Potężna broń na telemarketerów i niejasne oświadczenia. Siedem ważnych zmian w ochronie danych

Dotychczas obwiązująca dyrektywa o ochronie danych osobowych pochodzi sprzed 22 lat i zużyła się. Zaczęła obowiązywać, gdy internet dopiero raczkował, a i inne dziedziny techniki nie były rozwinięte tak jak obecnie.

Przykładowo. Elektroniczne domofony nie przechowywały w pamięci rozmów. Nie były też rozwinięte - tak jak obecnie - telefoniczne biura obsługi klientów, nagrywające wszystkie rozmowy.

Za "darmowe" aplikacje" lub inne usługi firmy nie żądały od klientów podania swoich danych.

Nowym wyzwaniom w zakresie ochrony danych osobowych ma sprostać 260-stronicowe rozporządzenie Parlamentu Europejskiego. Ma ono obowiązywać w Polsce bezpośrednio.

Jednak jak podaje Generalny Inspektor Ochrony Danych Osobowych "pozostają obszary, które wymagają działań na poziomie krajowym", czyli dostosowania szczegółowych przepisów regulujących różne dziedziny życia. Prace nad dostosowaniem polskiego prawa do RODO koordynuje Ministerstwo Cyfryzacji.

Oto sześć najważniejszych zmian wynikających z tego rozporządzenia. Będą one obowiązywały od 25 maja 2018 roku.

Za rok powinny odejść w zapomnienie, przynajmniej teoretycznie, powszechnie stosowane formuły i klauzule typu: "wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z przepisani ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, tekst jednolity Dz. U. n2 101, poz . 926)".

Dlaczego? Bo rozporządzenie będzie domagać się "od wszystkich administratorów danych, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były zwięzłe i zrozumiałe. Szczególnie istotne będzie to zaś wówczas, gdy informacje i komunikaty będą kierowane do dzieci, które muszą móc je bez trudu zrozumieć" - tłumaczy Generalny Inspektor Ochrony Danych Osobowych.

A wracając do powyższego przykładu. Najprawdopodobniej niewiele osób składających ofertę pracy, czy podpisujących umowę abonamentową, albo zapisujących się na newsletter ma pod ręką Dziennik Ustaw z 2002 roku. Część zgód na przetwarzanie danych klienci podpisują więc w ciemno, ufając że ustawa należycie zabezpiecza ich prawa, dostawca usług będzie ich przestrzegał i zdając sobie sprawę, że nieznajomość prawa szkodzi.

Na mocy RODO ma się to zmienić. Zapytanie o zgodę na przetwarzanie danych ma być jasne, proste i zwięzłe. Dla zwiększenia zrozumiałości zaleca się również stosowanie wizualizacji.

- Intencją jest po prostu rozumienie informacji przez przeciętną nieobeznaną z tematem osobę - ale można spodziewać się wytworzenia w praktyce sposobów precyzowania niektórych pojęć, podobnie jak wygląda to przy ochronie konsumentów - tłumaczy radca prawny Tomasz Palak, z kancelarii Profit Plus.

Oglądając oferty w internecie, czy szukając tradycyjnie jakiegoś towaru czy usługi, części klientów towarzyszy przeczucie, że są obserwowani, a ich każdy ruch jest analizowany. Przeczucie to jest uzasadnione. Firmy profilują klientów.

Jak? Na podstawie ich aktywności, np. w internecie, wiedzą jakie strony odwiedzali, czego szukali i ile czasu temu poświęcali. Na tej podstawie są konstruowane oferty, w które w przekonaniu firm są efektywniejsze, bo docierają przede wszystkim do zainteresowanych, a nie do przypadkowych klientów.

Pod rządami RODO profilowanie nie będzie zakazane. Jednak osoby profilowane będą musiały zostać o poinformowane nie tylko o tym, że są obiektem zainteresowania algorytmów marketingowych, ale również o konsekwencjach z tego wynikających.

- Zmiany te wydają się szczególnie ważne, biorąc pod uwagę, że obecnie wciąż wiele osób nie zdaje sobie sprawy, że dane przez nich udostępniane są wykorzystywane dla celów analizowania i przewidywania ich zachowań lub preferencji (np. z wykorzystaniem plików cookies lub informacji z sieci) - ocenia Katarzyna Sawicka z Deloitte Legal.

Osoby fizyczne, po powzięciu informacji o tym, że są profilowane, będą miały prawo sprzeciwić się temu.

Z raportu Deloitte Polska (maj 2017) wynika, że spośród negatywnych konsekwencji wynikających z podania danych osobowych Polacy najbardziej obawiają się natarczywych telemarketerów (55 proc. ankietowanych). Dopiero w drugiej kolejności respondenci obawiają się podszycia się kogoś pod naszą osobę (50 proc.).

RODO, które wchodzi w życie w Polsce 25 maja 2018 roku wprowadza zasadę tzw. ograniczenia celu i minimalizacji danych. To dość skomplikowana procedura technologiczna mająca ograniczyć przetwarzanie danych osobowych przez firmy w celu tzw. profilowania klientów, czyli wyodrębniania grup podatnych na jakąś ofertę, bądź poszukujących konkretnego towaru lub usługi.

