25 maja br. wchodzi w życie unijne Rozporządzenie o Ochronie Danych Osobowych – w skrócie RODO lub GDPR (od angielskiego: General Data Protection Regulation). Czy polscy przedsiębiorcy mają się czego obawiać?

W sieci aż roi się od poradników mających na celu przygotować nas na RODO. Niestety, duża część z nich powiela obiegowe mity (np. „Od 25 maja 2018 przesyłanie danych kontrahentom zza Atlantyku będzie znacznie utrudnione, a w części przypadków wręcz niemożliwe”) i niepotrzebnie straszy przedsiębiorców. Najwięcej tracą małe biznesy: te, których nie stać na drogie szkolenia i profesjonalną konsultację prawniczą. To właśnie ich właściciele są szczególnie narażeni na nieuczciwe działania oszustów, pseudo-ekspertów i… zwyczajnych szantażystów.

W poniższym poradniku zebraliśmy najważniejsze informacje o RODO. Krok po kroku przeprowadzimy Cię przez najistotniejsze zagadnienia związane z rozporządzeniem. Tekst nie ma wprawdzie charakteru porady prawnej – po taką najlepiej udać się bezpośrednio do kancelarii – ale powinien pomóc zorientować się w temacie – a nawet samodzielnie przygotować się na niektóre z nadchodzących zmian w prawie.

Czego dotyczy RODO?

Najprościej rzecz ujmując: RODO to rozporządzenie dotyczące prawidłowego sposobu zbierania, przechowywania, przetwarzania oraz udostępniania danych osobowych.

W zamyśle rozporządzenie to ma zapobiec nieodpowiedzialnemu obchodzeniu się z danymi, które powierzane są na co dzień różnym biznesom przez osoby korzystające z oferowanych przez nie produktów (np. z Google albo Facebooka). W praktyce RODO umożliwi pociągnięcie do odpowiedzialności organizacje odpowiedzialne za niewłaściwe wykorzystanie tych danych (na myśl przychodzi chociażby niedawna afera z Facebookiem i Cambridge Analytica).

Kary pieniężne przewidziane przez RODO są nadzwyczajnie dotkliwe i mają na celu „odstraszanie” potencjalnych winowajców. Za niewłaściwe obchodzenie się z danymi grożą kary w wysokości:

  • do 20 mln euro

  • do 4% całkowitego rocznego przychodu.

Jak widać, sprawę należy traktować poważnie.

Kogo dotyczy RODO?

Rozporządzenie o Ochronie Danych Osobowych dotyczy praktycznie każdego przedsiębiorcy, który zbiera, przechowuje, przetwarza oraz udostępnia dane osobowe.

RODO nie obejmuje natomiast osób fizycznych, które zbierają dane na potrzeby kontaktów osobistych, np. prowadzą książkę adresową z dodatkowymi informacjami o swoich znajomych (datami urodzin etc.).

RODO nie ma również zastosowania w przypadku osób i organizacji przetwarzających dane osobowe w celu zapewnienia bezpieczeństwa narodowego (np. służb specjalnych i rządowych) lub sprawujących funkcje dyplomatyczne. Działanie takich organów najczęściej w ogóle nie podlega prawu Unii Europejskiej: regulują je wewnętrzne ustalenia prawne obowiązujące w danym kraju. Dlatego są one wyjęte spod RODO. (Niestety, rządowe służby specjalne nadal będą mogły profilować obywateli bez poważnych ograniczeń…)

RODO obejmuje natomiast – m.in. –

  • pracodawców przechowujących dane pracowników

  • rekruterów przechowujących dane kandydatów do pracy

  • firmy przechowujące dane klientów i partnerów biznesowych (tj. w zasadzie wszystkie firmy w Polsce)
  • wszelkiego rodzaju wykonawców i podwykonawców, którzy dzielą się danymi (np. organizatorów i sponsorów wydarzeń, firmy windykacyjne, różnego rodzaju agencje etc.)
  • osoby wykorzystujące dane osobowe na potrzeby dowolnej formy komunikacji (np. e-maili albo smsów do dotychczasowych klientów)
  • publiczne i prywatne placówki edukacyjne
  • urzędy

  • organizacje pozarządowe

etc. etc.

W skrócie:

Jeżeli prowadzisz własną działalność i zbierasz dane, choćby tylko w CRM-ie, to powinieneś zainteresować się RODO. Nie ma przy tym znaczenia sposób przechowywania bazy danych: niezależnie od tego, czy zapisujesz je na dysku, czy w segregatorze, masz obowiązek zadbać o ich bezpieczeństwo.

