Wdrażanie RODO osięgnęło punkt kuluminacyjny. Do 25 maja zostało kilka dni. Niestety w pośpiechu zdarzają się czasami falstraty,  na które należy uważać. Dzisiaj opowiem o jednej takiej sytuacji ku przestrodze. Otrzymałam właśnie od kolejngo sklepu internetowego, w którym czasami kupuję wiadmość z prośbą “zaktualizuj swoje dane i pozostań na dłużej”. Ok. myślę chodzi o o aktualizację zgód marketingowych i czytam dalej.

Jak się domyślasz, oczywiście wszystko z powodu RODO. Treść wiadomości standardowo informująca, że od 25 maja 2018 r. rozpocznie się stosowanie nowego europejskiego prawa ochrony danych osobowych (RODO). I chodzi o aktualizację wyrażonej przeze mnie w przeszłości zgody na przetwarzanie danych w celach marketingowych.

Z treści listu dowiaduję się, że RODO zmienia reguły i sposoby zbierania i przechowywania danych i  oznacza to, iż w celu dalszego korzystania ze świadczonych przez sklep usług marketingowych (np. wysyłki Newslettera) dobrze by było, abym uaktualniła swoje dane, które sklep przetwarza.

No więc  dobrze, mmyślę, niech mają, uaktualnię im te dane. Dodatkowo może wykorzystam kupnon rabatowy, który za to uaktualnienie ofiarują.  Klikam w link “uaktualnij swoje dane” i przenoszę się na stronę główną, gdzie znajduję formularz zapisu na Newsletter. Zanim kliknę i uaktualnię jednak czytam, bo przecież trochę się na temacie znam i otóż znajduję najstępującą klauzulę:

  • Wyrażam zgodę na przetwarzanie moich danych osobowych w celu prowadzenia marketingu bezpośredniego za pośrednictwem poczty elektronicznej przez firmę XGZ, zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych oraz ustawą z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną.

Klauzula zgody na przetwarzanie w celach marketingowych odwołująca się do ustawy o ochronie danych osobowych z 1997 r. okazuje się być sporym zaskoczeniem wobec e-maila proszącego o uaktualnienie danych zgodnie z RODO, z którego to właśnie powodu wspomniana ustawa straciła swój żywot.

Mimo wszystko czytam dalej i wchodzę na formularz rejestracyjny i dalej również nie widzę żadnych aktualizacji zgodnych z RODO, wszystko “po staremu”. Stare błędy i wypaczenia i klauzule zgody w stylu:

  •  “Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do przeprowadzenia procesu rejestracji w sklepie internetowym oraz obsługi sprzedaży i procesów reklamacyjnych w ramach wymienionego sklepu (ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych, tekst jednolity: Dz.U. z 2002 r. nr 101, poz. 926, ze zm.)

Jak wiadomo obsługa sprzedaży towarów i realizacja składanych zamówień nie wymaga zgody osób, które nabywają towary. Tutaj podstawą przetwarzania jest niezbędność do wykonania umowy sprzedaży lub do podjęcia działań przed jej zawarciem.

Na marginesie wykorzystywanie zgody w celu dodatkowej legalizacji przetwarzania w sytuacji, gdy administrator dysponuje inną przesłanką przetwarzania danych w tym samym celu i zakresie jest co do zasady niedopuszczalne.

Okazuje się, że rozsyłanie takich wiadomości może być strzeleniem sobie samobójczego gola, kiedy zgodność z  RODO rozumie się jako obowiązek wysłania e-maila o tym, że coś takiego jak RODO wchodzi w życie i zmienia reguły, o czym my wiemy, wysyłamy więc radosne mailingi, bo przecież wszyscy to robią. I na tym koniec ze zgdnością z RODO.

Nie byłoby to może aż tak dziwne, bo jak wiadomo większość firm jeszcze nie wdrożyło RODO, ale chodzi o dość znaną i renomowaną polską firmę, która nie powinna pozwolić sobie na taki flastrat, jeśli chodzi o RODO.

Piszę  ku przestrodze, bo w mojej ocenie lepiej nie wysyłać nic, niż wysłać w świat coś, co może naszej firmie zaszkodzić. Niestety mogą znaleźć się tacy, którzy  takie błędy będą wyłapywać i wykorzystywać.

Jeśli coś wysyłamy w eter deklarując zgodność z RODO zadbajmy, aby te dekalracje nie były tak gołoslowne, jak w omawianym dzisiaj przypadku.