To ograniczenie utrudni działalność firmom zajmujących się oferowaniem towarów czy usług określonym, sprofilowanym grupom klientów. Potwierdzenie tej ewentualności znajdujemy we wspomnianym wcześniej raporcie.

- Brak zgody konsumentów może spowodować znaczny spadek efektywności kampanii marketingowych i zmusić firmy do szukania nowych sposobów - przewiduje Joanna Miernik, menedżer w dziale doradztwa strategiczno-technologicznego Deloitte Digital

Nie tylko zasada ograniczenia celu i minimalizacji danych może ograniczyć działanie telemarketerów. Nad firmami, które będą łamać zapisy RODO, zawiśnie już za rok groźba drakońskich kar.

Firma, która mimo wycofania zgody na przetwarzanie danych, nadal będzie składać oferty klientowi, dużo ryzykuje. Maksymalna kwota kar obowiązujących w całej Unii Europejskiej, a więc i w Polsce, ma wynosić nawet 20 mln euro oraz możliwość ustanowienia wobec takiej firmy zakazu przetwarzania danych osobowych.

W razie sporu klient nie będzie musiał już udowadniać że nie zgodził się, aby firma przetwarzała jego dane. To firma będzie zobowiązana do wykazania, że zgodę taką miała.

Firmy, które gromadzą dane swoich klientów, będą musiały strzec ich jak oka w głowie. Teraz też muszą, ale grożą im mniej dotkliwe konsekwencje finansowe. Będą musiały zatrudnić inspektorów ochrony danych osobowych. I, co najważniejsze, w razie wycieku danych, bądź innej formy nieuprawnionego dostępu, natychmiast będzie musiał zawiadomić o tym "organ nadzoru". W Polsce będzie to prezes Urzędu Ochrony Danych Osobowych, w który ma wkrótce przekształcić się GIODO.

Jeżeli właściciel danych w porę (72 godziny) nie doniesie sam na siebie i będzie próbował ukryć wyciek, grożą mu kary. Obowiązek niezwłocznego poinformowania organu nadzoru o tym, że z jakąś bazą danych osobowych dzieje się coś złego, ma chronić interesy klientów. W ten sposób , że zaangażowanie państwa w niepożądane przypadki, ma ułatwić minimalizację ich niekorzystnych skutków.

Dane biometryczne to nie tylko odcisk palca, kod genetyczny, wygląd tęczówki oka czy kształt małżowiny usznej. Dane biometryczne to również ludzki głos i jego barwa czy charakter pisma.

Prawo do zbierania danych biometrycznych mają państwa i tylko w ściśle określonych prawem przypadkach. RODO, które dotyczy głównie firm działających na rynku, zakazuje zbierania danych biometrycznych i innych danych wrażliwych.

"Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby" - czytamy w art 9. ust. 1 RODO.

- W kwestii danych biometrycznych RODO to postęp - ocenia radca prawny Tomasz Palak. - RODO definiuje je, włącza w zakres danych wrażliwych i wprowadza generalny zakaz ich przetwarzania. Wyjątki są wskazane w art. 9 ust 2 i jest to przede wszystkim wyraźna i dobrowolna zgoda osoby "przetwarzanej", która nie może być dorozumiana.

Gdyby dosłownie zastosować przepisy o danych biometrycznych, ludzie przychodzący do kogoś w odwiedziny musieliby być pytani przez domofon, czy wyrażają zgodę na rejestrację głosu, bo niektóre nowoczesne domofony rejestrują każdy dźwięk i przechowują go w pamięci. Nie sposób też obecnie przewidzieć jak będzie wyglądała działalność różnych telefonicznych form załatwiania spraw, np. biur obsługi klienta, które nagrywają wszystkich dzwoniących domyślnie korzystając z właśnie z zakazanej w przyszłości dorozumianej zgody. Czyli jeżeli ktoś się nie rozłączył, a jest uprzedzony o nagrywaniu, to znaczy, że akceptuje ten fakt.

W zgodnej opinii ekspertów to jak będzie wyglądało kształtowanie się wyjątków od zakazu zbierania danych biometrycznych, pokaże praktyka już w momencie obowiązywania RODO. Zwłaszcza, że od zakazu zbierania danych biometrycznych bez zgody ich właściciela, ten europejski akt prawny przewiduje aż dziesięć wyjątków.

Na współczesnym rynku oferowane są obecnie usługi, które wyglądają na darmowe, a w istocie darmowymi nie są. To na przykład cała rozbudowana gałąź usług komputerowych: darmowa poczta, darmowy hosting, darmowe aplikacje. W rzeczywistości są one bezpłatne w tym znaczeniu, że nie wymaga się od użytkownika odpłatności w pieniądzach. Darmowe jednak nie są, bo aby z nich skorzystać, trzeba wypełnić formularz rejestracyjny - najczęściej swoimi danymi osobowymi.

