Unijne rozporządzenie o ochronie danych osobowych może , zwłaszcza w początkowym okresie, utrudnić życie polskim przedsiębiorcom. Potrzebują oni wytycznych, jak się do niego przygotować. Najtrudniejsze zadanie czeka jednak regulatora – uznali uczestnicy spotkania zorganizowanego w redakcji DGP.
Czy przedsiębiorcy powinni bać się RODO?
Paweł Litwiński
Traktowanie RODO jako przepisów, których należy się bać, jest błędem. Patrzenie na nie tylko z perspektywy wysokich kar traci jakikolwiek sens. Natomiast, gdyby tych kar nie było, to mielibyśmy do czynienia z taką sytuacją, jaką mamy dzisiaj – z regulacją, która zapewnia stosunkowo wysoki poziom ochrony, ale tak naprawdę nie działa.
Dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda / Dziennik Gazeta Prawna
RODO zmienia podejście do ochrony danych osobowych jako procesu – od segregatora, w którym przechowujemy dokumentację ochrony danych osobowych, do procesu ciągłego zapewnienia zgodności przetwarzania danych z przepisami. To olbrzymie wyzwanie dla biznesu, co potwierdzają dotychczasowe doświadczenia z wdrażaniem RODO: najchętniej klienci chcieliby przeprowadzić wdrożenie, zamknąć je i odfajkować jako proces zakończony. A tymczasem na gruncie RODO już tak nie będzie tego można zrobić. Trzeba zmienić sposób myślenia: z formalistycznego – robię coś, po czym kończę projekt, na myślenie ciągłe – w jaki sposób mam przez cały czas zapewniać zgodność procesów z przepisami o ochronie danych osobowych.
Maciej Kawecki
Chociaż lubię przedstawiać RODO probiznesowo, nie da się ukryć, że są to jednak przepisy przede wszystkim proobywatelskie. Takie zresztą od początku miały być, bo ich głównym zadaniem jest ochrona praw podstawowych. Można oczywiście znaleźć wśród nich mechanizmy ułatwiające życie przedsiębiorcom, jak np. uzależnienie wydania kopii danych od wniesienia opłaty przez obywatela czy sygnalizowana już certyfikacja, ale co do zasady mamy do czynienia jednak z większymi obowiązkami niż ułatwieniami.
Dr Maciej Kawecki, koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji / Dziennik Gazeta Prawna
Katarzyna Szymielewicz
Dla podmiotów, które już dotychczas traktowały ochronę danych osobowych poważnie, to nie powinna być rewolucja. Nawet jednak te, które do tej pory wolały temat ignorować i w tym momencie mają przed sobą dużo pracy, mogą ten proces potraktować jako szansę, a nie irytujący obowiązek. Jeżeli zarząd firmy rzetelnie podejdzie do przeprowadzenia analizy ryzyka, to ma szansę znaleźć w tym procesie odpowiedzi na pytania, które mają istotny wymiar biznesowy. Może się na przykład okazać, że firma przetwarza więcej danych, niż rzeczywiście potrzebuje, a ograniczenie zakresu danych przełoży się na ograniczenie kosztów. Innym źródłem oszczędności będzie zmniejszanie ryzyka związanego z wyciekami danych poprzez anonimizację czy zastosowanie lepszych zabezpieczeń.
Katarzyna Szymielewicz, prezes Fundacji Panoptykon / Dziennik Gazeta Prawna
Z kolei komunikując się z użytkownikami i klientami w sposób otwarty, przekazując im te wszystkie informacje, których wymaga RODO, w ludzkim języku, firma zaczyna budować relację opartą na zaufaniu. Taka relacja to także kapitał biznesowy – w dalszym horyzoncie przekłada się na lojalność klientów, ich skłonność do dzielenia się swoimi danymi i jakość ujawnianych informacji.
