Nowe zasady ochrony danych osobowych (RODO)
Od 25 maja 2018 r. zaczną obowiązywać nowe zasady ochrony danych osobowych (RODO)
Fakty
Jak podała Rzeczpospolita („Rz” z 29 stycznia 2018 r.) przedsiębiorcy nie do końca są gotowi na wielką rewolucję RODO!
Z badania przeprowadzonego na zlecenie Generalnego Inspektora Danych Osobowych przez Kantar Public, wynika, iż tylko 8% badanych zaczęło wdrażać nowe regulacje, co dziesiąty przedsiębiorca nie wie kiedy rozpocznie wdrażanie, co piąty nie zna daty obowiązywania nowych przepisów.
W firmach najmniejszych (1-10 zatrudnionych) tylko 51% z nich słyszało o obowiązku oceny skutków dla ochrony danych, w 48% nie zna zasad dotyczących profilowania, politykę bezpieczeństwa prowadzi 55 %.
Poniżej kilka podstawowych informacji dotyczących nowej regulacji dotyczącej ochrony danych osobowych dla tych, którzy sprzedają przez Internet i przetwarzają dane osobowe.
Czym jest RODO ?
To Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. , które reguluje zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i będzie zastosowane od dnia 25 maja 2018 r. we wszystkich krajach UE. Tekst RODO jest obszernym dokumentem, który składa się z Motywów (32 strony) oraz samego Rozporządzenia (56 stron).
Treść rozporządzenia jest dostępna w polskiej wersji językowej m.in. na stronie: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL.
Rozporządzenie stosuje się bezpośrednio na terenie RP i nie wymaga, jak w przypadku dyrektyw UE, stworzenia dodatkowych, krajowych przepisów prawa. Niezależnie od RODO uchwalona będzie także nowa ustawa o ochronie danych osobowych, dostosowująca pewne postanowienia RODO do warunków polskich oraz zmieniająca szereg obowiązujących już ustaw nap. Kodeks pracy.
Cel RODO
Rozporządzenie ma m.in. na celu:
ujednolicenie poziomu ochrony praw osób fizycznych w związku z przetwarzaniem ich danych osobowych we wszystkich krajach UE,
rozwiązanie problemów związanych z prowadzeniem działalności gospodarczej na terenie różnych krajów UE, w tym zapewnienie swobodnego przepływu danych osobowych między państwami,
wprowadzenie wymagań, które przynajmniej ograniczą istniejące zagrożenia związane z Internetem,
Wprowadzenie RODO; od czego zacząć ?
Przeprowadzić przynajmniej podstawowy audyt i ustalić:
czy przetwarza już dane osobowe (zbiera, przechowuje, przekazuje innym podmiotom dane klientów, własnych pracowników) w związku ze sprzedażą przez Internet dane klientów, posiada dane pracowników, w tym dotyczące stanu zdrowia),
jakie dane są przetwarzane (np. dane klientów: imię i nazwisko, adres zamieszkania, telefon, adres poczty elektronicznej); w jakich celach (np. sprzedaż przez Internet, przesyłanie informacji marketingowych, organizowanie konkursów),
jak przetwarzane są dane ? ( w systemie informatycznym, w wersji papierowej),
jakie są przesłanki przetwarzania: zgoda osoby (jeśli taka była wymagana (obecnie zasada: jeden cel jedna zgoda; natomiast RODO dopuszcza teraz, iż zgoda może dotyczyć jednego albo kilku celów, (art. 6, ust.1 lit. a), wykonanie umowy, realizowanie własnych celów promocyjno-marketingowych
jak długo dane powinny być przetwarzane z uwagi na zakładany (bądź już zrealizowany cel)?
czy posiadane już zgody, w oparciu o które odbywa się przetwarzanie danych odpowiadają warunkom zgody wymaganej przez RODO (o tym poniżej).
Obecny handel towarami wykorzystuje Internet. Tym samym do takich transakcji może mieć także zastosowanie ustawa o świadczeniu usług drogą elektroniczną. Jej istotnym postanowieniem jest zakaz przesyłania niezamówionych informacji handlowych (art. 10). Przesyłanie jest możliwe dopiero po uzyskaniu zgody na przesyłanie takich informacji. Ustawa zawiera też szczegółowe postanowienia dotyczące ochrony danych osobowych, które mogą regulować ochronę danych inaczej niż ustawa o ochronie danych osobowych. Usługa świadczona drogą elektroniczną polega na przesyłaniu i odbieraniu danych za pomocą urządzeń teleinformatycznych. Będzie nią proces zamówienia przy wykorzystaniu powyższych urządzeń telekomunikacyjnych (e-mail, platforma transakcyjna www.).