RODO, jako akt prawny o dość ogólnym charakterze, nie odnosi się w szczegółach do takiej formy zawierania transakcji. Najprawdopodobniej, będzie to domeną prawa krajowego. Czy i jak sprawa "płacenia" danymi osobowymi za usługę zostanie uregulowana, jeszcze nie wiadomo. W czasie panelu ekspertów w Ministerstwie Cyfryzacji 25 maja, przedstawiciel ministerstwa uchylił się od odpowiedzi jak sprawa ta zostanie ujęta w ramy przepisów i czy w ogóle. Eksperci, z którymi rozmawialiśmy, również uznali że jest na to za wcześnie.

Jedną z istotniejszych zmian, jakie wprowadza RODO jest prawo do bycia zapomnianym, czyli ostatecznego i nieodwołalnego usunięcia danych osobowych z baz danych na żądanie zainteresowanego. Obecnie prawo do bycia zapomnianym dotyczy w zasadzie wyłącznie wyszukiwarek internetowych i opiera się nie na powszechnie obowiązujących przepisach, a na wyroku Trybunału Sprawiedliwości Unii Europejskiej.

"Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane" - mówi rozporządzenie RODO.

- Z takim żądaniem może wystąpić każdy i w każdej chwili. Ten, który dysponuje naszymi danymi musi je bezwzględnie usunąć, chyba że ma inną podstawę do ich przetwarzania - mówił w TVN24 dr Maciej Kawecki z gabinetu politycznego minister cyfryzacji.

Zastrzeżenie na temat innej podstawy do przetwarzania danych jest tu niezmiernie istotne, bo prawo do bycia zapomnianym nie jest bezwzględne. Rozporządzenie RODO przewiduje szereg wyjątków od tego prawa.

"Niemniej dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do:

- ​korzystania z wolności wypowiedzi i informacji,

- do wywiązania się z obowiązku prawnego,

- do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,

- do celów archiwalnych w interesie publicznym,

- do celów badań naukowych lub historycznych lub do celów statystycznych,

- do ustalenia, dochodzenia lub obrony roszczeń".

Wyjątki dotyczące "wywiązania się z obowiązku prawnego" czy "do dochodzenia lub obrony roszczeń" są na pierwszy rzut oka najogólniej sformułowane i najbardziej pojemne znaczeniowo. Trudno dziś podać na konkretnych przykładach, gdy prawo polskie nie jest jeszcze dostosowane do RODO i nie ma też orzecznictwa sądów, jak prawo do bycia zapomnianym będzie realizowane w praktyce.

- Dziś z prawem do bycia zapomnianym stosowane jest głównie wobec wyszukiwarek internetowych. Jak będzie ono realizowane w innych dziedzinach, pod rządami RODO, trudno dziś przesądzić - mówi radca Tomasz Palak.

- Prawo do bycia zapomnianym nie oznacza konieczności usunięcia wszystkich danych; część z nich będzie musiała bowiem pozostać w systemach przedsiębiorcy m.in. w celu zadośćuczynienia obowiązkom do przechowywania danych, wynikającym z innych przepisów (np. podatkowych) - podkreśla Agata Jankowska-Galińska, radca prawny, Deloitte Legal.

Pierwsza potencjalnie sporna sytuacja jaka przychodzi na myśl, dotyczy ubezpieczeń komunikacyjnych OC. Klient zmienia ubezpieczyciela i żąda od poprzedniego, aby usunął jego dane z bazy. Najprawdopodobniej spotka się z odmową, z powołaniem się właśnie na "ochronę roszczeń". Ubezpieczyciel nie wie bowiem, czy po upływie umowy, a przed datą przedawnienia ktoś nie zgłosi się po odszkodowanie z polisy klienta, który zażądał usunięcia danych. Nawet jeśli w końcu klient postawi na swoim, ubezpieczyciel usunie jego dane, ale pozostaną one (jeśli spowodował szkodę) w Centralnej Bazie Szkód Komunikacyjnych i w Ubezpieczeniowym Funduszu Gwarancyjnym, który pilnuje by wszyscy posiadacze pojazdów nieprzerwanie mieli ważne polisy OC. To z kolei "wywiązywanie się z obowiązku prawnego" przez UFG.

Podkreślenia wymaga, że firmy zarządzające bazami danych osobowych nie będą mogły naginać na swoją korzyść wyjątków od prawa do bycia zapomnianym i odmawiać usunięcia danych. Poza wspomnianymi już dotkliwymi karami za nieprzestrzeganie RODO, narażają się również na odpowiedzialność cywilną wobec klientów, którzy zażądają usunięcia swoich danych.

- W prawie krajowym przewidujemy dodatkową przesłankę dochodzenia roszczeń - zapowiada Maciej Kawecki z Ministerstwa Cyfryzacji. - Niezależnie od tego, że każdy będzie mógł złożyć skargę u prezesa Urzędu Ochrony Danych Osobowych, będzie też miał możliwość złożenia pozwu cywilnego w sądzie.

Cała rozmowa z Maciejem Kaweckim z Ministerstwa Cyfryzacji:

Autor: jp/gry / Źródło: tvn24bis.pl