Działalność na rynku it vs. RODO. 4 kwestie, na które należy zwrócić uwagę.

Niedawno zakończył się pierwszy w Polsce proces związany z rozporządzeniem. Na przegraną w nim warszawską firmę nałożono karę finansową w wysokości 1 mln zł.

Dla firm oznacza to (niestety) konieczność zabezpieczenia się „na wszelki wypadek”. W praktyce oznacza to najczęściej przygotowanie odpowiednich procedur i zapewnienie sobie środków na ich ewentualną realizację. Przyjrzyjmy się teraz kilku obszarom, na które należy zwrócić uwagę, jeżeli działamy na (możliwie szeroko rozumianym) rynku IT.

Artykuł ten nie stanowi porady prawnej. Zawarte w nim informacje należy traktować jako sugestie.

1. Bezpośrednia odpowiedzialność za przetwarzane dane

Jedną z najważniejszych zmian wprowadzanych przez RODO jest przeniesienie odpowiedzialności za dane na przetwarzającą je firmę, niezależnie od tego, w jaki sposób je pozyskała. Firmy, które pozyskały dane bezpośrednio określa się mianem „administratorów”. Te, które otrzymały dane od innych firm ze względu na zawarte wcześniej umowy określa się natomiast mianem „procesorów”. Są to m.in. wszelkiego rodzaju podwykonawcy, którzy muszą skorzystać z zebranych przez nas danych, aby zrealizować swoją usługę.

RODO czyni wszystkie te firmy jednakowo odpowiedzialnymi za przetwarzane przez nie dane. Jednocześnie nie precyzuje, jakie dokładnie kroki należy podjąć w tym celu. Choć często uważa się to za wadę rozporządzenia, w praktyce jest to po prostu konsekwencją dynamicznego rozwoju najnowszych technologii. Wskazywanie konkretnych rozwiązań mijałoby się z celem; wskazane przez rozporządzenie technologie szybko stałyby się nieaktualne. Stąd też pozorna ogólność zapisów – osoby zarządzające firmami muszą same ustalić, jaki zakres zabezpieczeń będzie odpowiedni w ich przypadku.

2. Zakres przetwarzania danych osobowych

Zmianom uległy także przepisy dotyczące zakresu przetwarzania danych osobowych. Choć przepisy przed RODO również nie pozostawiały przedsiębiorcom w tej kwestii zupełnie wolnej ręki, to unijne Rozporządzenie o Ochronie Danych Osobowych jest szczególnie restrykcyjne. Firmy mogą przetwarzać tylko te dane, które są im niezbędne do realizacji usługi. Gromadzenie przesadnych ilości danych – albo też informacji, które nie są powiązane z działalnością danego przedsiębiorcy – może kwalifikować się pod karę.

Co oznacza to w praktyce dla polskiego przedsiębiorcy? Przede wszystkim – konieczność dokładnej weryfikacji, jakie dane i jak długo przechowujemy i przetwarzamy. Jaskrawy przykład: jeżeli prowadzimy działalność IT, to z całą pewnością nie potrzebujemy informacji dotyczących stanu zdrowia naszych klientów. Jeżeli natomiast prowadzimy działalność medyczną, to gromadzenie takich danych jest już jak najbardziej uzasadnione; nie potrzebujemy jednak np. informacji dotyczących sytuacji finansowej pacjentów. Przedsiębiorca na rynku IT nie będzie też musiał przechowywać informacji o swoich klientach tak długo jak placówka medyczna. W tym drugim przypadku wydłużenie okresu przetwarzania może okazać się zasadne ze względu na dobro samego pacjenta; w tym pierwszym – niekoniecznie.

Jednocześnie, jak wspomnieliśmy powyżej, każdy z tych przedsiębiorców ponosi bezpośrednią odpowiedzialność za przetwarzane przez niego dane. Nie ma przy tym znaczenia, czy zapisuje je w dzienniku, arkuszu kalkulacyjnym, bazie danych czy CRM-ie. Obowiązkiem przedsiębiorcy jest upewnić się, że zastosowane przez niego narzędzia są adekwatne. To on musi zadbać o to, by wykorzystywane przez niego oprogramowanie było bezpieczne; musi zainteresować się nim – i samemu (bądź w porozumieniu z konsultantem) ustalić, czy oferowany poziom zabezpieczeń odpowiada ciężarowi przetwarzanych informacji.

3. Nowe obowiązki informacyjne

Zapewne każdy z nas, przeglądając Internet, natknął się na pop-upy z informacjami dotyczącymi „polityki prywatności” czy też „polityki plików cookies”. Rzeczywiście: RODO nakłada na przedsiębiorców – i to nie tylko tych działających w sieci – nowe obowiązki informacyjne. Należy do nich m.in. obowiązek wyraźnego poinformowania osób, których dane przetwarzamy, o zakresie i celu, w jakim to robimy. Zgodnie z postanowieniami rozporządzenia, informacja ma być przedstawiona w sposób zrozumiały, a zainteresowane osoby mają prawo nie wyrazić zgody na pozyskiwanie ich danych.

