Już 25 maja 2018 roku wejdą w życie wielkie zmiany w przepisach o ochronie danych osobowych. Za zaniechania grożą wysokie kary – nawet 4 proc. obrotów z poprzedniego roku. W cyklu wpisów przedstawiamy najważniejsze zmiany, jakie wprowadza Rozporządzenie Ogólne o Ochronie Danych Osobowych.
Dzięki Ogólnemu Rozporządzeniu o Ochronie Danych Osobowych (w skrócie RODO) obywatele UE zyskają dużo większą kontrolę nad tym, jakie informacje na ich temat są zbierane, przez kogo i w jaki sposób są przetwarzane. Dla firm i instytucji oznacza to jednak nowe obowiązki oraz konieczność aktualizacji dotychczasowych procedur.
Warunki wyrażenia zgody
RODO rozszerza spoczywający na administratorze danych obowiązek kontrolowania warunków wyrażenia zgody. Administrator danych musi być w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych oraz że była poinformowana o prawie do cofnięcia zgody. W praktyce oznacza to, że administrator musi zbierać i archiwizować dowody wyrażenia zgody, np. w formie cyfrowych zapisów w bazie danych. W takim przypadku bardzo pomocna może być metoda double opt-in, gdzie w pierwszym etapie użytkownik zaznacza zgodę poprzez zaznaczenie stosownego checkboxa, a potem mailowo ją jeszcze potwierdza poprzez kliknięcie w link autoryzujący poprzednią czynność. Co do zapisu w bazie danych to warto zadbać o odnotowanie takich informacji jak: treść wyrażanej zgody, data jej wyrażenia, adres IP, jeśli stosowano metodę double opt-in – wówczas jeszcze informacja o potwierdzeniu zgody.
Wiele firm będzie musiało zmienić treść komunikatów o wyrażeniu zgody. Koniec z małym, nieczytelnym drukiem, trudnym technicznym albo prawniczym językiem. Komunikaty powinny być zwięzłe i zrozumiałe dla odbiorców. Ponadto dostawcy usług elektronicznych dla dzieci będą musieli pozyskać zgodę na przetwarzanie danych od opiekuna prawnego osoby poniżej 13 roku życia. Niezbędne będzie więc zarówno weryfikowanie wieku dziecka, jak i tego czy opiekun prawny rzeczywiście wyraził zgodę na przetwarzanie danych.
Rozszerzony obowiązek informacyjny
Nowe przepisy znacznie rozbudowują obowiązek informacyjny. Na gruncie aktualnej Ustawy administrator jest zobowiązany do podania osobie, której dane są zbierane następujących informacji:
- Nazwa administratora i jego dane kontaktowe;
- Cele przetwarzania danych;
- Informacje o odbiorcach danych osobowych (kategoriach odbiorców), którymi mogą być np. inne spółki z grupy kapitałowej, partnerzy biznesowi, itp.;
- Informacje o prawach osoby, od której zbiera się dane.
Do tej listy RODO dodaje kolejne informacje:
- dane kontaktowe Inspektora Ochrony Danych (jeżeli jest powołany);
- nazwę, dane kontaktowe przedstawiciela na terenie UE (jeżeli jest);
- podstawę prawną przetwarzania;
- uzasadnione interesy administratora (konieczność ich wskazania) np. dochodzenie roszczeń, bezpieczeństwo sieci, „własny” marketing bezpośredni;
- uzasadnione interesy osoby trzeciej (jeżeli jest to podstawa do przetwarzania danych) np. dochodzenie roszczeń;
- okres przechowywania danych (albo kryteria – np. do czasu przedawnienia roszczeń, do momentu cofnięcia zgody, itd.);
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz informacje o zasadach podejmowania tych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Jak więc od maja 2018 roku powinien wyglądać wzorowy komunikat wypełniający obowiązek informacyjny? W przypadku sklepu internetowego, który stosuje zautomatyzowane profilowanie, może on brzmieć następująco:
Administratorem danych osobowych jest [nazwa, adres] („Spółka”). Administrator danych powołał Inspektora Ochrony Danych, którą funkcję w Spółce pełni [imię, nazwisko, adres korespondencyjny].
Dane osobowe będą przetwarzane w celu realizacji zakupów w naszym sklepie internetowym, marketingu bezpośredniego dotyczącego własnych produktów i usług realizowanego w formie tradycyjnej (papierowo), stanowiącym tzw. prawnie uzasadniony interes Spółki. Dane w tych celach przetwarzane będą na podstawie art. 6 ust. 1 lit. b), c) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Po wyrażeniu odrębnej zgody, na podstawie art. 6 ust. 1 lit. a) RODO dane mogą być przetwarzane również w celu przesyłania informacji handlowych drogą elektroniczną lub wykonywania telefonicznych połączeń w celu marketingu bezpośredniego – odpowiednio w związku z art. 10 ust. 2 Ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną lub art. 172 ust. 1 Ustawy z dnia 16 lipca 2004 roku – Prawo Telekomunikacyjne, w tym kierowanych w wyniku profilowania, o ile użytkownik wyraził stosowną zgodę.