Te przykłady pokazują, że wymagania stawiane przez RODO nie są oderwane od realiów prowadzenia biznesu i mogą być źródłem obustronnych korzyści. Choć oczywiście tylko dla tych przedsiębiorców, którzy do nowych obowiązków podejdą w poważny i uczciwy sposób. Dla tych, którzy wolą eksploatować dane osobowe „po cichu” i którzy przyzwyczaili się do korzystania z luk w prawie czy wręcz ignorowania obowiązującego prawa, nowe przepisy będą stanowić rewolucję i źródło obciążeń.
Wojciech Dziomdziora
Wojciech Dziomdziora, radca prawny z kancelarii Domański Zakrzewski Palinka i ekspert Polskiej Izby Informatyki i Telekomunikacji / Dziennik Gazeta Prawna
Mam już kilkanaście miesięcy doświadczeń z codziennego wdrażania RODO u klientów, co pozwala wysnuć pierwsze wnioski. Niewątpliwie nowe przepisy stanowią dla przedsiębiorców spore wyzwanie, wymagają sporo pracy i są kosztochłonne. Rzeczywiście jednak można w tym wszystkim znaleźć biznesowe korzyści. Gdy wchodzę wraz z kolegami z kancelarii do klienta i robimy pod kątem RODO audyt praktycznie wszystkich procesów biznesowych, to grzechem byłoby tego nie wykorzystać. Wyniki takiego, trwającego nierzadko pół roku, audytu stanowią doskonały materiał do optymalizacji nie tylko samego przetwarzania danych, ale również innych procesów w firmie. Okazuje się np., że te same dane są przetwarzane wielokrotnie przez różne systemy. Zamiast robić trzy razy w zasadzie to samo, można to zrobić raz. A oszczędności z tego tytułu mogą być spore.
Dlatego zachęcam klientów, by podchodzili kompleksowo do ochrony danych osobowych. Nie powinni skupiać się wyłącznie na ryzyku wykradnięcia danych przez kogoś z zewnątrz, ale pomyśleć również o kradzieży danych przez kogoś ze środka.
Grzegorz Sibiga
O ile zgodzę się, że duzi przedsiębiorcy rzeczywiście sobie radzą z procesem wdrażania RODO, o tyle obawiam się o tych małych i średnich. A obawy te wynikają ze stanu niepewności, w którym się znajdują. Nie wiedzą po prostu, jak stosować nowe prawo. Za mało jest wytycznych, za mało jednoznacznych wskazówek. Mniejsze podmioty chciałyby, aby wskazano im konkretne procedury czy nawet wzory dokumentów, jakie powinni wdrożyć, a tego niestety nie czynią organy publiczne zajmujące się ochroną danych osobowych.
Dr Grzegorz Sibiga, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy i pracownik naukowy w Instytucie Nauk Prawnych PAN / Dziennik Gazeta Prawna
Ważną rolę mogłyby też odegrać kodeksy postępowania, czyli zbiory dobrych praktyk w poszczególnych branżach, ale one zaczną być formalnie zatwierdzane dopiero po 25 maja 2018 r. Podobnie zresztą jak certyfikacja w zakresie ochrony danych, której proces rozpocznie się po tej dacie. W związku z tym podstawowe mechanizmy, które mogłyby zapewnić stabilność zwłaszcza w małych i średnich firmach, zaczną dopiero funkcjonować za jakiś czas.
Trzeci problem, który dostrzegam, to brak przepisów wdrażających. Znamy projekt ustawy, ale nie mamy pewności co do jej ostatecznego kształtu. Oznacza to, że przedsiębiorcy nie mogą się przygotować z wyprzedzeniem na jej wejście w życie. Dobrym tego przykładem są zmiany w kodeksie pracy, które będą musiały być uwzględnione w zasadzie w każdej firmie, a wymagają wielu działań dostosowawczych.
Paweł Litwiński
Dobrym przykładem na istniejący stan niepewności może być pierwsze spotkanie grupy eksperckiej przy Komisji Europejskiej, w której pracach uczestniczę. W zasadzie w całości zostało ono poświęcone tej niepewności prawnej. Proszę sobie wyobrazić, że spotkało się 30 osób, które przecież znajdą RODO, i przez godzinę zastanawialiśmy się, co to znaczy główna działalność w kontekście wyboru inspektora ochrony danych. Skoro grono eksperckie ma takie problemy, to co powiedzieć mają mali i średni przedsiębiorcy? Natomiast dobra wiadomość jest taka, że Komisja Europejska będzie przygotowywała wytyczne do RODO i w przeciwieństwie do tych wydawanych przez Grupę Roboczą Art. 29 mają one być możliwe proste i maksymalnie praktyczne.