Najważniejsze zasady RODO

Przyjrzyjmy się najważniejszym zmianom wprowadzanym przez RODO.

1) Profilowanie będzie znacząco utrudnione

W skrócie: profilowanie polega na przypisywaniu osób do pewnych grup na podstawie zebranych na ich temat informacji. Do tej pory profilowanie wykorzystywane było m.in. przez instytucje finansowe – przykład: na podstawie wyników zwracanych przez algorytmy wykluczano pewne osoby z grupy potencjalnych kredytobiorców. RODO uzupełnia i doprecyzowuje zasady rządzące profilowaniem. Oczywiście automatyczne podejmowanie decyzji wciąż będzie dopuszczalne; to powiedziawszy: sytuacje takie jak opisana powyżej będą niezgodne z prawem.

2) Zasada minimalizacji i adekwatności danych

Przedsiębiorcy mogą przechowywać tylko i wyłącznie dane niezbędne do realizacji celów biznesowych, o których poinformowali podczas ich zbierania. Jeżeli więc prowadzisz firmę kurierską, to nie potrzebujesz niczego więcej niż dane teleadresowe; ewentualne dane na inne tematy (np. na temat stanu zdrowia klientów) powinny zostać usunięte z Twojej bazy. Nie są to wcale złe wieści: przechowywanie nadmiernej ilości danych znacząco utrudnia zarządzanie bazami; zwiększa też koszty ich utrzymania. Wejście w życie RODO może być więc dobrą motywacją, żeby zrobić w nich porządki.

Dobre wieści są takie, że w praktyce – i w połączeniu z innymi regulacjami RODO – oznaczać to będzie znaczącą redukcję niechcianych informacji i telefonów z call center. Dane niezbędne do funkcjonowania jednego przedsiębiorstwa nie będą miały wartości dla innego – co ograniczy rynek ich sprzedaży, a w konsekwencji powinno zmniejszyć też liczbę wycieków.

3) Zasada prawidłowości danych

Przetwarzane dane powinny być aktualne i zgodne z prawdą. Organizacje powinny dołożyć szczególnej staranności, by tak było; w tym celu muszą umożliwić użytkownikom pełen wgląd do posiadanych na nasz temat informacji. Jest to szczególnie istotne w przypadku instytucji działających w obszarach, w których jakość usług zależy od zgodności przechowywanych przez nie danych ze stanem faktycznym (np. banków). Instytucje te powinny:

  • wdrożyć program cyklicznej weryfikacji prawidłowości danych (np. raz na pewien czas wysyłać do klientów mailingi z prośbą o sprawdzenie poprawności przechowywanych danych oraz ich ewentualną aktualizację);
  • pozwolić klientom na bezproblemowy wgląd w przechowywane na ich temat informacje i umożliwić ich zmianę.

4) RODO poszerza uprawnienia klientów

To prawdopodobnie najważniejsza i najczęściej dyskutowana zmiana w przepisach. Do najważniejszych praw należą:

  • prawo do bycia zapomnianym – osoby, których dane przechowuje firma, mogą zwrócić się do niej z prośbą o ich usunięcie, i to usunięcie całkowite; firma ma obowiązek to zrobić. Dane powinny być usunięte ze wszystkich baz i nośników, również tych archiwalnych; wyjątek stanowią tu sytuacje, w których usunięcie danych na temat konkretnego użytkownika (np. z kopii zapasowej) wiąże się z bardzo dużymi kosztami (np. kosztami tworzenia kopii od nowa). W takiej sytuacji dane powinny zostać usunięte jedynie z obecnie stosowanych baz.

    Co ważne: wszystko zależy tutaj od specyfiki naszej działalności. Podobne przypadki mają być weryfikowane przez specjalnie powołanych do tego celu inspektorów.