Nie będą te przepisy miały zastosowania do samej realizacji umowy sprzedaży towarów (fizyczny towar i fizyczna dostawa).
Ocena, czy i w jakim zakresie stosować przepisy ustawy o świadczeniu usług drogą elektroniczną zależy od analizy: co jest przedmiotem mojej działalności i jak ją prowadzę.
Nie jest możliwe omówienie całej treści RODO w niniejszych uwagach. Chciałbym natomiast wymienić dwa istotne obszary, które mieć będą zastosowanie także po wprowadzaniu RODO:
Czy można po wejściu RODO korzystać z już posiadanych danych?
RODO postawiło przed podmiotami podstawowe pytanie: czy można dalej przetwarzać już posiadane dane, które uzyskano w oparciu o wyrażoną zgodę.
Jeszcze obowiązująca ustawa o ochronie danych osobowych wskazuje w swoim art. 23 ust.1 pkt. 1, iż „Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba , której danej dotyczą, wyrazi na to zgodę. Ustęp 2 tego artykułu daje możliwość przetwarzania danych w przyszłości, jeżeli nie zmienia się celu przetwarzania.”
RODO stanowi w art. 6 ust. 1 lit. a, iż przetwarzanie danych jest m.in. zgodne z prawem, jeśli osoba, której dane dotyczą wyraziła zgodę na przetwarzane swoich danych.
Jak wynika z powyższego zarówno obowiązująca polska ustawa jak i RODO pozwalają na przetwarzanie danych w oparciu o udzieloną zgodę. To co różni oba akty to dużo wyższy standard i zakres obowiązków przewidzianych przez RODO odnoszących się do warunków w jakich mogą być przetwarzane dane (art. 5), warunków wyrażenia zgody (art. 7) oraz spełnienia obowiązków informacyjnych przy zbieraniu danych (art. 12, 13 i 14).
Czy zatem jeśli posiada się dane osobowe i przetwarza się je w oparciu o udzieloną zgodę, mogą one być nadal przetwarzane po wejściu RODO.
Z uwagi, iż sytuacja ta może odnosić się do szerokiego kręgu podmiotów, zajął się nią zarówno Generalny Inspektor Ochrony Danych Osobowych jak i w swoich Wytycznych Grupa Art. 29.
Zgodnie ze stanowiskiem GIODO, nawiązującym zarówno wprost do pkt. 171 motywów RODO i stanowiska Grupy Art. 29, przetwarzanie danych osobowych w oparciu o już udzielone zgody będzie zgodne z prawem, jeśli oświadczenie o udzieleniu zgody spełniać będzie poniższe kryteria:
– dobrowolność – zgoda oznaczać musi możliwość realnego, swobodnego wyboru, nie może być wymuszona; brak wyrażenia zgody nie może również powodować negatywnych konsekwencji dla osoby, której dane dotyczą; pojęcie „dobrowolność” przybliża motyw 43 RODO.
– konkretność – zgoda musi określać precyzyjnie cel przetwarzania danych oraz wskazywać zakres danych; niedopuszczalne jest zbieranie zgód ogólnych;
– świadomość – przed uzyskaniem zgody należy zapewnić niezbędne informacje, które umożliwią świadome podjęcie decyzji, w tym na co wyrażają zgodę i kto jest administratorem przekazanych danych;
– jednoznaczność – to jednoznaczne oświadczenie woli lub wyraźne działanie potwierdzające; chodzi o to aby uprawniony był świadomy, iż podejmuje konkretne działanie w celu wyrażenia zgody na określone przetwarzanie. Nie może to być zatem zgoda dorozumiana albo wynikać z innej czynności prawnej. W celu uniknięcia wątpliwości, dobrze jest używać zwrotów: „ Tak, wyrażam zgodę na …”; można też dodatkowo wymagać dodatkowo używania zaznaczenia „V” czy „X” w określonym polu.