 

Zgodnie z RODO firmy zatrudniające mniej niż 250 osób zwolnione są z prowadzenia rejestru przetwarzania danych osobowych, za które odpowiadają. Jednakże od tej ogólnej zasady RODO przewiduje wyjątki.

Zwolnienie z obowiązku prowadzenia rejestru przetwarzania zgodnie z RODO nie będzie miało zastosowania gdy:

  • przetwarzanie może powodować ryzyko naruszenia praw i wolności
  • przetwarzanie nie ma charakteru sporadycznego
  • przetwarzanie obejmuje szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i czynów zabronionych.

Przepis na tyle niejasny, że Grupa Rrobocza art. 29, na skutek zgłaszanych wątpliwości, przeanalizowała obowiązek prowadzenia rejestru przetwarzania oraz wyjątki od niego i wydała  stosowne wytyczne.

W wytyczych GR Art. 29 podkreśla, że zgodnie z RODO trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny („lub”) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania.

Oznacza to, że przetwarzanie danych o stanie zdrowia na przykład w ramach indywidualnej praktyki lekarskiej przez jednego lekarza podlegać będzie obowiązkowi prowadzenia rejestru przetwarzania.

Zgodnie z RODO dane o stanie zdrowia należą do szczególnych kategorii danych osobowych, których przetwarzanie będzie implikowało obowiązek rejestrowania czynności przetwarzania.

I tak przetwarzanie danych o stanie zdrowia przez małe podmioty lecznicze, ale również przez na przykład salony kosmetyczne, odnowy biologicznej, rehabilitacji i inne podobne będzie objęte obowiązkiem prowadzenia rejestru przetwarzania.

Kolejnym przykładem będzie mała organizacja, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie, jak mówią wytyczne, takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania.

Generalnie zgodnie z wytycznymi grupy roboczej co do zasady małe firmy  dla wykazania zgodności z RODO, powinny prowadzić rejestr czynności przetwarzania.

Według grupy roboczej, realizacja  obowiązku rejestrowania czynności przetwarzania, nawet w przypadku małych firm nie powinna stanowić poważnego obciążenia. A organ nadzorczy powinien udostępnić uproszczony wzór rejestru dedykowanego dla małych i średnich firm.

GIODO przestrzega…

GIODO przestrzega, by z rozwagą korzystać z ofert podmiotów oferujących pomoc w przygotowaniu się do RODO.

“Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, by decydując się na usługi lub pomoc podmiotu zewnętrznego oraz dokonując wyboru oferty, zachować dużą ostrożność. Dotyczy to zwłaszcza przypadków, w których:

  • proponuje się kupno certyfikatów, zwłaszcza tych, które mają gwarantować, że legitymujący się nimi podmiot postępuje zgodnie z RODO, co uchroni go np. przed kontrolą ze strony urzędu,
  • żąda się przedstawienia określonych informacji lub dokumentów pod groźbą „oddania sprawy do GIODO, sądu i prokuratury”, a jednocześnie oferuje kupno produktów lub usług.

GIODO radzi, by firmy i instytucje, przygotowując się do osiągnięcia zgodności z nowymi przepisami, przed podjęciem decyzji o skorzystaniu z ofert podmiotów trzecich:

  • samodzielnie dokonały przeglądu swoich działań i zdefiniowały swoje potrzeby w zakresie ochrony danych osobowych – m.in. określiły, jakiego wsparcia potrzebują, jaką wiedzę chciałyby zdobyć podczas szkoleń czy warsztatów,
  • skrupulatnie weryfikowały firmy, które oferują swoje wsparcie i pomoc; sprawdzały, czy w ogóle istnieją, jaką mają wiarygodność i doświadczenie w problematyce ochrony danych osobowych,
  • dokładnie analizowały wszystkie informacje zawarte w otrzymywanych ofertach i nie podejmowały żadnych decyzji pochopnie, pod wpływem emocji.”

Popyt na określone towary czy usługi napędza podaż. No i podaż na usługi RODO oczywiście w przeddzień wejścia w życie rewolocujnych przepisów jest znacząca. Zatem z dnia na dzień rośnie liczba różnego rodzaju firm oferujących nawet “pod groźbą” swoje usługi na wdrożenie RODO.

Z dnia na dzień rośnie ilość różnych rozwiązań, narzędzi ułatwiających czy umożliwiających wdrożenie RODO samodzielnie. Oferta jest bardzo szeroka dostęp do portalu o RODO, aplikacji zarządzających systemem ochrony danych, sprzedaż gotowych zestawów wzorcowej dokumentacji, poradniki za kilkanaście złotych itd.itd.

