Dowodem nie musi być potwierdzenie nadania listu czy nagranie rozmowy telefonicznej. Konieczne jest jednak rzeczywiste wprowadzenie odpowiednich mechanizmów w firmie
Po nałożeniu pierwszej kary przez prezesa Urzędu Ochrony Danych Osobowych w związku z niespełnieniem obowiązku informacyjnego wymaganego przez rozporządzenie RODO na przedsiębiorców padł blady strach. Jak twierdzą prawnicy, wielu z nich w popłochu zaczęło uzupełniać dokumentację. Efektem tego są m.in. podejmowane przez administratorów decyzje o wysyłaniu korespondencji zawierających informacje o przetwarzaniu danych osobowych wyłącznie w formie listów poleconych. Przedsiębiorcy starają się w ten sposób pozyskać dowód na spełnienie obowiązku informacyjnego wobec osoby, której dotyczą dane – w postaci potwierdzenia wysłania przesyłki zawierającej odpowiednie pismo.
– Biznes lubi spokój, a ryzyko kary tego spokoju nie daje – komentuje zjawisko dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Jednocześnie jednak wskazuje, że szerząca się praktyka listów poleconych to nadgorliwość, bo RODO nie wymaga spełnienia obowiązku informacyjnego poprzez wysłanie korespondencji w tej formie. To zresztą wyraźnie zostało podkreślone przez UODO podczas konferencji prasowej dotyczącej nałożenia kary na pierwszego w Polsce naruszyciela unijnego rozporządzenia, a potwierdzone także na łamach tygodnika Firma i Prawo tydzień temu. – Reguły dowodzenia spełnienia obowiązku informacyjnego na gruncie zasady rozliczalności z RODO są znacznie łagodniejsze niż reguły dotyczące dostarczania przesyłek w trybie znanym z przepisów kodeksu cywilnego oraz kodeksu postępowania administracyjnego czy karnego – przekonuje dr Litwiński.
– A skoro tak, to po co przepłacać? – zgodnie stwierdzają zarówno inni eksperci, jak i przedstawiciele organu nadzorczego.
Mechanizm bezpieczeństwa
Ale po kolei. Zacznijmy od wyjaśnienia, o jaki obowiązek chodzi. Artykuł 14 RODO wprowadził konieczność spełnienia obowiązku informacyjnego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Chodzi np. o sytuację, gdy przedsiębiorca pozyskał je z publicznych rejestrów albo zakupił gotowe bazy danych i przetwarza w innym celu. Sposobu spełnienia tego obowiązku unijne rozporządzenie nie precyzuje. W art. 24 wskazuje tylko tyle, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Inaczej mówiąc, zastosowanie znajduje zasada rozliczalności, o której mowa w art. 5 ust. 2 RODO. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Ponadto, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
To ostatnie zdanie jest kluczowe. Co oznacza w praktyce? Jak wyjaśnia nam Piotr Drobek, dyrektor zespołu analiz i strategii w UODO, m.in. właśnie to, że spełnienie obowiązku informacyjnego niekoniecznie wymaga przesłania listu poleconego. – Administratorzy często rozważają jego wysłanie ze względu na łatwość przedstawienia podczas kontroli urzędu dowodu w postaci potwierdzenia nadania. Jednak RODO, kształtując zasadę rozliczalności jako obowiązek wdrożenia wewnętrznych procedur i mechanizmów zapewniających w codziennej działalności organizacji przestrzeganie przepisów o ochronie danych, dopuszcza różne sposoby wykazania spełnienia obowiązku informacyjnego – twierdzi.
Jakie zatem metody można zastosować? Od przedstawiciela urzędu słyszymy, że fakt poinformowania przez administratora wszystkich osób umieszczanych w bazie danych można udowodnić poprzez wykazanie, że wdrożono procedurę dotyczącą tej kwestii, która m.in. może zakładać, że po dodaniu do bazy kolejnego rekordu, następną czynnością jest zaadresowanie i wysłanie do osoby, której dane dotyczą, np. listu zwykłego z odpowiednią notą informacyjną. Oczywiście chodzi o faktyczne wdrożenie takiej procedury, a nie tylko jej zapisanie na wypadek kontroli. – Dla potrzeb dowodowych, że procedury funkcjonują, można wykorzystać np. prowadzoną na bieżąco ewidencję wysyłki listów, uwzględniającą kiedy i komu administrator wysłał przesyłkę. Dopiero takie powiązanie pomiędzy wewnętrznymi politykami czy procedurami a ich realizacją może być uznane za sposób wykazania realizacji obowiązku informacyjnego zgodnie z zasadą rozliczalności – tłumaczy Piotr Drobek.
Zasada rozliczalności nie wymaga wysokich kosztów
Czy jednak podobna zasada będzie mogła być stosowana przy okazji kontaktów nawiązywanych telefonicznie? Zdaniem dr. Pawła Litwińskiego, jak najbardziej.
‒ Administrator może wprowadzić politykę bezpieczeństwa stanowiącą, że telemarketerzy są zobowiązani do spełnienia wobec każdego rozmówcy obowiązku informacyjnego. Dla potwierdzenia można użyć scenariusza rozmowy, wyświetlanego podczas dzwonienia telemarketerowi, w którym jest zapisany wyraźny warunek spełnienia wskazanego obowiązku – mówi prawnik. I dodaje, że takie działanie powinno zostać ocenione przez organ nadzorczy za równoważne z – nierzadko bardzo kosztownym – przechowywaniem całości nagranych rozmów telefonicznych.