Maciej Kawecki
O tym, jaki wpływ RODO będzie miała na biznes, przesądzi w dużej mierze regulator, czyli Urząd Ochrony Danych Osobowych. Podam trzy przykłady, z którymi najczęściej przychodzą do ministerstwa przedsiębiorcy. Pierwszy to certyfikacja, która od 25 maja 2018 r. będzie wymagana w przetargach organizowanych przez firmy transeuropejskie. Jeśli polscy przedsiębiorcy nie będą mieli takich certyfikatów, zostaną wyeliminowani z tego rynku. Wszystko zależeć więc będzie od sprawności regulatora. Jeśli postępowania certyfikacyjne będą się przedłużać, to nasze firmy zostaną zmuszone uzyskiwać certyfikaty w krajach, w których będzie to trwać krócej, nawet przy dużo wyższych cenach.
Drugi przykład to ocena skutków dla ochrony danych osobowych. Jeżeli wynika z niej ryzyko dla prywatności, to przepisy wymagają konsultacji z regulatorem. W projekcie ustawy wprowadzamy termin instrukcyjny – 30 dni. Co jednak się stanie, jeśli UODO będzie niewydolny i takie konsultacje potrwają rok? W tym czasie przedsiębiorca nie będzie mógł wdrożyć nowej usługi i konkurenci z innych państw zwyczajnie go prześcigną.
I wreszcie trzeci przykład – kodeksy postępowań, którymi izby gospodarcze z różnych branż zaleją organ po 25 maja 2018 r. Co się stanie, jeśli także będą musiały czekać rok na ich zatwierdzenie? Wiadomo, że możliwość korzystania z takich kodeksów przez firmy z danej branży bardzo ułatwiłaby im życie.
Wiele więc będzie zależało od wydolności UODO, a ta z kolei będzie wiązała się z efektywnością jego pracowników. Tymczasem ze względu na RODO jest olbrzymie zapotrzebowanie na prawników specjalizujących się w ochronie danych osobowych. Są oni zwyczajnie podkradani, także z Biura Generalnego Inspektora Ochrony Danych Osobowych. Nowy UODO będzie musiał zatrudnić prawie 200 dodatkowych osób, ale czy uda się takie znaleźć, zwłaszcza za państwowe stawki? Wszystko to sprawia, że osobiście największe zagrożenie dla rynku widzę w sprawności administracji publicznej.
Grzegorz Sibiga
Tym bardziej powinniśmy wykorzystywać możliwości, jakie daje RODO, jeśli chodzi o rozłożenie zadań na poszczególne organy państwowe. Tak, aby wszystkie obowiązki nie koncentrowały się na Urzędzie Ochrony Danych Osobowych, który z dużym prawdopodobieństwem spotka się z problemem wąskiego gardła. Podam przykład. Tam, gdzie przetwarzanie danych będzie powodowało wysokie ryzyko dla praw i wolności podmiotu danych, administrator będzie musiał przeprowadzić ocenę skutków dla ochrony danych osobowych. Według RODO ten obowiązek może jednak przejąć projektodawca przepisu prawa państwa członkowskiego, jeżeli przetwarzanie danych następuje na podstawie tego przepisu. W takim wypadku ocenę skutków dla ochrony danych można przeprowadzić na etapie prac legislacyjnych nad przepisami prawa w ramach oceny skutków regulacji. Oczywiście wymaga to merytorycznego przygotowania służb legislacyjnych, szczególnie tych rządowych. Dzięki temu przedsiębiorcy stosujący te przepisy będą później zwolnieni z obowiązku przeprowadzania własnych ocen. Niestety w Polsce na razie nie zdecydowano się na takie rozwiązanie w projektowanych przepisach wprowadzających.
