Po dwóch miesiącach obowiązywania Ogólnego rozporządzenia o ochronie danych (RODO) warto przyjrzeć się zagadnieniu, które budziło emocje i spory jeszcze nim o RODO zaczęło być głośno czyli kwestii udostępniania danych osobowych przez portale rankingujące. Co zmieniło wejście w życie RODO w funkcjonowaniu serwisów oferujących rankingi lekarzy czy prawników i czy zmieniło cokolwiek?
Punktem wyjścia niech będą typy zawodów, które są porównywane i oceniane w przestrzeni takich portali. Łączy je przynależność do grupy zawodów zaufania publicznego, co będzie miało znaczenie w dalszych rozważaniach. Trzy lata temu media informowały o lekarce, która pozwała portal prowadzący porównywarkę lekarzy o naruszenie dóbr osobistych, kiedy pod swoim nazwiskiem odnalazła negatywne komentarze użytkowników portalu. Zagadnienie publikowania danych osobowych specjalistów było też przedmiotem rozważań Generalnego Inspektora Ochrony Danych Osobowych. Sprawa ta uwidoczniła problem związany z działalnością takich rankingów.
Spójrzmy więc na porównywarki zawodów od środka. Pewien powtarzający się schemat znajdziemy w każdym z nich – chodzi o zróżnicowane typy kont w zależności od typu użytkownika.
Z punktu widzenia ochrony danych osobowych większych wątpliwości nie budzą konta tworzone przez samych specjalistów, zwykle płatne, ale przez to dające też większą kontrolę niż konto założone przez zwykłego użytkownika, którym jest zwykle w praktyce klient – potencjalny lub taki, który swojego specjalistę chciałby zrecenzować.
Jaką rolę pełni w tej układance administrator portalu? Nie ulega wątpliwości, że jest administratorem danych osobowych gromadzonych i publikowanych w serwisie w rozumieniu przepisów o ochronie danych osobowych. Przyjrzyjmy się, czy i jak serwisy rankingowe realizują obowiązki wynikające z tej roli.
W przypadku konta zakładanego na portalu przez samego przedstawiciela zawodu, które porównuje serwis, nie jest problemem odebranie od niego zgody na przetwarzanie danych osobowych, obejmującej również możliwość bycia opiniowanym przez innych użytkowników serwisu. Przy rejestracji konta przez usługobiorcę serwisu łatwo również zrealizować obowiązek informacyjny wobec specjalisty. I w tym przypadku portal rankingowy pozostaje w zgodności z normami RODO. Nasz specjalista świadomie zakłada swój profil, udostępnia swoje dane, „wystawia się” na opinie użytkowników i zostaje poinformowany o przysługujących mu prawach w zakresie ochrony danych osobowych.
A co z tymi profilami specjalistów, które zakładają zwykli użytkownicy (klienci, pacjenci)? W tym przypadku zgody na przetwarzanie danych osobowych ze strony specjalisty nie ma. I tu wracamy do pojęcia zawodu zaufania publicznego, bo to z jego rolą społeczną i troską o realizację celu publicznego administratorzy serwisów łączą prawo do publikowania danych przedstawicieli pewnych zawodów mimo braku uzyskania ich zgody. Podstawa istniała w art. 23 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Interpretacja wskazująca na publiczny interes w publikacji danych lekarzy (którą odnieść można również do innych specjalistów) została wyrażona również przez GIODO. Podstawę taką znajdujemy również w RODO (art. 6 ust. 1 lit. f).
Czy to znaczy, że bez wiedzy i zgody lekarza czy prawnika można publikować jego dane osobowe i wystawiać je na opinie i komentarze nie tylko zadowolonych klientów, krytykę tych, którzy zadowoleni byli mniej, ale też na możliwą falę opinii obraźliwych czy fałszywych? Nie można.
Administrator serwisu ma bowiem wobec osób, których profile zostały utworzone nie przez nich samych obowiązki informacyjne wynikające z art. 14 RODO. I wydaje się, że nie będzie wystarczające wypełnienie tego obowiązku przez wywieszenie klauzuli informacyjnej na stronie internetowej serwisu.
Osoba, której dane są przetwarzane powinna zostać poinformowana o fakcie przetwarzania i przysługujących jej prawach w taki sposób, by faktycznie mogła te prawa realizować. Na obowiązek informacyjny dotyczący przetwarzania danych osobowych RODO kładzie nacisk szczególny. Skoro „dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane (…)”, a „zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem(…)”, to nie ma żadnych wątpliwości, że wszyscy profesjonaliści oceniani na łamach portali rankingowych muszą otrzymać klauzulę informacyjną zgodną z wymogami RODO.
Ten model daje możliwość podjęcia obrony swoich praw, a przede wszystkim możliwego naruszenia dóbr osobistych przez tych, którzy są oceniani. Należy bowiem pamiętać, że bez względu na to jaki interes realizuje serwis rankingowy, musi ważyć go z prawami i wolnościami osoby, której dane dotyczą.