kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Latest Posts

Czy Facebook nielegalnie wykorzystuje dane osobowe

W Niemczech nad Facebookiem czarne chmury, a to za sprawą sądu, który uznał, że domyślne ustawienia Facebooka związane z udostępnianiem danych są nielegalne. Częściowo nieważna jest też zgoda na wykorzystywanie danych.

Wspomniany wyrok zapadł jeszcze przed ostatecznym rozpoczęciem stosowania RODO, co oznacza, iż rzeczywiście wchodzimy w nową erę ochrony danych osobowych. Jest to, jak powtarzam proces, który postępuje powoli, ale postępuje.

Czas, gdy amerykańskie giganty oferujące usługi obywatelom całego świata w tym Europy, nie zawsze respektowały ustawodawstwo europejskie, odchodzi w przeszłość.

Każda firma, niezależnie od tego, gdzie znajduje się jej  siedziba, będzie podlegała RODO, jeśli tylko będzie oferowała towary lub usługi na terytorium państw UE.

Jak podaje praca Facebook odwołał się od wyroku sądu niemieckiego więc na ostateczne rozstrzygnięcie trzeba jeszcze poczekać. Jednakże osobiście nie spodziewałabym się złagodzenia wyroku dla FB, ale nie przesądzajmy faktów.

Przewodnik po RODO

Koordynator d/s reformy prawa i ochrony danych osobowych dr Maciej Kawecki dwoi się i troi, występuje, tłumaczy, uświadamia, ale jak badania wykazują świadomość RODO i tak jest mała. Dlaczego?

W mojej ocenie wzrost świadomości to będą lata a nie miesiące i jak się okazuje lata, gdy RODO będzie już stosowane, gdyż aktualnie w okresie przejściowym niewiele firm szczególnie z sektora MŚP w ogóle interesuje się tematem.

Okazuje się, że do RODO zostało niecałe 4 miesiące a badania wykazują, iż świadomość tej reformy jest wciąż mała, co oznacza, że właściwie większość firm  wejdzie w erę RODO zupełnie do niego nieprzygotowana.

Jak widać nawet widmo milionowych kar nie sprawiło zmiany podejścia to ochrony danych osobowych. Wieloletnie lekceważenie tego tematu nawet w obliczu kar, zbiera swoje żniwo w postaci braku zainteresowania i realnych chęci do naprawienia stanu dotychczasowego.

Z okazji Dnia Ochrony Danych Osobowych, Ministerstwo Przedsiębiorczości i Technologii opublikowało Przewodnik po RODO dla małych i średnich przedsiębiorców, w celu uświadomienia firm o reformie i wynikających z niej konsekwencjach. Autorem Przewodnika jest dr Paweł Litwiński, zachęcam do pobierania, czytania i stosowania.

Link do przewodnika: https://www.facebook.com/BartaLitwinski/posts/2045944049024334.

 

Ograniczenie obowiązków informacyjnych dla MŚP

Ostatnio gorącym tematem stały się rzekome wyłączenia w zakresie stosowania obowiązków informacyjnych przewidzianych w RODO dla MŚP. Wyłączenia ma wprowadzić krajowa ustawa o ochronie danych osobowych, która aktualnie jest procedowana.

Informację podały media w taki sposób, że powstało zamieszanie wokół MŚP i w ogóle ich podlegania pod reżim RODO. Jednakże omawiana kwestia dotyczyła nie wszystkich obowiązków przewidzianych w RODO a jedynie obowiązków informacyjnych ciążących na administratorze danych.

Niemniej jednak z punktu widzenia osób, których dane są przetwarzane i zasady przejrzystości przetwarzania danych, obowiązki informacyjne mają kluczowe znaczenie. Podmiot, który nie wie kto, w jakim celu oraz na jakiej podstawie przetwarza jego dane nie ma szans na należytą ochronę a także korzystanie z przyznanych mu praw.

Wszyscy eksperci byli zgodni, iż całkowite wyłączenie jest niezgodne z RODO, gdyż godzi w istotę prawa do ochrony danych osobowych. Niepewność jednak została skutecznie zasiana.

Zamieszanie woków w/w kwestii zaowocowało wydaniem  wspólnego oświadczenia MC i MPiT pt. Stosowanie przepisów RODO do MŚP.

W oświadczeniu czytamy:

“W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii, MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2.  MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).”

Reasumując nie ma mowy o wyłączeniu obowiązków informacyjnych dla sektora MŚP a jedynie o ich ograniczeniu. Najważniejsze informacje wymagane przez RODO, każdy przedsiębiorca należący do sektora MŚP, będzie zobowiązany przekazać podmiotowi danych a w przypadku niewywiązania się z tego obowiązku niewątpliwie narazi się na sankcje karne.

Osoby fizyczne prowadzące działalność gospodarczą pod ochroną RODO

Ochrona danych osobowych osób fizycznych prowadzących działalność gospodarczą w polskim porządku prawnym miała różne oblicza od wyłączenia tych danych spod reżimu ustawy po całkowitą ich ochronę.

Wiele osób zastanawia się jak ta kwestia będzie wyglądała w świetle RODO w szczególności, iż RODO wyraźnie wyłącza osoby prawne. Rozporządzenie stanowi, że jego przepisy nie znajdują zastosowania do oznaczeń osób prawnych.

