Moment wejścia w życie RODO, tj. Rozporządzenia o Ochronie Danych Osobowych, czy też, idąc tropem angielskiego nazewnictwa – GDPR – General Data Protection Regulation, zbliża się nieuchronnie. Do 25 maja podmioty przetwarzające dane osobowe powinny wprowadzić środki techniczne i organizacyjne spełniające wskazane w nim wymogi. We wcześniejszym tekście skupiliśmy się na nowych rozwiązaniach wprowadzonych przez RODO: prawie do bycia zapomnianym i prawie do przeniesienia danych. W poniższym artykule przyjrzymy się pozostałym prawom użytkownika, równie istotnym, choć nie będącym nowością.
Głównym celem nowych regulacji jest zapewnienie solidnej ochrony osób fizycznych. Jednym ze sposobów realizacji tego założenia jest wzmocnienie i doprecyzowanie praw osób, których dotyczą dane. W dobie intensywnego rozwoju internetu uświadomienie użytkownikom wartości ich danych oraz przyznanie im kontroli nad tym, gdzie i w jaki sposób dane te będą wykorzystywane, wydaje się konieczne. Może jednak stanowić bolączkę dla drugiej strony – podmiotów, które te dane przetwarzają.
Poza opisanymi poprzednio zagadnieniami rozporządzenie wskazuje na następujące typy uprawnień osób, których dane ulegają przetwarzaniu, czyli właściwie każdego internauty:
- prawo dostępu do danych i informacji,
- prawo żądania sprostowania i uzupełnienia danych,
- prawo sprzeciwu wobec przetwarzania danych,
- prawo do ograniczenia przetwarzania danych.
Prawo dostępu do danych i informacji – o czym informować?
Prawo dostępu do danych osobowych jest uregulowane w aktualnie obowiązującej ustawie o ochronie danych osobowych z 1997 roku. Nie jest zatem nowym uprawnieniem. Zmiana zawarta w RODO polega na umożliwieniu podmiotowi danych bezpośredniego do nich dostępu. W jaki sposób? Na przykład przez udostępnienie wnioskodawcy kopii jego danych lub udzielenie przez administratora zdalnego dostępu do systemu zawierającego te dane. Pamiętać należy, że udzielenie takiego dostępu nie może jednak godzić w uprawnienia innych jednostek, w tym w tajemnicę handlową, ich prawa własności intelektualnej bądź prawa autorskie.
Z dostępem do danych wiąże się również inne uprawnienie użytkowników – prawo do uzyskania informacji na temat procesów, jakim te dane podlegają.
Należy podkreślić, że informacje, jakie należy udostępnić użytkownikowi, obejmują bardzo szeroki zakres. Administrator danych zobligowany jest do wskazania swojej tożsamości (lub tożsamości swojego przedstawiciela) i danych kontaktowych oraz danych kontaktowych inspektora danych osobowych, do którego użytkownik ma prawo zwrócić się z każdym pytaniem lub żądaniem dotyczącym przetwarzania jego danych. Należy także jasno przedstawić jakie kategorie danych osobowych podlegają przetwarzaniu. Użytkownik powinien zostać poinformowany o celu przetwarzania danych oraz o podstawie prawnej dla przeprowadzenia tego procesu. Cel ten może być jeden albo może być ich wiele, nie zmienia to jednak faktu, że każdy powinien być precyzyjnie określony przez administratora danych.
Niezbędne będzie także podanie do wiadomości osoby uprawnionej kim są odbiorcy danych osobowych, przez jaki czas dane osobowe będą przetwarzane, lub też jakie są kryteria ustalania takiego okresu, w przypadku braku jasnych ram czasowych w chwili wyrażania zgody na przetwarzanie.
Na tym nie koniec. Informacja musi również wskazywać na prawo do żądania od administratora dostępu do danych osobowych (opisanego wyżej), ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. Użytkownik musi być świadomy, że może w każdym momencie wycofać swoją zgodę na przetwarzanie danych, jak również – w określonych przypadkach – wnieść sprzeciw wobec ich przetwarzania.