Wojciech Dziomdziora
W kontekście wydolności polskiego organu warto też wspomnieć o jeszcze innych problemach – jego współpracy z organami pozostałych państw UE, transgraniczną wymianą danych i działalnością firm należących do międzynarodowych grup kapitałowych. Stawiam dolary przeciwko orzechom, że pojawi się konkurencja między organami z poszczególnych państw. Te, które będą lepiej przygotowane, wygrają tę konkurencję, i to do nich będą się zgłaszać międzynarodowe koncerny. A brutalnie rzecz ujmując, ta gra toczy się o władzę i pieniądze. Kraje z najsprawniejszymi organami będą tej władzy miały najwięcej. To one będą decydować o ewentualnych karach, to do nich więc trafią pieniądze z tych kar.
Organizacje społeczne – sojusznik czy wróg?
Katarzyna Szymielewicz
Organizacje społeczne w żadnym aspekcie nie mogą zastąpić organów państwa w procesie wdrażania RODO, ale mogą odegrać ważną rolę wspierającą już na etapie przygotowania rynku do nowych reguł gry. Uważam, że wszyscy stracimy, jeśli nie będziemy otwarcie rozmawiać o stojących przed nami wyzwaniach. Jak przekuć przepisy RODO w konkretne, dobre praktyki? Jak najlepiej ukształtować procedury z udziałem konsumentów? Jak sensownie realizować obowiązki informacyjne? W Fundacji Panoptykon od miesięcy pracujemy nad konkretnymi rozwiązaniami i jesteśmy gotowi się nimi dzielić. Niestety, choć od miesięcy proponujemy współpracę w tym zakresie izbom gospodarczym, do tej pory żadna branża nie zdecydowała się usiąść z nami do stołu i odsłonić swoje karty. Szkoda, bo jeśli ten dialog zaczniemy na poważnie dopiero w maju 2018 r., stracimy mnóstwo czasu.
Rozumiem, że mierzymy się z problemem ograniczonego zaufania. Coraz częściej w debacie publicznej słyszę obawy przed quasi-organizacjami, które mogą chcieć wykorzystać RODO do szantażowania przedsiębiorców. Choć rozumiem źródła tego niepokoju i nawet częściowo go podzielam, to jednak nie uważam tego za wystarczający powód do ograniczania roli organizacji pozarządowych w nowej procedurze, która ma przecież za zadanie ochronę konsumentów. Jestem przekonana, że nietrudno będzie rozpoznać, kto działa po to, by chronić interes poszkodowanych, a kto dla własnego zysku. Myślę, że prezes UODO, który przecież w każdym przypadku będzie decydował o wszczęciu postepowania na wniosek organizacji społecznej, nie powinien mieć problemu z rozpoznaniem tych nieuczciwych. Nie bez powodu zaproponowane przez Ministerstwo Cyfryzacji przepisy nie przewidują w takich sytuacjach automatyzmu, tylko zostawiają ich ocenę w gestii organu.
Maciej Kawecki
Gdybym spośród 1600 uwag, jakie napłynęły do projektu ustawy, miał wskazać te, które najtrudniej jest nam uwzględnić, to są to właśnie uwagi dotyczące udziału organizacji społecznych w postępowaniach o naruszenia. Zaproponowany przez nas przepis jest kopią regulacji z kodeksu postępowania administracyjnego z tą różnicą, że organizacja może przystąpić do postępowania bądź żądać jego wszczęcia nie w interesie społecznym, tylko konkretnej osoby, której prawa zostały naruszone. Pytanie, na które nie znamy odpowiedzi, jest takie – jakie mechanizmy wbudować w ten przepis, by był on otwarty na organizacje rzeczywiście broniące praw ludzi, a jednocześnie zamknięty na te, które będą działać w złej wierze. Pojawiają się głosy o możliwości uzależnienia udziału takiej organizacji w postępowaniu z tytułu naruszenia od zgody osoby, której dane zostały naruszone.