  • prawo do wglądu do przechowywanych informacji oraz do ich zmiany. Od teraz każdy ma prawo zażądać dostępu do danych, które firma przechowuje na jego temat; może też prosić o usunięcie bądź modyfikację dowolnego wycinka tych informacji. Firma ma obowiązek umożliwić takim osobom kontakt w tej sprawie – a najlepiej automatyczny dostęp do danych. Co ciekawe, naprzeciw nowym regulacjom wyszedł już Facebook. Największa na świecie sieć społecznościowa umożliwiła niedawno użytkownikom wgląd we wszystkie przechowywane na ich temat informacje. A jest tego *bardzo* wiele…
  • prawo do przeniesienia danych do innego administratora – szczególnie istotne w przypadku instytucji publicznych i finansowych. Dane muszą zostać przekazane w sposób, który umożliwi nowemu administratorowi ich odczytanie; odpadają więc egzotyczne nośniki, a wszelkie wymówki odwołujące się do „wewnętrznych standardów” danego przedsiębiorstwa (np. banku) całkowicie tracą moc.

5) Zmianie ulegną zapisy w umowach i regulaminach

Wszelkie niezrozumiałe dotychczas umowy dotyczące sposobu pozyskiwania i przetwarzania danych mają stać się zrozumiałe dla „zwykłego użytkownika”. Umowy napisane skomplikowanym prawniczym żargonem (albo odwołujące się do niezrozumiałych pojęć IT) mają odejść w niepamięć: przedsiębiorca ma jasno określić, w jaki sposób zbiera dane, a także w jakim celu je wykorzystuje. Jeśli zamierza udostępniać te informacje innym podmiotom (np. partnerom biznesowym), to powinien poinformować o tym użytkowników i poprosić ich o zgodę. Powinien również określić, w jakim celu będą wykorzystywane te informacje.

Informacje takie mają być zwięzłe, proste i do rzeczy; nie mogą być również podawane małym, szarym druczkiem w przypisie do n-tego paragrafu obszernej umowy. Celem RODO jest ukrócenie złych praktyk i ujednolicenie sposobu przetwarzania i przekazywania danych na terenie Unii Europejskiej. Jak długo jednak firma dba o prywatność użytkowników, których dane przechowuje, tak długo nie ma się czego obawiać.

6) Zasady  „Privacy by design” oraz „Privacy by default”

Zasady „Privacy by design” (ang. prywatność w fazie projektowania) oraz „Privacy by default” (ang. prywatność w ustawieniach domyślnych) mają na celu ustandaryzowanie rynku narzędzi i systemów służących do przechowywania i przetwarzania danych osobowych (np. oprogramowania analitycznego).

Zasada prywatności w fazie projektowania oznacza, że firmy tworzące oprogramowanie, za pomocą którego będą przetwarzane dane osobowe (np. platformy społecznościowe, software analityczny, systemy CRM etc.) muszą dostosować sposób ich działania do unijnych regulacji. To może oznaczać wiele rzeczy: od pseudonimizacji lub szyfrowania przechowywanych danych do znacznego ograniczenia ich ilości, a nawet sposobu, w jaki są prezentowane. Nie jest to natomiast dla tego rynku rewolucja – firmy działające w tym sektorze od zawsze musiały pracować ze skomplikowanymi regulacjami prawnymi.

Zasada prywatności w ustawieniach domyślnych ma na celu m.in. dostosowanie narzędzi do wspomnianych wcześniej zasad (np. zasady minimalizacji i adekwatności danych). Narzędzia mają umożliwiać przetwarzanie tylko takich danych, które są konieczne do osiągnięcia celu (np. zarządzania klientami), i tylko tak długo, jak jest to niezbędne.

7) Firmy nie muszą zgłaszać baz danych do GIODO

Powinny natomiast prowadzić szczegółowy rejestr (dziennik) przetwarzania danych. Muszą zawrzeć w nim wszystkie niezbędne informacje – tj. takie, które może chcieć sprawdzić inspektor podczas kontroli. Na szczęście większość narzędzi do przetwarzania danych automatycznie zapisuje historię takich informacji; z historii tej dowiemy się, kiedy i komu udostępnione zostały informacje, a także o najważniejszych zmianach w konfiguracji samego narzędzia. To powinno znacząco ułatwić całą tę sprawę.

8) Firmy muszą zgłaszać przypadki naruszeń bezpieczeństwa danych do GIODO

W przypadku naruszenia bezpieczeństwa danych firmy mają 72 godziny na zgłoszenie tego do GIODO.

Czego nie musisz robić?

1) Nie musisz ponownie prosić o zgodę na przetwarzanie danych

Jeżeli wcześniej pozyskałeś tę zgodę w sposób zgodny z prawem, to jest ona wiążąca. Jeżeli masz wątpliwości, możesz poprosić o ponowną zgodę. Natomiast niezależnie od wszystkiego powinieneś umożliwić klientowi „wypisanie się” z bazy: np. jeśli wysyłasz newsletter, to w stopce każdego maila powinien znaleźć się link anulujący subskrypcję.