PO pierwsze pośpiech jest złym doradcą, po drugie nie ma gotowych rozwiązań. Prawo ochrony danych osobowych jest prawem kontekstowym. Bez rozpoznania kontekstu przetwarzania nie da się zastosować żadnych wzroców poprawnie a żeby rozpoznać kontekst trzeba mieć i wiedzę i doświadczenie i koło się zamyka.

Takie najprostsze rozwiązania mogą mieć zastosowanie w najmniejszych organizacjach, gdzie kontekst przetwarzania danych osobowych jest nieskomplikowany. W innych przypadkach to utopia.

Problem też widzę po stronie firm, które chcą za tzw. grosze kupić spokój i kupując te wzorce stosują je bezkrytycznie nie dostosowując choćby w najmniejszym stopniu do swojego przypadku.

A potem krążą w obrocie wzory umów powierzenia opatrzone komentarzem “wzór dla kontrahentów, którzy nie chcą być administratorem” podczas kiedy jak wiemy ta kwestia  niezależna jest od chcenia lub niechcenia.

Upoważnienia do przetwarzania danych udzielane na czas określony i niewypowiadane w związku z ustaniem stosunków pracy czy zlecenia, bo instrukcja do wzoru o tym nie mówiła lub tej instrukcji w ogóle nie było.

I na koniec sądzę, że z czasem stosowania RODO zostaną opracowane pewne materiały czy narzędzia pomocne we wdrażaniu RODO przez różne branże, jednak w tym momencie takich gotowych rozwiązań godnych zarekomendowania jest naprawdę bardzo niewiele.

 

Kamery w miejscach pracy to dla pracowników codzienność. Jednakże ich obecność mimo wszystko wzbudza w pracownikach emocje. Trudno się dziwić, świadomość, że jest się obserwowanym wywołuje uzasadniony dyskomfort.

Czy kamery są dozwolone, w jakich miejscach, na jakich zasadach. Dotychczas brakowało przepisów prawa, które w spoósb kompleksowy regulowałyby tę istotną kwestię. Niemniej jednak stosowanie video monitoringu w miejscach pracy często jest koniecznością. Dotąd brakowało przepisów prawnych regulujących stosowanie monitoringu wizyjnego.

Dotychczas powoływano się na ogólne przepisy o ochronie danych osobowych czy orzecznictwo Europejskiego Trybunału Praw Człowieka.

Aktualnie procesowana w sejmie ustawa o ochronie danych osobowych wprowadza reguluacje dotyczące stosowania monitoringu w miejscach pracy.

Każdy pracodawca będzie mógł wprowadzić u siebie monitoring, jeśli będzie to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia, lub kontroli produkcji, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni.

Co ważne w przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych.

Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania.

Nowe przepisy będą stanowiły dla pracodawców ustawowe uprawnienie do przetwarzania danych osobowych zbieranych w ramach stosowania monitoringu. Oznacza, że na stosowanie monitoringu nie będzie wymagana odrębna zgoda pracowników.

Przejść na zgodność z RODO

Do rozpoczęcia stosowania RODO pozostało 15 dni i już  pewne jest, że na czas zdąży niewielka liczba podmiotów.

W przeddzień rozpoczęcia stosowania RODO zastanawiam się jaki będzie efekt tych wdrożeń biorąc pod uwagę fakt, że firmy generalnie bagatelizowały ochronę danych osobowych w erze przed RODO. I można by powiedzieć, że to nic, bo przecież łatwo da się to naprawić, wystarczy zmienić podejście i sumiennie przygotować się teraz do RODO, uporządkować stare procesy.

Czy jednak jest to łatwe zadanie?

Z mojego doświadczenia wynika, iż przygotowanie firmy na wdrożenie RODO i doprowadzenie jej do stanu zgodności z prawem może być nie lada wyzwaniem a dodatkowo firmę może skutkować wstrzymaniem procesu przetwarzania, którego nie da się uzdrowić.

Aktualnie  zastanawiamy się czy dotychczasowe zgody pozostaną aktualne czy należy ponownie wykonać obowiązki informacyjne i tym podobnie. Należy jednak pamiętać, iż porządkowanie sfery ochrony danych osobowych, bardzo wiele firm rozpoczyna od stanu zerowego. W takich przypadkach  to zastanawianie się na niewiele się zda, gdy firma nigdy dotąd żadnych zgód nie pozyskiwały ani też żadnych obowiązków informacyjnych nie wykonywały.