Paweł Litwiński
Nie mam wątpliwości, że pojawią się chętni do tego, by nadużywać nowego prawa. To zresztą już się dzieje. Niedawno na moją skrzynkę pocztową trafił e-mail, w którym poinformowano mnie, że mój adres znajduje się w jakiejś bazie, z której podobno był wyciek danych. Zaproponowano mi „pomoc” i poproszono o kontakt. Co to pokazuje? To, że choć RODO zacznie obowiązywać dopiero za sześć miesięcy, to naciągacze już zaczynają działać.
Katarzyna Szymielewicz
Uważam, że mechanizm zabezpieczający przed działalnością takich naciągaczy został wbudowany w przepisy wdrażające RODO, które przedstawiło Ministerstwo Cyfryzacji. Ostatecznie przecież to organ będzie decydować, czy wszcząć postępowanie na wniosek organizacji. To oznacza, że będzie musiał zweryfikować, z kim ma do czynienia i na ile interes konsumenta, na który powołuje się skarżący, rzeczywiście istnieje i wymaga ochrony.
Co jeszcze możemy zrobić, aby wytrącić narzędzia działania ewentualnym naciągaczom? Prowadzić szeroko zakrojone kampanie informacyjne, najlepiej wspólnie. Przed manipulacją i szantażem najlepiej ochronią wiedza i poczucie pewności co do prawa. Przedsiębiorcy potrzebują dowiedzieć się, z jakimi obowiązkami rzeczywiście wiążą się nowe przepisy, a czego nikt nie powinien od nich wymagać; gdzie zaczyna się dla nich sfera ryzyka i w jaki sposób mogą je minimalizować; do kogo mogą zwrócić się po pomoc i jak nawiązać bezpieczny dialog z organem nadzorczym. Jeśli będą rzetelnie poinformowani, żaden naciągacz nie zdoła im wmówić, że muszą z jego pomocą zarejestrować zbiór danych osobowych czy szantażować zgłoszeniem rzekomego wycieku danych.
Grzegorz Sibiga
W projektowanych przepisach krajowych uprawnienia trzeciego sektora są tak naprawdę mniejsze niż te, na które pozwala RODO. Zgodnie z nim bowiem organizacje mogą nie tylko być pełnomocnikiem osób, których prawa naruszono, ale mają też samodzielną zdolność procesową do występowania w sprawach administracyjnych i sądowych dotyczących ochrony. Polska nie skorzystała z tej możliwości i nie przewidziała takiego rozwiązania w projekcie ustawy, co w praktyce oznacza, że nowe uprawnienia organizacji społecznych będą bardzo zbliżone do tych, jakie już dzisiaj wynikają z kodeksu postępowania administracyjnego.
Profilowanie to rewolucja czy ewolucja?
Grzegorz Sibiga
Wbrew temu, co można czasem usłyszeć, przepisy dotyczące profilowania nie stanowią rewolucji tylko ewolucję. Regulacje dotyczące automatycznych rozstrzygnięć opartych na profilowaniu były obecne i w dyrektywie z 1995 r., i w polskiej ustawie o ochronie danych osobowych. To, co się zmieni, to przede wszystkim sankcja za ich nieprzestrzeganie i rozszerzony obowiązek informacyjny. Novum w stosunku do dotychczasowej polskiej ustawy jest to, że w RODO pojawia się samo pojęcie profilowania.
Katarzyna Szymielewicz
Zgadzam się, że w kontekście tych przepisów nie możemy mówić o rewolucji, przy czym stwierdzam to z ubolewaniem. Podczas prac nad RODO na poziomie UE namawialiśmy regulatora do ograniczenia dopuszczalności profilowania (szczególnie nastawionego na przewidywanie ludzkich zachowań), ale uwagi te nie zostały uwzględnione. W RODO najistotniejszą zmianę rzeczywiście stanowi wprowadzenie dodatkowych obowiązków informacyjnych. Firmy, na żądanie konsumenta, będą musiały ujawniać zasady, na jakich została oparta decyzja podjęta w sposób automatyczny (np. ocena zdolności kredytowej czy ocena kwalifikacji w procesie rekrutacji). Ta reguła generuje jednak mnóstwo pytań i praktycznych komplikacji. Jak w tym kontekście rozumieć „decyzję” – czy mówimy tylko o wiążących prawnie ofertach, czy także o decyzjach redakcyjnych dotyczących treści i reklam wyświetlanych w internecie? Czy mamy prawo do ujawnienia wszystkich czynników, które ostatecznie wpłynęły na rozstrzygnięcie, czy tylko tych najistotniejszych? Co z decyzjami, które nie zapadły w pełni automatycznie, ponieważ w procesie brał udział człowiek, choć faktycznie podążał za tym, co podpowiadał mu system?