Według nowych przepisów administrator będzie zobowiązany do poinformowania użytkownika, iż jego dane będą przetwarzane w sposób zautomatyzowany. Obejmuje to w szczególności informowanie o włączeniu danych do procesu profilowania. Tym razem jedynie od użytkownika zależeć będzie, czy wyrazi na takie działanie zgodę. Nietrudno się domyślić, że wskazana zmiana znacznie wpłynie na prężnie rozwijający się marketing online, dla którego jednym z efektywnych sposobów prowadzenia kampanii jest targetowanie udostępnianych treści. Co za tym idzie? Może się okazać, iż ceny za reklamy targetowane wzrosną. Z drugiej jednak strony niewykluczone jest, że w dalszej perspektywie przyniesie to pozytywne skutki – od teraz reklama targetowana docierać będzie do odbiorców świadomie godzących się na to, aby otrzymywać konkretne treści, a co za tym idzie – możemy mieć do czynienia ze znaczną poprawą jakości kampanii.
Obowiązek informacyjny dotyczy również wskazania użytkownikowi prawa do złożenia skargi na działania administratora danych do organu nadzorczego (obecnie GIODO).
Ponadto, gdy ma to zastosowanie, administrator danych powinien udzielić informacji o zamiarze przekazania danych osobowych poza Unię Europejską oraz wzmianki o odpowiednich zabezpieczeniach danych osobowych stosowanych przez podmiot, któremu dane są przekazywane.
Jak informować? Klauzule informacyjne powinny być udostępnione w formie zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej, zredagowane jasnym i prostym językiem, udzielone w formie pisemnej lub innej, a w szczególnych sytuacjach – w formie elektronicznej.
RODO: sprostowanie bądź uzupełnienie danych osobowych
Możliwość żądania od administratora sprostowania, lub uzupełniania przetwarzanych danych znana jest już na gruncie wcześniejszych regulacji. Użytkownik powinien zostać poinformowany o tego typu uprawnieniach już na etapie pozyskiwania danych osobowych.
W odniesieniu do sprostowania z punktu widzenia administratora ważne jest, aby zadbał on o dotarcie informacji o zmianach do wszystkich odbiorców, którym dane ujawniono wcześniej. Wyjątkowo z obowiązku tego administrator zwolniony jest w przypadku zaistnienia niemożności wykonania czynności bądź gdy wymagałaby ona niewspółmiernie dużego wysiłku.
Obowiązek ten może być uciążliwy szczególnie gdy administrator danych współpracuje z wieloma podmiotami – wówczas dbałość o dopełnienie wskazanej powinności może być żmudna i pracochłonna. Niemniej jednak – będzie ona niezbędna.
Objection, czyli prawo do wyrażenia sprzeciwu
Kolejnym ważnym elementem w kontekście praw użytkownika jest możliwość zgłoszenia przez osoby, których dane są przetwarzane w interesie publicznym lub w związku z uzasadnionym interesem administratora, sprzeciwu wobec takiego przetwarzania danych. Sprzeciw ten może zostać zgłoszony w każdym czasie i wynikać z przyczyn związanych ze szczególną sytuacją osoby, której dane są przetwarzane. Wyjątek – sprzeciw nie będzie skuteczny, jeśli administrator wykaże nadrzędność podstawy przetwarzania danych w stosunku do interesów jednostki. W przypadku marketingu bezpośredniego sprzeciw będzie mógł być wyrażony bez konieczności uzasadniania jego zgłoszenia i skutkował będzie natychmiastowym zaprzestaniem przetwarzania danych w tym celu.
O prawie do wniesienia sprzeciwu, jak już wskazano wyżej, osoba powinna zostać poinformowana w sposób jasny i zrozumiały w momencie zbierania danych osobowych.
Prawo do ograniczenia przetwarzania danych
Prawo do ograniczenia przetwarzania danych to również nowość pod względem konstrukcji zaproponowanej w RODO. Rozporządzenie wskazuje w formie katalogu zamkniętego w jakich konkretnych sytuacjach osoba, której dane dotyczą, może wystąpić z żądaniem wynikającym z opisywanego uprawnienia. Są to m.in. przypadki, w których osoba nie zgadza się z brzmieniem danych i tym samym kwestionuje ich prawidłowość; również wtedy, gdy osoba wniosła sprzeciw wobec przetwarzania – wówczas ograniczenie ma miejsce do czasu ustalenia, czy prawnie uzasadnione podstawy przetwarzania po stronie administratora danych są nadrzędne w zderzeniu z podstawami złożonego sprzeciwu. Dodatkowo, także w przypadku braku dalszego zainteresowania administratora danych konkretnymi danymi, może się okazać, że będzie je musiał zachować. Stanie się tak w sytuacji, w której osoba, której dane dotyczą, będzie ich potrzebować do ustalenia, dochodzenia lub obrony swoich roszczeń. Do katalogu przypadków dodać należy również ten, kiedy to przetwarzanie jest niezgodne z prawem, a mimo to użytkownik, którego dane są przetwarzane, nie wyraża zgody na ich usunięcie – w zamian może zażądać ograniczenia ich przetwarzania.
