RODO obowiązuje już od blisko sześciu i pół roku. Choć oczywiście wiemy o praktyce stosowania tych przepisów dużo więcej niż w końcu maja 2018 roku, to nadal spotykamy sytuacje, które mogą zaskakiwać. Jedną z nich jest niedawne nałożenie przez francuski organ ochrony danych CNIL znacznych (150 i 250 tysięcy Euro) kar na dwie francuskie spółki świadczące za pomocą internetu, telefonu i wiadomości tekstowych usługi przepowiadania przyszłości [1]. W uzasadnieniu decyzji wskazano, iż przyczyną ich nałożenia było m.in. przetwarzanie we wspólnej bazie danych wrażliwych danych osobowych (zdrowie, orientacja seksualna) blisko 1,5 miliona osób. Kto mógł przewidzieć taki obrót sytuacji? Najwyraźniej nie francuscy jasnowidze, nawet w sytuacji, gdy rok temu inna spółka z branży ezoterycznej również została ukarana za podobne naruszenia [2].
Celem niniejszego artykułu jest przypomnienie jak należy rozumieć termin „przetwarzanie danych osobowych” w kontekście RODO i rozważenie, czy w Polsce roku 2024 można prowadzić działalność gospodarczą bez przetwarzania żadnych danych osobowych. Potrzeba napisania tekstu pojawiła się, gdy podczas kolejnego wywiadu audytowego usłyszałem, że „u mnie w firmie / dziale nie przetwarza się żadnych danych osobowych…”. Nie liczę tego dokładnie, ale wydaje mi się, że gdybym za każdym razem, gdy słyszę takie słowa dostawał 5zł, to miałbym już może pół małego, wirtualnego słoika z monetami.
Co to znaczy „przetwarzanie danych osobowych”?
Zgodnie ze Słownikiem Języka Polskiego PWN, przetwarzanie oznacza „opracować zebrane dane, informacje itp., wykorzystując technikę komputerową” [3]. Termin ten w rozumieniu RODO ma jednak o wiele szerszy zakres. Zgodnie z art. 4 pkt 2 RODO:
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.
Świadomie zmieniłem tu formatowanie tekstu – niewyczerpująca lista czynności wymienionych po przecinku może umknąć przy pobieżnej lekturze tekstu aktu prawnego. Prawodawca unijny bardzo świadomie zastosował aż tak szeroką definicję operacji przetwarzania, by trudno było twierdzić, że się danych osobowych nie przetwarza (a co za tym idzie nie podlega pod regulacje RODO). Przekładając tę definicję na konkretne przykłady, operacją przetwarzania będzie np.:
- przechowywanie w segregatorze w piwnicy faktury z imieniem, nazwiskiem i adresem naszego klienta, nawet gdy zapomnieliśmy, że ją wystawiliśmy 5 lat temu (przechowywanie),
- przełożenie tej faktury do innego segregatora (organizowanie),
- wrzucenie tej faktury do niszczarki (niszczenie),
- typowanie na podstawie tej faktury reklamą jakich towarów czy usług klient mógłby być zainteresowany (wykorzystywanie w formie profilowania),
- okazanie tej faktury w trakcie kontroli z Urzędu Skarbowego (udostępnianie),
- wysłanie maila na adres daniel.taberski[at]isecure.pl (wykorzystywanie – adres e-mail z imieniem i nazwiskiem jest daną osobową),
- weryfikacja w KRS czy dana osoba jest upoważniona do podpisania umowy w imieniu spółki (przeglądanie – już pomijając to, że w KRS są imiona, nazwiska i numery PESEL osób z organów spółek, to sam fakt posiadania uprawnienia do reprezentacji danego podmiotu również stanowi dane osobowe).
Dlaczego tak szeroko?
Jedną, choć na pewno nie jedyną, przyczyną przyjęcia tak szerokiego zakresu obowiązywania RODO jest historia, która wydarzyła się w USA około 2011 roku. Pewnego dnia kierownik jednego z supermarketów popularnej sieci Target odebrał telefon od bardzo wzburzonego klienta. Mężczyzna chciał wiedzieć, dlaczego Target uznał, że jego nastoletnia córka jest w ciąży i przesłał jej zestaw kuponów zniżkowych na pieluchy, kołyski, ubrania i inne akcesoria dla noworodków. Klient był oburzony jak firma może mieć czelność twierdzić, że jego córka jest w ciąży. Kierownik nie potrafił tego wyjaśnić. Po jakimś czasie jednak mężczyzna zadzwonił ponownie przepraszając za swój wybuch – okazało się, że jego córka faktycznie zaszła w ciążę, ale jeszcze mu o tym nie powiedziała.
Jak to się stało, że sieć marketów dowiedziała się o ciąży nastolatki przed jej najbliższą rodziną? By odpowiedzieć na to pytanie, musimy cofnąć się w czasie jeszcze o kilka miesięcy. Specjaliści od marketingu już dawno wiedzieli, że przeciętny homo sapiens dość łatwo przyzwyczaja się do produktów danej marki i gdy wyrobi sobie nawyk korzystania z niej, bardzo trudno będzie go zmienić. Ale badania naukowe wskazywały, że w pewnych momentach życia – takich jak ślub, rozwód czy narodziny dziecka – ten sam homo sapiens staje się dużo bardziej otwarty na zmiany. Wystarczy tylko dowiedzieć się, kiedy klientka spodziewa się dziecka, żeby trafić do niej z odpowiednio przygotowaną reklamą. Ale jak to zrobić, skoro wyniki badań lekarskich objęte są tajemnicą lekarską?
