanki legalizującej ich udostępnienie. Od 25 maja wzrośnie jedynie ryzyko biznesowe z uwagi na wysokość kar pieniężnych – wyjaśnia Witold Chomiczewski, radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy.
Mówiąc wprost, już dzisiaj w razie kontroli przedsiębiorcy mogliby mieć problemy. Machali jednak często na to ręką, bo nie wisiał nad nimi bat w postaci kar finansowych. Teraz nie chcą już ryzykować, zwłaszcza że maksymalna wysokość sankcji (20 mln euro) robi wrażenie nawet na najbardziej niefrasobliwych.
– Każda firma powinna dobrze wykorzystać czas do 25 maja na dokonanie rzetelnej inwentaryzacji posiadanych danych. Oznacza to weryfikację zakresu przetwarzanych danych, ich zgodności z zasadami przetwarzania (np. minimalizacja danych, ich prawidłowość, zgodność z prawem, integralność i poufność), przesłankami dopuszczalności przetwarzania, ustaleniem, w jakich systemach są one przetwarzane, komu są udostępniane, czy mają do nich dostęp podmioty trzecie itd. – wylicza Michał Sztąberek, partner zarządzający w iSecure, firmie specjalizującej się w bezpieczeństwie informacji.
– Jeśli na skutek wspomnianej inwentaryzacji okaże się, że w stosunku do części danych nie wszystkie kryteria z RODO są spełniane, czy też dane są zebrane w nadmiarze, to może się okazać, że jedyną ścieżką prowadzącą na drogę legalności będzie ich usunięcie – przestrzega ekspert.
Zgody na marketing
Największy problem stanowią bazy wykorzystywane w celach marketingowych. Chodzi przede wszystkim o adresy e-mail i numery telefonów, na które są (bądź też kiedyś były) wysyłane oferty handlowe. Żeby je dalej wykorzystywać, niezbędne jest posiadanie zgód na przetwarzanie danych w celach marketingowych. A te nie zawsze spełniają wszystkie wymagane prawem warunki, zwłaszcza gdy zbierane były przed wieloma laty bądź też zostały kupione z nie do końca sprawdzonego źródła. Kłopot tym większy, że to na przedsiębiorcy spoczywa obowiązek wykazania, że takie zgody rzeczywiście uzyskał.
– W odniesieniu do starych baz wiele zależy od stopnia udokumentowania pozyskania zgody. Zgodnie z zasadą rozliczalności na podstawie RODO, to administrator musi wykazać, że przestrzega przepisów – ocenia Witold Chomiczewski.
Jeśli są wątpliwości, czy zgodę zebrano w sposób zgodny z prawem, lepiej nie ryzykować i jak najszybciej spróbować naprawić błąd. „Czyszczenie” bazy danych oznacza po prostu wysłanie do wszystkich widniejących w niej osób prośby o wyrażenie zgody na przetwarzanie w celach marketingowych. Ważne, by taka prośba nie miała charakteru marketingowego.
– Jeżeli w odpowiedzi na pytanie dostanie zgodę na przetwarzanie danych, wówczas można je przetwarzać zgodnie z jej treścią. Brak odpowiedzi powinien być uznany za brak zgody – wyjaśnia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. I dodaje, że milczenie samo w sobie też jest przejawem woli – w tym wypadku braku zezwolenia na takie przetwarzanie danych, o jakie pytano.
– Czyli niezależnie od tego, czy odpowiedziano „nie”, czy też mamy do czynienia z milczeniem adresata, efekt jest taki sam: brak zgody na przetwarzanie danych, którego dotyczyło zapytanie – precyzuje ekspert.
Prawnicy nie mają natomiast wątpliwości, że firmy mogą próbować zachęcać klientów do wyrażania zgody na przetwarzanie swych danych poprzez oferowanie im upustów czy też nawet prezentów. Muszą jedynie pozostawić im świadomy wybór.
Tylko jedna prośba
Co jeśli firmie nie uda się pozyskać zgody klienta? Na pewno nie może używać jego danych do przesyłania mu ofert handlowych. Czy musi je od razu wykasować? Tu sytuacja nie jest taka oczywista. Może się bowiem okazać, że ich przetwarzanie będzie uzasadnione czym innym – chociażby koniecznością wykazania, że wcześniej korzystano z tych danych legalnie czy też ze względu na możliwość wysunięcia roszczeń przez klienta.
Prawnicy przestrzegają jednak przed wykorzystywaniem tych danych, by po raz kolejny prosić o wyrażenie zgody na ich przetwarzanie w celach marketingowych.
– Przetwarzanie w celu wystosowania kolejnego zapytania o zgodę, po zignorowaniu przez podmiot danych pierwszego lub odmowie wyrażenia zgody, byłoby ingerencją w prywatność. Dodatkowo ważne jest to, czy podmiot danych może spodziewać się przetwarzania ich w określonym celu. Jeżeli administrator nabył je z niepewnego źródła i w dodatku nie wykonał obowiązków informacyjnych wobec podmiotu danych, to ten ostatni nie będzie miał podstaw, by oczekiwać przetwarzania danych przez administratora. Wobec tego nadrzędny charakter nad interesem administratora będzie miało raczej prawo do prywatności. Prowadziłoby to do konieczności usunięcia danych osobowych. Choć każda sytuacja wymaga osobnej oceny – analizuje Witold Chomiczewski.
Część prawników uznaje, że jeśli dane i tak są przetwarzane w innych celach, to po pewnym czasie można ponowić prośbę o wyrażenie zgody na ich wykorzystanie do przesyłania ofert handlowych. Byle nie następowało to zbyt często. Pojawiają się sugestie, by odczekać co najmniej trzy miesiące.
Nie przekonuje to jednak zapytanych przez nas ekspertów.
– Brak zgody, w tym także milczenie, jest przejawem woli i oznacza brak zezwolenia na takie przetwarzanie danych, o jakie pytano. Dlatego skłaniam się ku temu, że jeżeli zapytano o zgodę, a adresat zapytania milczy, to nie powinno się o zgodę pytać ponownie. Oczywiście sam zainteresowany może z własnej inicjatywy taką zgodę wyrazić, ale administrator danych nie powinien ponownie o to pytać – mówi dr Paweł Litwiński.