Już samo to może stanowić pewien problem organizacyjny – to jednak nie wszystko. Poinformować należy także o prawach, jakie przysługują tym osobom w związku z prowadzonym przez nas przetwarzaniem. Jest to szczególnie istotne w przypadku właścicieli witryn internetowych, ponieważ większość użytkowników polskiego Internetu wciąż nie zdaje sobie sprawy, jak wiele danych pozyskują na ich temat podłączone pod stronę narzędzia analityczne i marketingowe. A choć w większości przypadków nie są to dane osobowe, ale tzw. dane nieoznaczone (tzn. nie zawierające informacji umożliwiających identyfikację danej osoby bez połączenia z inną bazą), to obowiązek informacyjny pozostaje w mocy.

Obowiązek informacyjny obejmuje m.in.:

• przekazanie informacji, kto dokładnie jest administratorem przetwarzanych danych;

• poinformowanie o zakresie i celu przetwarzania danych, przy czym informacje te muszą być jasne i zrozumiałe, tak aby zainteresowany sam mógł ocenić, czy zgadza się na takie przetwarzanie;

• poinstruowanie zainteresowanego o przysługujących mu prawach – m.in. prawie do wglądu w swoje dane oraz do ich modyfikacji, a także, co najważniejsze, „do bycia zapomnianym” – czyli żądania usunięcia danych z bazy.

4. Prawa osób, których dane przetwarzamy

Zmianie ulegają również prawa osób, których dane przetwarzamy. Przede wszystkim, jak wspomnieliśmy powyżej, RODO gwarantuje tym osobom prawo do wglądu w informacje, które mamy na ich temat. Jeżeli dane te nie są z jakiegoś powodu zgodne z rzeczywistością, to zainteresowana osoba ma prawo żądać ich modyfikacji. Za niezgodność bazy ze stanem faktycznym odpowiada przedsiębiorca. On też musi opracować procedury, które umożliwią mu odpowiadanie na podobne żądania ze strony osób, których dotyczą przechowywane informacje. Jeżeli z jakiegoś powodu przyczynią się one do krzywdy danej osoby, to może stanowić to podstawę do nałożenia kary.

Osobną sprawą jest wspomniane wcześniej „prawo do bycia zapomnianym”. Zgodnie z RODO każdy z nas ma prawo żądać usunięcia przez firmę przechowywanych na nasz temat informacji. W najlepszym interesie firmy leży opracowanie procedur, które mogą mieć zastosowanie w takiej sytuacji. Jeżeli nie istnieje prosty sposób na usunięcie takich danych, to należy rozważyć zmianę sposobu ich przetwarzania (np. zakup nowego oprogramowania i ewentualny transfer baz).

W unijnym rozporządzeniu pojawia się także zapis, który zdejmuje z firmy podobną odpowiedzialność – ale tylko w przypadku, kiedy wykonanie prawa do bycia zapomnianym wiązałoby się z kosztami niewspółmiernymi z korzyścią. Nie oznacza to jednak, że przedsiębiorcy mogą podchodzić do tej kwestii mniej odpowiedzialnie. Można zakładać, że rozpatrujące sprawy związane z RODO sądy będą brać tu pod uwagę m.in. właśnie stosowane przez firmę w takich sytuacjach normalne procedury. Nie jest także wykluczone, że jeśli usunięcie czyichś danych wiąże się z dużymi kosztami, to sam proces przetwarzania był od początku zorganizowany nieprawidłowo. A w takiej sytuacji odpowiedzialność – ponownie – ciąży na przedsiębiorcy.

Podsumowanie

Kary za RODO mogą przerażać; przerażające są jednak także zaniedbania i nadużycia, z którymi unijne rozporządzenie ma walczyć. Niektóre z nakładanych przez nie obowiązków mogą wydawać się też nadmiernie uciążliwe – pamiętajmy jednak, że prowadzenie działalności i praca na danych zawsze wiąże się ze zwiększoną odpowiedzialnością. Dobre wiadomości są takie, że większość związanych z RODO kosztów to wydatki jednorazowe (np. za opracowanie i umieszczenie na stronie internetowej odpowiednich informacji zapłacimy tylko raz). Natomiast pozostałe koszty, np. związane z odpowiednim zabezpieczeniem baz danych, musielibyśmy ponieść tak czy inaczej. Nie warto jednak na tym oszczędzać. Odpowiedzialność za przetwarzane przez nas dane powinna być naszym priorytetem bez względu na kary.