Z pomocą przyszła operacja, którą dziś nazywamy „profilowaniem”. Marketingowcy Targetu połączyli ze sobą dwa zbiory danych. Jeden zawierał informacje o wszystkich zakupach, jakich dokonali posiadacze kart lojalnościowych firmy. Drugi pochodził ze specjalnej darmowej usługi dla klientów – listy prezentów na „pępkowe” (baby shower), którą każdy klient mógł za darmo uruchomić i przekazać znajomym, by nie otrzymać w prezencie np. 3 kołysek. Formularz do założenia tej listy zawierał też planowany termin imprezy, która tradycyjnie jest organizowana 4-6 tygodni przed przewidywanym terminem porodu. Jeśli zaś zestawić ten termin z całą historią zakupów można (wykorzystując to, co dziś nazywamy analizą big data) odkryć pewne prawidłowości. Okazuje się, że kobiety w ciąży: kupują dużo mniej lub wcale nie kupują alkoholu, kupują więcej balsamów czy suplementów diety (wapno, magnez, cynk). W ten sposób, przeprowadzając bez zgody osoby, której dane dotyczą profilowania, można było stworzyć algorytm, który ze sporą dozą pewności potrafił wykryć, kiedy dana klientka jest w ciąży i w odpowiednim momencie przesłać jej dedykowane kupony zniżkowe na ubranka dla niemowląt, pieluchy, czy kołyski [4].
Właśnie takim, daleko ingerującym w prywatność konsumentów praktykom miało zapobiec RODO. A tego celu nie da się osiągnąć bez szerokiego zakresu obowiązywania tego aktu prawnego.
Czy można prowadzić działalność gospodarczą bez przetwarzania danych osobowych?
Zgodnie z RODO dane osobowe, to wszelkie informacje o zidentyfikowanej albo możliwej do zidentyfikowania osobie fizycznej. Czy zatem można wyobrazić sobie legalnie działającą firmę, która danych osobowych nie przetwarza? Na podstawie ponad 6 lat doświadczeń na odcinku ochrony danych osobowych uważam, że nie. Nawet jeżeli prowadzimy jednoosobową działalność gospodarczą i nikogo nie zatrudniamy, musimy rozliczać się z ZUS i fiskusem – a to nie będzie możliwe, jeżeli nie podamy tym podmiotom własnych danych osobowych, by mogły nas zidentyfikować. W XXI wieku praktycznie każda czynność powoduje jakieś przetwarzanie danych osobowych:
- rozmowa telefoniczna (pomijając to, że wiele podmiotów nagrywa ich przebieg, to i bez tego w bilingu, który otrzymamy od naszej firmy telekomunikacyjnej zapisze się numer telefonu osoby, z którą rozmawialiśmy, a to dane osobowe),
- wymiana korespondencji e-mail z klientem (co do zasady adres e-mail jest daną osobową; jest nią na pewno, gdy ma formę imię.nazwisko@firma.pl),
- otrzymanie płatności w jakiejkolwiek formie innej niż gotówka (dane konta bankowego, numer telefonu, z którego przyszedł przekaz BLIK, dane karty kredytowej z terminala do kart),
- wizyta klienta w siedzibie naszej firmy (monitoring wizyjny/ odnotowanie numeru rejestracyjnego pojazdu na parkingu firmowym/ księga gości na portierni),
- wizyta klienta na naszej stronie internetowej (jeżeli stosujemy cookies),
- wystawienie klientowi faktury,
- praktycznie cały proces rekrutacji pracowników oraz wszystkie czynności związane z realizacją umów o pracę/ innych umów cywilnoprawnych zgodnie z kodeksem pracy i kodeksem cywilnym,
- każdy spór sądowy,
- zawarcie i realizacja prawie każdej umowy na piśmie czy w formie elektronicznej.
Nawet ta krótka lista wskazuje, że nie da się działać bez przetwarzania danych osobowych. Nawet gdyby prowadzić bez użycia żadnych systemów komunikacyjnych i cyfrowych warsztat usługowy w środku lasu i przyjmować płatności wyłącznie w gotówce, jakoś trzeba się rozliczyć z ZUS i Urzędem Skarbowym. Nie unikniemy przetwarzania danych osobowych.
Podsumowując
Utrzymujące się przekonanie o tym, że dana firma, czy nawet dział, nie przetwarzają danych osobowych świadczy o tym, że pomimo upływu znacznej ilości czasu dalej świadomość obowiązywania przepisów o ochronie danych osobowych jest nie jest wysoka. Może to częściowo wynikać z faktu, że aż co 5 firma w Polsce nie organizuje żadnych szkoleń z ochrony danych osobowych [5].
Starorzymska zasada mówiąca, że nieznajomość prawa szkodzi, dalej ma jednak zastosowanie. RODO obowiązuje wszystkie firmy działające w Europie i nie da się uniknąć obowiązków nakładanych przez ten akt prawny. Dlatego przedsiębiorcy nie tylko powinni mieć świadomość tego, czym są dane osobowe, ale również jak szerokie jest pojęcie ich przetwarzania.
[Grafika wygenerowana przez DALL-E].
Przypisy
[1] https://www.cnil.fr/en/online-clairvoyance-cosmospace-and-telemaque-fined-eu250000-and-eu150000, dostęp 15.10.2024 r.
[2] https://www.cnil.fr/en/online-clairvoyance-kg-com-fined-eur-150000, dostęp 15.10.2024 r.
[3] https://sjp.pwn.pl/szukaj/przetwarza%C4%87.html, dostęp 15.10.2024 r.
[4] https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/, dostęp 15.10.2024 r.
[5] https://uodo.gov.pl/pl/138/3395, dostęp 15.10.2024 r.