2) Nie musisz prosić o ponowną zgodę na profilowanie w celach marketingowych i związanych z bezpieczeństwem

Musisz natomiast umożliwić użytkownikowi sprzeciw wobec takiego profilowania, i to na prostych, jasnych zasadach, nieobwarowanych dodatkowymi utrudnieniami; najlepiej, by wszystko wymagało maksymalnie paru kliknięć.

3) Nie musisz rezygnować ze stosowanego przez siebie oprogramowania

Dostawcy oprogramowania działający na rynku europejskim mają obowiązek dostosowania go do obowiązujących regulacji, w tym również do RODO.

Czego nie powinieneś robić?

1) Nie powinieneś kopiować gotowych formułek i regulaminów i wklejać ich na swoją stronę

RODO wymaga dostosowania tych informacji do faktycznego sposobu funkcjonowania biznesu. Kopiowanie czyichś regulaminów czy zapisów z polityki prywatności może skończyć się tragicznie – lepiej jest skonstruować te zapisy we współpracy z kancelarią.

2) Nie powinieneś informować użytkowników o szczegółach technicznych sposobu przetwarzania ich danych

RODO nakazuje udzielanie informacji w prosty i przejrzysty sposób. Jeżeli więc zamierzałeś dzielić się z użytkownikami dokładnymi informacjami na temat wykorzystywanych przez Ciebie systemów, a nawet stosowanych przez nie algorytmach, to nie rób tego. Zamiast tego poinformuj ich jasno o celu i granicach przetwarzania ich danych.

3) Nie powinieneś stosować rozbudowanych formułek prawniczych w formularzach

Zamiast tego najlepiej wyjaśnij wprost, do czego zamierzasz wykorzystywać dane; poproś o osobną zgodę na przetwarzanie w celach marketingowych, a osobną – na udostępnianie ich partnerom biznesowym w tych samych celach. Jeżeli natomiast nie dzielisz się tymi danymi, nie musisz też prosić o dodatkową zgodę na przetwarzanie ich w celu realizacji samej umowy.

Podsumowanie

Wbrew pozorom, RODO nie jest bardzo skomplikowaną regulacją. Jej sedno to bezpieczeństwo danych – zarówno naszych klientów, jak i naszych własnych (bo sami też na co dzień jesteśmy czyimiś klientami). Nikt z nas nie chce, żeby informacje na nasz temat były wykorzystywane i udostępniane w nieodpowiedni sposób; podobnie jest z naszymi klientami. RODO to narzędzie, które umożliwi pociągnięcie do odpowiedzialności prawnej podmiotów dopuszczających się nadużyć – wcześniej, niestety, w większości bezkarnych – oraz pozwoli dociągnąć stosowane w tej kwestii praktyki do bardzo wysokich unijnych standardów.

Pomimo tego – raz jeszcze – stanowczo odradzamy stosowanie jakichkolwiek „gotowych” rozwiązań (z rodzaju zapisów do skopiowania na stronę etc.). Każdy biznes jest inny – i każdy przetwarza dane inaczej. To, co ma zastosowanie do czyjejś działalności, niekoniecznie musi mieć zastosowanie do naszej. Wszelkie regulaminy i strony typu „Polityka prywatności” najlepiej opracowywać już we współpracy z prawnikiem. W przypadku małych i średnich przedsiębiorstw koszt nie jest duży, a spokój – bezcenny. W przypadku większych najbardziej powinniśmy przejmować się nie tyle budżetem, co kompleksowością i poprawnością wdrażanych zmian.

Na zakończenie warto dodać, że regulaminy na stronach internetowych powinny być aktualizowane regularnie przynajmniej raz na rok. Regulamin, który pisaliśmy z prawnikiem dwa lata temu, dziś najprawdopodobniej jest już nieaktualny. Prawo zmienia się bowiem często i w sposób znaczący. A RODO nie jest ani pierwszą, ani ostatnią unijną regulacją – raczej ogniwem dłuższego łańcucha. Łańcucha, którego kolejnym elementem będzie nadchodząca wielkimi krokami ustawa o e-Privacy (ePrivacy Regulation), pierwotnie mająca wejść w życie wraz z RODO, ale przeniesiona na 2019 r.