Kwestia ważności już wyrażonej zgody została omówiona w Wytycznych Grupy Art. 29. Wskazano, iż zgodnie z art. 7 ust. 3 RODO (warunki wyrażenia zgody) osoba, która wyraża zgodę powinna, zostać poinformowana przed jej wyrażeniem o prawie do jej wycofania w dowolnym momencie. Ponadto jej wycofanie zgody powinno być również łatwe jak jej wyrażenie. Czyli jeśli poprzednio zgoda była wyrażona elektronicznie za pośrednictwem strony www. to polityka prywatności (ew. regulamin) powinna wskazywać, iż odwołanie zgody może nastąpić również za pomocą takiej strony. Wydaje się , iż jest możliwe wskazanie kilku sposobów, w tym strona www., email, list polecony.
Zacytowane w stanowisku GIODO stanowisko Grupy Roboczej Art. 29 dot. zgodności udzielonych zgód z art. 7 ust. 3 oraz art. 13 ust. 2 RODO jest nie do końca jednoznaczne. Czy np. w świetle art. 7 ust. 3 oświadczenie, iż udzielający zgody jest świadomy o prawie do odwołania zgody zawarte jest na końcu klauzuli jest wystarczające do przyjęcia, iż został o tym poinformowany zanim wyraził zgodę.
Trzeba jednak podkreślić, iż RODO (podobnie jak i ustawa o ochronie danych osobowych) w art. 6 ust.1 lit. b) przyjmuje, iż przetwarzanie danych jest zgodne z prawem, jeśli jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą. Obejmuje to zatem transakcje handlowe. Także nie wymaga zgody marketing bezpośredni lub przeprowadzanie konkursów (Motyw 47 i art. 6 ust. 1 lit f RODO).
Stanowisko GIODO jak i wytyczne Grupy Art. 29 są jest dostępne na jego stronie internetowej www.giodo.gov.pl
Jaki jest czas przetwarzania danych
Art. 5 ust. lit. e. RODO stanowi, iż dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”).
Tak więc co do zasady dalsze przetwarzanie danych powinno zakończyć się po osiągnięcie celu (lub nastąpił upływ okresu czasu, przez który można było przetwarzać dane). Dłuższe przetwarzanie danych wynikać może z szeregu przepisów szczegółowych, w tym przepisów dotyczących archiwizacji, przepisów podatkowych, dotyczących prawa pracy lub konsumentów.
Okres przechowywania (retencja danych) zależy od przedmiotu działalności. Przy sprzedaży przez Internet okres wykorzystywania danych wynika z celu jakim jest SPRZEDAŻ. Czas to proces sprzedaży (też okres w jakim można dokonać zwrotu towaru przysługujący konsumentom) oraz okres po sprzedaży (okres udzielonej gwarancji albo prawa wynikające z rękojmi określone w kodeksie cywilnym).
Inny czas przechowywania może opierać się na zgodzie na przetwarzanie danych w innym (niż sprzedaż) celu np. marketingowym. Trzeba także brać uwagę czas przechowywania jaki może wynikać z okresu przedawnienia roszczeń Podstawowy 10 –letni okres ( art. 118 kc.) może zostać skrócony do 6 lat. Okres przedawnienia w ramach działalności gospodarczej to 3 lata, ale jednocześnie roszczenia z tytułu sprzedaży dokonanej w zakresie działalności przedsiębiorstwa sprzedawcy przedawniają się z upływem 2 lat. Czas przechowywania powinien być też weryfikowany w świetle uprawnień konsumentów, w tym uprawnień wynikających z rękojmi. Określone wymogi dotyczące przechowywania dokumentów wynikają z przepisów podatkowych.
Możliwe ograniczenia stosowania RODO dla mikro-, małych i średnich przedsiębiorców
RODO pozwala (art 23) państwu – członkowi Unii, na ograniczenie zakresu obowiązków i praw przewidzianych w art. 12–22, art. 34 (dot. to m.in. obowiązków informacyjnych, zawiadamiania o naruszaniu danych), jeżeli jednak ograniczenie takie nie narusza istoty podstawowych praw i wolności. Powyższe powinno być określone w nowej ustawie o ochronie danych osobowych oraz przepisach wprowadzających. Nie jest do końca wiadome czy ? i w jakim zakresie zostanie to ostatecznie uwzględnione w projekcie nowej ustawy o ochronie danych osobowych.
Tadeusz Makowski, radca prawny
tadeusz.makowksi@poczta.onet.pl; tel.: 603 886 651