Paweł Litwiński
Grupa Robocza Art. 29 uznaje taką sytuację za podejmowanie decyzji w sposób automatyczny, a w jej wytycznych ten przykład pojawia się wprost. Problem jest jednak inny. Jak opisać istotne zasady profilowania? Załóżmy, że istnieje system rekrutacyjny, w którym dane z CV są wpisywane do formularza internetowego, a dalej na podstawie pewnych zdefiniowanych kryteriów system decyduje, czy kandydat na dane stanowisko spełnia warunki czy też nie. Bez wątpienia mamy do czynienia z automatyzmem podejmowania decyzji, ale jak opisać istotne zasady profilowania?
Katarzyna Szymielewicz
To jest jednak sytuacja zero-jedynkowa. Bardziej obawiam się sytuacji, w których reguły gry nie są tak przejrzyste i mamy do czynienia z pewną dozą uznaniowości. Choćby w przypadku banku, który dla klientów VIP może zrobić wyjątek i zdecydować się na nieco większe ryzyko, a więc podjąć inną decyzję niż taka, którą podpowiada system scoringowy. Czy to oznacza, że nie będzie podlegał obowiązkom wynikającym z RODO? Inny przykład to reklamy dostosowywane do profilu użytkowników w serwisach takich jak Facebook. Decyzja o tym, jaka reklama nam się wyświetla, jest podejmowana w pełni automatycznie i może dotyczyć naprawdę istotnych obszarów naszego życia, takich jak zdrowie, wybór ścieżki zawodowej czy polityka. Czy to już wystarczy, by użytkownicy portalu społecznościowego mogli zażądać informacji o tym, jaka logika zdecydowała o dopasowaniu do nich konkretnego komunikatu? Nie wiem, ale chętnie to sprawdzę w przyszłym roku.
Maciej Kawecki
Obok obowiązków informacyjnych ważnym uprawnieniem związanym z profilowaniem jest prawo do sprzeciwu. Jeśli klient jest niezadowolony z tego, co postanowił automat, może sprzeciwić się profilowaniu, i to nawet w trzech branżach – ubezpieczeniowej, bankowej i telekomunikacyjnej, które będą miały ustawowy obowiązek jego stosowania. Rodzi się pytanie, czy w przypadku takiego sprzeciwu firmy będą mogły odmówić zawarcia umowy, np. ubezpieczeniowej? Moim zdaniem tak.
Grzegorz Sibiga
Głównym uprawnieniem osoby, której dane dotyczą, jest tak naprawdę prawo do żądania powtórzenia procesu decyzyjnego z udziałem czynnika ludzkiego. Jeśli jednak człowiek wyda taką samą decyzję jak automat, to przedsiębiorca będzie mógł odmówić świadczenia usługi czy sprzedaży produktu. Z drugiej strony udział czynnika ludzkiego nie oznacza, że pomocniczo nie będzie można stosować narzędzi informatycznych. W skali makro takie uprawnienie pewnie niewiele zmieni, ale w konkretnych sytuacjach życiowych już tak. Potrafię sobie wyobrazić skuteczne odwołanie w jednostkowej sprawie. Co więcej, nowe uprawnienia mają dodatkową wartość – dzięki niemu osoby podejmujące decyzje będą musiały wiedzieć, jak działają stosowane w ich przedsiębiorstwie algorytmy, ponieważ inaczej trudno im będzie wykonać żądanie osoby, której dane dotyczą.