W takich ciężkich RODO-przypadkach normą są dylematy w rodzaju jak zalegalizować przetwarzanie danych, pozyskać zgodę czy nie, a jeśli nie to na jakiej podstawie  przetwarzać dalej dane, które są w dalszym ciągu potrzebne. Wypadałoby przynajmniej, jeśli znajdzie się podstawa do takiego przetwarzania, poinformować podmioty danych zgodnie z wymaganiami RODO. Jednak nie zawsze będzie to możliwe do realizacji.

Grupa robocza art. 29  w wytycznych dotyczących zgody wyraża stanowisko, że jeżeli istniejące procedury uzyskania zgody i zarządzania zgodą nie spełniają standardów RODO, administratorzy będą musieli uzyskać nową zgodę zgodną z RODO. Oznacza, że jeśli przetwarzanie odbywało się w ogóle bez zgody to tym bardziej bezwzględnie powinna być ona pozyskana zgodnie z RODO.

A co w przypadku, gdy jest to z różnych powodów niemożliwe. Zgodnie z wytycznymi należy ocenić czy aktualne przetwarzanie może być oparte na innych podstawach np. prawnie uzasadnionych interesach administratora lub strony trzeciej lub jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Zgodnie z wytycznymi taka sytuacja może mieć miejsce jedorazowo, aby umożliwć przejście od stosowania dyrektywy do stosowania RODO.

I na koniec z w/w wytycznych rzecz najistotniejsza:

“Jeżeli administrator nie jest w stanie odnowić zgody w sposób zgody z prawem i nie jest także w stanie przejść do zachowania zgodności z RODO, opierając przetwarzanie danych na innej podstawie prawnej, przy jednoczesnym zapewnieniu, że kontynuowane przetwarzanie będzie rzetelne i rozliczalne, czynności przetwarzania muszą być wstrzymane.”

W mojej ocenie takie dylematy w przypadku wielu wdrożeń są normą jak przejść do zachowania zgodności z RODO bez wstrzymywania procesów przetwarzania.

Z drugiej strony jest cała masa wdrożeń w oparciu o dostępne w bogatej już RODO-ofercie wzory dokumentów lub procedur, gdzie świadmość administratora danych pozostanie niezmącona sygnalizowanymi w niniejszym artykule dylematami. No ale to już inna bajka.

 

RODO – Brak ulg dla sektora MŚP

Wiele mówiło się o o ulgach dla najmniejszych firm, wiele też w tym zakresie powstało mitów, które krążą nadal mimo, że po ulgach nie ma śladu.

Projekt ustawy o ochronie danych osobowych, który trafił pod obrady sejmu nie zawiera już specjalnych ulg i zwolnień z niektórych obowiązków RODO dla namjniejszych firm.

Jaki będzie ostateczny kształt ustawy o ochronie danych osobowych zadecyduje Sejm i Senat już niebawem, co ostatecznie przesądzi kilka ważnych kwestii wokół których krążą mity.

Projekt ustawy o ochronie danych osobowych związany z wdrażaniem do polskiego porządku prawnego RODO, został przyjęty na Komitecie Stałym Rady Ministrów i znowu niespodzianka dla sektora MŚP.

Ostatnia wersja przepisów przewidywała ograniczenia stosowania RODO dla MŚP. Ograniczenia dotyczyły  czterech przepisów RODO w szczególności w zakresie realizacji obowiązków informacyjnych. Co najistotniejsze zmiany te miały dotyczyć przedsiębiorców zatrudniających nie więcej niż  250 pracowników. Oznaczało to objęcie ulgą ogromnej rzeszy przedsiębiorców w tym sektorze.

Ostatnie informacje są zasadniczo odmienne, gdyż ograniczenia w stosowaniu RODO (w zakresie trzech – wcześniej czterech – przepisów prawa) będą dotyczyły przedsiębiorców, którzy zatrudniają do 9 osób a więc zakres podmiotowy zwolnienia uległ diametralnej zmianie.

I na koniec ważna uwaga, gdyż te rzeczy są mylone. Ograniczenia dotyczą zaledwie kilku obowiązków z całego zakresu, które nakłada na firmy RODO a często podawana jest informacja jakoby sektor MŚP był w ogóle wyłączony spod reżimu RODO, co jest oczywistą nieprawdą.