Jak odpowiedzieć na powyższe uprawnienia – ‘Yes, I do”, czyli jak odpowiednio skonstruować zgodę
Nie ulega wątpliwości, iż w nowych, nadchodzących realiach, dla prowadzenia procesów przetwarzania danych w wielu przypadkach niezbędna będzie zgoda zainteresowanego, tj. osoby, której dane osobowe będą przetwarzane.
Co dokładnie mamy rozumieć pod pojęciem zgody? Zgodnie (nomen omen) z nowymi normami jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, charakteryzujące się wyraźnym działaniem w formie oświadczenia bądź potwierdzenia. Jak zapytanie o zgodę powinno zostać sformułowane? Musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Koniec z drobnym drukiem, gwiazdkami i niejasnymi zdaniami napisanymi fachowym, niezrozumiałym dla użytkownika językiem. Zawiłe i skomplikowane formularze w efekcie mogą okazać się nieprawidłowe, zaś zgoda wyrażona poprzez ich użycie nieskuteczna.
Od 25 maja administratorzy danych będą musieli wysilić się nieco bardziej niż dotychczas. Wg. RODO nie wystarczy jedynie fakt wyrażenia zgody. Aby była ona ważna, administrator musi być w stanie wykazać, że użytkownik taką zgodę wyraził. Niezbędne będzie zatem konkretne potwierdzenie jej wyrażenia, a w konsekwencji odpowiednie pozyskiwanie i ewidencjonowanie zgód. Jednym ze sposobów na pozyskanie takiego potwierdzenia może być zobligowanie użytkownika do kliknięcia w link przesłany na jego adres mailowy po wyrażeniu zgody, lub w postaci zaznaczenia odpowiedniego checkboxa. Tym samym administrator danych nie tylko odnotuje fakt, że użytkownik zgodę wyraził, ale również uzyska jasne potwierdzenie świadomego jej wyrażenia.
Użytkownik powinien wyrazić zgodę na konkretne przetwarzanie danych w określonym celu. W związku z tym po wejściu w życie nowych przepisów niezbędne będzie rozbicie zgód. Nie wystarczy już sama formuła „zaakceptuj wszystko”. Jeśli dane będą przetwarzane w kilku celach, w odniesieniu do każdego z nich użytkownik musi świadomie wyrazić odrębną zgodę.
Ponadto, podmiot przetwarzający dane nie może sugerować użytkownikowi wyrażenia zgody, zatem automatyczne zaznaczenie okienek zgód na przetwarzanie bądź na przekazanie danych innym podmiotom nie wchodzi w grę. Zgoda domniemana będzie niczym innym, jak zgodą nieważną.
Wyrażenie zgody wymagane będzie również w sytuacji, gdy konkretny administrator danych będzie miał w zamiarze przekazanie danych innemu podmiotowi. Aktualnie jest to powszechne działanie, chociażby w zakresie działań mailingowych. Nowa regulacja wyeliminuje z rynku sytuacje, w których, po wyrażeniu zgody na przetwarzanie danych przez jeden podmiot, użytkownik otrzymywać będzie również oferty od innych przedsiębiorców, z którymi nigdy wcześniej nie miał do czynienia.
Podsumowanie
Powyżej opisane aspekty to tylko część wiedzy, którą administrator danych powinien posiąść w związku z RODO. Nie ulega wątpliwości, że w niektórych aspektach nowe rozporządzenie spowoduje swego rodzaju rewolucję na rynku. Niemniej trzeba mieć na uwadze fakt, że szereg norm rozporządzenia, które mają obowiązywać, nie został szczegółowo doprecyzowany, i to od regulacji krajowych oraz działań organów wykonawczych zależeć będzie, w jaki sposób treść tych norm będzie interpretowana i stosowana. Biorąc pod uwagę dotkliwość sankcji nakładanych przez RODO warto przypomnieć sobie jednak przysłowie „przezorny zawsze ubezpieczony” i z tą myślą zadbać o odpowiednie dostosowanie systemów i operacji przetwarzania danych do nowych reguł gry. Bo odpowiedzialność za niedopatrzenia może być bolesna.
Nie chcesz przegapić kolejnego posta o RODO? Zapisz się na nasz tygodniowy newsletter:
`