Wojciech Dziomdziora
Wszystko to rzeczywiście wynika z przepisów, ale – bądźmy uczciwi – jest jednocześnie pewną fikcją. Jeżeli mówimy np. o badaniu wiarygodności finansowej przez banki czy firmy telekomunikacyjne, to chodzi tu o setki tysięcy czy nawet miliony klientów. Dlatego założenie, że każdy z nich będzie mógł zażądać wydania ponownej decyzji, a wówczas analityk usiądzie i bez komputera ręcznie przeprowadzi analizę, jest nieporozumieniem. To jeden z takich przepisów RODO, który nie uwzględnia rzeczywistości i dlatego pozostanie martwy.
Grzegorz Sibiga
Powracając do obowiązków informacyjnych – RODO nakazuje ujawniać na żądanie istotne zasady profilowania wykorzystywanego do podejmowania automatycznych decyzji. Co to znaczy istotne? W przypadku konkretnych decyzji tego na razie nie wiadomo. Dopiero pierwsze sprawy sporne pokażą, jak dużo trzeba ujawniać. Wiadomo, że osoba, której dane dotyczą, będzie chciała dowiedzieć się jak najwięcej, a z kolei administrator będzie zainteresowany ochroną własnej tajemnicy przedsiębiorstwa. Rolą organu nadzorczego, a pewnie ostatecznie także sądów, będzie wyważenie racji tych dwóch stron. Na pewno jednak przedsiębiorcy nie będą musieli wskazywać wszystkich kryteriów, jakie były uwzględniane w procesie podejmowania decyzji. W RODO jest mowa jedynie o istotnych zasadach, a nie o wszystkich aspektach profilowania.
Ochrona dzieci – rzeczywistość czy fikcja?
Maciej Kawecki
Przepis unijny mówiący o zgodzie rodziców na przetwarzanie danych osób, które nie ukończyły 13 lat, może niestety być jednym z tych, które pozostaną martwe. Długo myśleliśmy nad wypracowaniem procedury weryfikowania tego, czy osoba wyrażająca zgodę rzeczywiście jest rodzicem. Zastanawialiśmy się, czy nie skorzystać z przepisów amerykańskich, które wskazują metody sprawdzania tożsamości, np. poprzez kontakt telefoniczny. Pojawiały się nawet głosy, których oczywiście nie mogliśmy uwzględnić, że usługodawcy, tak jak komornicy, powinni mieć dostęp do bazy PESEL.
Jedynym modelem, który wydaje się w miarę skuteczny, jest zakładanie kont uwierzytelnionych przez rodziców. Wymagałoby to jednak od usługodawców jakiegoś sposobu weryfikacji ich tożsamości, np. poprzez telefon. Następnie dziecko, chcąc założyć sobie własne konto, wskazywałoby rodzica, a ten wyrażałby zgodę. To jednak sposób dość angażujący, możliwy do wdrożenia jedynie przez największych usługodawców. Dlatego ostatecznie projekt ustawy nie wskazuje konkretnych sposobów na zbieranie zgód rodziców, pozostawiając to do rozstrzygnięcia samym przedsiębiorcom.
Paweł Litwiński
O tym, jak trudno weryfikować wiek i tożsamość, przekonał się jeden z moich klientów, który wprowadził system oparty o zbieranie zgód rodziców poprzez e-mail. Podczas czyszczenia bazy danych okazało się, że znajduje się w niej wyjątkowo dużo adresów typu: tata134. To pokazuje, jak trudno sprawdzić, czy zgodę rzeczywiście wydał rodzic. Tu jednak ważna uwaga – RODO tak naprawdę nie wymaga uzyskania zgody rodziców, tylko tego, aby administrator podjął rozsądne starania z uwzględnieniem dostępnej technologii. Nie ma tu więc zobowiązania rezultatu.
Wojciech Dziomdziora
Osobiście nie mam żadnych wątpliwości, że przepisy te w znacznej mierze pozostaną martwe. Problem z weryfikacją wieku nie jest przecież nowy, zmagaliśmy się już z nim przy udostępnianiu w internecie treści audiowizualnych. Nie ma dzisiaj dobrych rozwiązań i wszyscy zdają sobie z tego sprawę.