W przypadku konieczności dostarczenia zamówienia dane osobowe mogą być udostępniane operatorom pocztowym lub przewoźnikom wyłącznie w celu dostarczenia zamówienia.
Dane osobowe przetwarzane w celach związanych z realizacją zakupów będą przetwarzane przez okres niezbędny do realizacji zakupów i zamówienia, po czym dane podlegające archiwizacji będą przechowywane przez okres właściwy dla przedawnienia roszczeń, tj. 10 lat. Dane osobowe przetwarzane w celach marketingowych objętych oświadczeniem zgody będą przetwarzane do czasu odwołania zgody.
Osoba, której dane dotyczą ma prawo dostępu do treści swoich danych osobowych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
W przypadku stwierdzenia, że przetwarzanie danych osobowych narusza przepisy RODO, osoba której dane dotyczą ma prawo wnieść skargę do Generalnego Inspektora Ochrony Danych Osobowych (po 25 maja 2018 r. – Prezesa Urzędu Ochrony Danych Osobowych).
Podanie danych osobowych jest dobrowolne, jednak podanie oznaczonych danych osobowych warunkiem złożenia zamówienia, natomiast konsekwencją ich niepodania będzie brak możliwości zamówienia produktów w sklepie.
Dane osobowe będą przetwarzane także w sposób zautomatyzowany w formie profilowania, o ile użytkownik wyrazi na to zgodę na podstawie art. 6 ust. 1 lit. a) RODO. Konsekwencją profilowania będzie przypisanie danej osobie profilu, w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw.
Zwolnienie z obowiązku informacyjnego występuje tylko w trzech przypadkach:
- jeżeli osoba już tymi informacjami dysponuje;
- w sytuacji gdy przetwarzanie danych jest przewidziane prawem np. w celu prowadzenia sprawozdawczości finansowej, o której mowa w ustawie z dnia 29 sierpnia 1997 r. Ordynacja podatkowa;
- jeżeli poinformowanie tych osób jest niemożliwe lub jeżeli jest to nadmiernie utrudnione.
Profilowanie
Jednym z celów przyjęcia przepisów RODO było dopasowanie regulacji do współczesnych problemów oraz praktyk stosowanych przez firmy i instytucje. Dziedziną, która w ostatnich latach bardzo się upowszechniła, a pozostawała właściwie nieuregulowana, jest profilowanie i zautomatyzowane podejmowanie decyzji na podstawie danych osobowych. Na gruncie obowiązującej Ustawy pojęcie profilowania nie jest nawet zdefiniowane, choć mieści się w normie art. 26a ust. 1 Ustawy, zgodnie z którym „Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”.
W RODO profilowanie zostało zdefiniowane w art. 4 pkt 4 i oznacza: dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Tworzenie profili z kolei to: 1) zbieranie danych z różnych źródeł: dane przekazane administratorowi + dane przekazane innym administratorom (np. portale społecznościowe) lub 2) profile tworzone w sposób statystyczny tj. z cechy 1 wnioskujemy, iż posiada również cechę 2, 3 itd.
Co ważne, na administratorze danych będzie ciążył obowiązek poinformowania osoby, której dane dotyczą o profilowaniu oraz o jego skutkach, jak też o możliwości wniesienia sprzeciwu. To bardzo istotna zmiana, bo do tej pory profilowanie odbywało się bez wiedzy i kontroli osób, których dane były przetwarzane.
Należy zwrócić uwagę, że przepisy RODO nie zawsze znajdą zastosowanie do profilowania. Profilowanie „podpadające” pod RODO musi spełniać obie przesłanki: 1) przetwarzanie danych odbywa się w sposób zautomatyzowany; 2) celem przetwarzania jest analiza lub prognoza dotycząca efektów pracy wybranej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Jeśli nie mamy do czynienia z automatycznym podejmowaniem decyzji, wówczas stosuje się art. 21 ust. 1 i 2 RODO, które wymieniają profilowanie jako jedną z form przetwarzania danych osobowych w celu marketingu bezpośredniego, realizowaną w oparciu o tzw. prawnie uzasadniony interes (czyli bez konieczności pozyskania zgody).
Automatyczne podejmowanie decyzji jest dopuszczalne tylko, gdy:
- jest to dopuszczone przez prawo UE lub prawo krajowe i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osób, które dane dotyczą;
- jest to niezbędne do zawarcia lub wykonania umowy między administratorem, a osobą której dane są zbierane oraz w sytuacji;
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Można się spodziewać, że po wejściu w życie nowych przepisów wiele osób nie wyrazi zgody na profilowanie i/lub zażąda jego zaprzestania. Dla firm, których główna działalność opiera się na profilowaniu konsumentów, jak np. firmy marketing automation lub big data, ta zmiana będzie miała poważne konsekwencje. Przedsiębiorstwa będą zapewne musiały włożyć więcej wysiłku w przekonywanie swoich klientów, że profilowanie daje im jakieś korzyści.