 

W Niemczech nad Facebookiem czarne chmury, a to za sprawą sądu, który uznał, że domyślne ustawienia Facebooka związane z udostępnianiem danych są nielegalne. Częściowo nieważna jest też zgoda na wykorzystywanie danych.

Wspomniany wyrok zapadł jeszcze przed ostatecznym rozpoczęciem stosowania RODO, co oznacza, iż rzeczywiście wchodzimy w nową erę ochrony danych osobowych. Jest to, jak powtarzam proces, który postępuje powoli, ale postępuje.

Czas, gdy amerykańskie giganty oferujące usługi obywatelom całego świata w tym Europy, nie zawsze respektowały ustawodawstwo europejskie, odchodzi w przeszłość.

Każda firma, niezależnie od tego, gdzie znajduje się jej  siedziba, będzie podlegała RODO, jeśli tylko będzie oferowała towary lub usługi na terytorium państw UE.

Jak podaje praca Facebook odwołał się od wyroku sądu niemieckiego więc na ostateczne rozstrzygnięcie trzeba jeszcze poczekać. Jednakże osobiście nie spodziewałabym się złagodzenia wyroku dla FB, ale nie przesądzajmy faktów.

Przewodnik po RODO

Koordynator d/s reformy prawa i ochrony danych osobowych dr Maciej Kawecki dwoi się i troi, występuje, tłumaczy, uświadamia, ale jak badania wykazują świadomość RODO i tak jest mała. Dlaczego?

W mojej ocenie wzrost świadomości to będą lata a nie miesiące i jak się okazuje lata, gdy RODO będzie już stosowane, gdyż aktualnie w okresie przejściowym niewiele firm szczególnie z sektora MŚP w ogóle interesuje się tematem.

Okazuje się, że do RODO zostało niecałe 4 miesiące a badania wykazują, iż świadomość tej reformy jest wciąż mała, co oznacza, że właściwie większość firm  wejdzie w erę RODO zupełnie do niego nieprzygotowana.

Jak widać nawet widmo milionowych kar nie sprawiło zmiany podejścia to ochrony danych osobowych. Wieloletnie lekceważenie tego tematu nawet w obliczu kar, zbiera swoje żniwo w postaci braku zainteresowania i realnych chęci do naprawienia stanu dotychczasowego.

Z okazji Dnia Ochrony Danych Osobowych, Ministerstwo Przedsiębiorczości i Technologii opublikowało Przewodnik po RODO dla małych i średnich przedsiębiorców, w celu uświadomienia firm o reformie i wynikających z niej konsekwencjach. Autorem Przewodnika jest dr Paweł Litwiński, zachęcam do pobierania, czytania i stosowania.

Link do przewodnika: https://www.facebook.com/BartaLitwinski/posts/2045944049024334.

 

Ostatnio gorącym tematem stały się rzekome wyłączenia w zakresie stosowania obowiązków informacyjnych przewidzianych w RODO dla MŚP. Wyłączenia ma wprowadzić krajowa ustawa o ochronie danych osobowych, która aktualnie jest procedowana.

Informację podały media w taki sposób, że powstało zamieszanie wokół MŚP i w ogóle ich podlegania pod reżim RODO. Jednakże omawiana kwestia dotyczyła nie wszystkich obowiązków przewidzianych w RODO a jedynie obowiązków informacyjnych ciążących na administratorze danych.

Niemniej jednak z punktu widzenia osób, których dane są przetwarzane i zasady przejrzystości przetwarzania danych, obowiązki informacyjne mają kluczowe znaczenie. Podmiot, który nie wie kto, w jakim celu oraz na jakiej podstawie przetwarza jego dane nie ma szans na należytą ochronę a także korzystanie z przyznanych mu praw.

Wszyscy eksperci byli zgodni, iż całkowite wyłączenie jest niezgodne z RODO, gdyż godzi w istotę prawa do ochrony danych osobowych. Niepewność jednak została skutecznie zasiana.

Zamieszanie woków w/w kwestii zaowocowało wydaniem  wspólnego oświadczenia MC i MPiT pt. Stosowanie przepisów RODO do MŚP.

W oświadczeniu czytamy:

“W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii, MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2.  MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).”

Reasumując nie ma mowy o wyłączeniu obowiązków informacyjnych dla sektora MŚP a jedynie o ich ograniczeniu. Najważniejsze informacje wymagane przez RODO, każdy przedsiębiorca należący do sektora MŚP, będzie zobowiązany przekazać podmiotowi danych a w przypadku niewywiązania się z tego obowiązku niewątpliwie narazi się na sankcje karne.