Piotr Drobek z UODO zgadza się z takim stanowiskiem. Zaznacza jednak, że większość telemarketerów, zbierając zgodę na przetwarzanie danych osobowych, niezwłocznie spełnia obowiązek informacyjny i w praktyce całe te rozmowy są rejestrowane.
Bez udziału człowieka
To jednak nie jedyne sposoby na spełnienie obowiązku i skuteczne wykazanie tego zgodnie z zasadą rozliczalności. Doktor Paweł Litwiński oraz Piotr Drobek wspominają o możliwości przedstawienia organowi nadzorczemu logów z wewnętrznego systemu informatycznego (czyli chronologicznych zapisów zawierający informację o zdarzeniach i działaniach w ramach danego systemu informatycznego). Takie logi mogą potwierdzać, kiedy automatycznie wysłał on wiadomość mailową bądź SMS do osoby, której dane zostały właśnie dodane do bazy danych administratora.
– Dozwolone jest również skorzystanie z systemu teleinformatycznego IVR (z ang. Interactive Voice Response, czyli samodzielnie wykonującego połączenia na wskazane numery telefonu), gdzie osoba może wybrać określony klawisz w celu zapoznania się z pełną informacją o przetwarzaniu danych, która to uzupełnia przekazane wcześniej informacje podstawowe w ramach tzw. warstwowych not informacyjnych. Administrator nie musi udowadniać, że każdy odbierający telefon rzeczywiście chciał się z taką pełną informacją zapoznać. Najważniejsze jest, że osoba łatwo mogła się z nią zapoznać – mówi Piotr Drobek.
Wątpliwości przy skardze
Doktor Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”, ocenia, że powyższe rozwiązania rzeczywiście są bardzo korzystne dla przedsiębiorców. Ma jednak wątpliwości, czy UODO rzeczywiście będzie tak łagodnie oceniać polityki bezpieczeństwa bez poparcia twardych dowodów (np. w postaci potwierdzeń nadania czy zarejestrowanych rozmów głosowych), w przypadku gdy będzie rozpatrywać skargę osoby twierdzącej, że w jej konkretnym przypadku nie wypełniono obowiązku informacyjnego.
Piotr Drobek przyznaje, że wszystko zależy od okoliczności konkretnej sprawy. Zapewnia jednak, że podejście UODO do oceny wdrożenia zasady rozliczalności jest i będzie konsekwentne, niezależnie od tego, czy będzie dokonywane w toku kontroli, czy też w związku ze skargą osoby fizycznej. – Organ w takiej sytuacji będzie badał całościowo sposób wdrożenia procedur realizacji obowiązku informacyjnego, czy działały one prawidłowo i bez zakłóceń u kontrolowanego przedsiębiorcy ‒ mówi przedstawiciel UODO.
Przez analogię można wskazać, że nie zawsze brak dotarcia informacji do osoby będzie oznaczał, że naruszono przepisy RODO. Wszak list, nawet polecony, też nie zawsze dociera do adresata.
opinia eksperta
RODO jest bardziej elastyczne, niż się wielu osobom może wydawać
Izabela Kowalczuk-Pakuła partner w polskim biurze Bird & Bird, kierująca praktyką ochrony prywatności i danych osobowych
Interpretacja urzędu potwierdzająca możliwość spełnienia zasady rozliczalności pomimo braku wysyłki listów poleconych bardzo cieszy. Jest bowiem probiznesowa i pozwoli przedsiębiorcom uniknąć zbędnych kosztów. Jednocześnie ta interpretacja wydaje się zgodna z duchem unijnego rozporządzenia. Wprowadzenie odpowiednich procedur w powiązaniu z prowadzeniem ewidencji wysłanych listów to istotne ułatwienie.
Nie da się ukryć, że przedsiębiorcy, chcąc wysyłać listy polecone czy zbierać każdy dowód na kontakt z osobą, której dane dotyczą, zbyt formalnie podchodzą do wykładni RODO. Tymczasem RODO jest zdecydowanie bardziej elastyczne, niż się wielu osobom może wydawać. Większość jego przepisów odnosi się bowiem do świata realnego przez kontekst sytuacji, z jakimi użytkownik może się spotkać np. w internecie. I tak, jak w sieci nie wymaga się potwierdzenia informacji, że internauta zapoznał się z obowiązkiem informacyjnym, tak również w życiu codziennym nie wymaga się od administratora uzyskania potwierdzenia, że do osoby dotarł list spełniający obowiązek informacyjny.
Nieco większą ostrożnością powinny się kierować podmioty takie, jak np. ubezpieczalnie, banki czy placówki medyczne, jeśli ich korespondencja zawiera dane wrażliwe albo dane finansowe. Ewentualnie również brokerzy danych, którzy spełniają obowiązek informacyjny wobec osób zawartych niegdyś w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, ale nieprowadzących już działalności gospodarczej. Ich dane teleadresowe mogą być już bowiem nieaktualne. Nie ze względu na spełnienie obowiązku informacyjnego, ale ze względu na zabezpieczenie danych, wysłanie listów rejestrowanych może okazać się odpowiednim sposobem komunikacji.