Nie oznacza to jednak, że te przepisy są bezwartościowe. Liczy się ich funkcja edukacyjna, kształtująca pewne postawy. Najważniejsze jest jednak uczenie dzieci bezpiecznych zachowań. Opowiem anegdotę – moja 10-letnia córka mówi mi ostatnio, że jacyś chłopcy z klasy coś nabroili. Pytam którzy, na co słyszę, że nie może mi powiedzieć, bo jest ochrona danych osobowych. Cieszę się, że w tym wieku, oczywiście na swój sposób, dzieci zaczynają rozumieć potrzebę chronienia prywatności.
Grzegorz Sibiga
Ja jednak uważam, że biznes będzie musiał wypracować pewne mechanizmy sprawdzania wieku, a to dlatego że RODO kładzie duży nacisk na ochronę osób niepełnoletnich. Oczywiście pełnej skuteczności tutaj nie osiągniemy, ale przedsiębiorca będzie przynajmniej musiał wykazać, że podjął rozsądne działania zmierzające do weryfikacji, z kim ma do czynienia. Jeśli podejmie takie działania, ale okaże się, że dziecko obeszło jego mechanizmy zabezpieczające, to w mojej ocenie nie będzie ponosił odpowiedzialności z tego tytułu. Trudno mi się jednak zgodzić, że te przepisy pozostaną całkowicie martwe.
Wojciech Dziomdziora
Będę się upierał, że w tym obszarze ustawodawca europejski przykłada zbyt dużą wagę do ochrony danych osobowych w stosunku do innych wartości. Mówimy o tworzeniu skutecznych mechanizmów weryfikacji wieku w celu ochrony danych osobowych. A co z dostępem dzieci do treści naprawdę niebezpiecznych, choćby pornografii? Tam przecież nie ma obowiązku tworzenia skutecznych zabezpieczeń uniemożliwiających dziecku dostęp do serwisu. Co jest groźniejsze – naruszenie ochrony danych osobowych dziecka czy zmiany, jakie mogą zajść w jego psychice pod wpływem szkodliwych treści?
Katarzyna Szymielewicz
Trudno nie zgodzić się, że przepisy wymagające zgody rodziców są dość karkołomne. I nie będą skuteczną zaporą przed zbyt wczesną inicjacją w świecie usług internetowych. Jeśli młody człowiek będzie dość zdeterminowany, żeby skorzystać z konkretnego serwisu, znajdzie na to sposób. Dlatego wraz z innymi organizacjami działającymi na rzecz ochrony praw cyfrowych kładziemy raczej nacisk na odpowiedni standard informowania o tym, co oznacza przekazywanie danych osobowych i wchodzenie w internet. Wspólnym zadaniem firm, organów państwa i organizacji społecznych powinno być docieranie do młodych ludzi w taki sposób, żeby rozumieli potencjalne konsekwencje swoich działań w sieci. Tak rozumianą edukacją możemy wygrać dużo więcej niż nieskutecznymi zakazami. Odnosząc się do konkretnego przykładu, ważniejsza od zgody rodzica może być świadomość, że jeśli będę bez namysłu umieszczać w serwisie społecznościowym zdjęcia z okresu wchodzenia w dorosłość, to może mi zaszkodzić na dalszych etapach życia.
Maciej Kawecki
Pojawia się jeszcze jedno ważne pytanie – kiedy przepisy dotyczące zgody rodziców w ogóle znajdą zastosowanie. W RODO mowa jest o usługach oferowanych bezpośrednio dziecku. Można to rozumieć dwojako. Albo chodzi o treści oferowane bezpośrednio dzieciom ze względu na ich charakter, np. serwisy z grami czy filmami dla dzieci, albo też oferowane im ze względu na swą powszechną dostępność, jak np. serwisy społecznościowe. Konstrukcja, jaką przyjęliśmy w projekcie polskiej ustawy, jest możliwie szeroka, a więc obejmie wszystkie.