Osoby fizyczne prowadzące działalność gospodarczą w polskim porządku prawnym nie są osobami prawnymi. Według wyjaśnienia tej kwestii przez KE “jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.”

Taka też była interpretacja krajowa po wykreśleniu art. 39 b ustawy o swobodzie działalności gospodarczej, który regulował zakres podlegania osób fizycznych prowadzących działalność pod reżim ustawy o ochronie danych osobowych. Komisja potwierdziła tę interpretację.

Wracamy więc do sytuacji, w której dane osobowe osób fizycznych prowadzących działalność podlegają w całości pod RODO

Solidarna odpowiedzialność w RODO

Każda osoba, która poniesie szkodę majątkową lub niemajątkową w wyniku naruszenia  RODO ma prawo uzyskać od administratora lub procesora odszkodowanie za poniesioną szkodę.

Nie tak dawno, jeszcze w aktualnym stanie prawnym, zapadł głośny wyrok, w którym SN orzekł odpowiedzialność administratora danych osobowych, mimo, iż ten powierzył przetwarzanie danych osobowych profesjonalnej firmie a szkoda na osobie powstała podczas wykonywania usług przez procesora.

Sądy orzekające w omawianej sprawie nie do końca wiedziały jak ugryźć problem. Sprawa dotyczyła bezprawnego ujawnienia na portalu internetowym pliku graficznego zawierającego skan dowodu osobistego powoda. Kopia dowodu osobistego została przez powoda udostępniona pozwanemu operatorowi telekomunikacyjnemu w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych.

Skan dowodu osobistego skarżącego powoda wyciekł do internetu. Co istotne został umieszczony na portalu internetowym i opatrzony obraźliwym komentarzem. Sprawa znalazła swój finał w sądzie. Skarżący na podstawie art. 415 k.c. żądał od operatora sieci komórkowej zapłaty wielomilionowego zadośćuczynienia w związku z naruszeniem dóbr osobistych  w postaci: godności, wizerunku i prawa do prywatności, w tym prawa do ochrony danych osobistych.

Sąd okręgowy uznał, że doszło do naruszenia dóbr osobistych powoda  w ten sposób, że pozwana jako administrator danych osobowych dopuściła do ich przetworzenia – awersu jego dowodu osobistego – przez nieupoważnione do tego osoby, na stronie portalu internetowego. Uznał też, że pozwanej nie zwalnia od odpowiedzialności zlecenie administrowania bazą danych podmiotowi profesjonalnemu.

Sąd apelacyjny jako sąd drugiej instancji  oddalił powództwo uznając, iż pozew został wniesiony przeciwko podmiotowi, który nie powinien być pozwanym w zainicjowanym procesie, gdyż czynu niedozwolonego wobec powoda dopuszczono się, gdy bazą danych klientów pozwanej  zarządzał podwykonawca (procesor).

Sąd Apelacyjny  na podstawie art. 429 w związku z art. 415 k.c. uznał, że pozwana skutecznie zwolniła się od odpowiedzialności, powierzając obowiązki przetwarzania podmiotowi zawodowo trudniącemu się wykonywaniem powierzonych czynności. Ustalono bowiem, iż wyciek skanu dowodu nastąpił, gdy bazą zarządzał podwykonawca wykonujący na rzecz pozwanej usługi call center.

Sprawa ostatecznie znalazła się przed Sądem Najwyższym, który zważył, co następuje i orzekł, iż pozwana nie może uwolnić się od odpowiedzialności cywilnej przez zastosowanie ogólnego przepisu, jakim jest art. 429 k.c.

Sąd Najwyższy orzekł ponadto, iż administrator danych osobowych, będący firmą telekomunikacyjną odpowiada na podstawie art. 415 k.c. za własną winę wobec klienta – strony umowy o świadczenie usług telekomunikacyjnych, jeżeli nadużył zaufania tego klienta, powierzając bez jego zgody i wiedzy wykonywanie części umówionych usług osobie trzeciej – profesjonalnej firmie, która dopuściła do przetworzenia przez nieupoważnione osoby jego danych.

Powyżej przytoczone konkluzje wyroku Sądu Najwyższego odbiły się szerokim echem oraz były komentowane przez prawników specjalizujących się w prawie ochrony danych osobowych na łamach prasy i grup dyskusyjnych. Aktualnie obowiązujące przepisy dla skutecznego i legalnego powierzenia danych do przetwarzania nie wymagają bowiem zgody podmiotów danych. Nie wymagają takiej zgody również przepisy RODO.

W związku z powszechnym w obrocie gospodarczym, korzystaniem przez firmy z outsourcingu usług, powierzanie danych do przetwarzania stało się naturalną koniecznością. Na powierzenie danych w związku z outsourcingiem usług administratorzy danych nie pozyskują dodatkowych zgód od podmiotów danych. W tym kontekście wywód SN o braku zgody klienta na powierzenie jego danych osobowych musi szokować.

RODO przychodzi z pomocą i dylematy takie, jak dokładnie te, z którymi mierzyły się sądy orzekające w opisywanej sprawie, czyli kto odpowiada za szkodę wyrządzoną podmiotowi danych i na jakiej podstawie nie powinny już mieć miejsca. RODO wprowadza bowiem solidarną odpowiedzialność administratora oraz procesora.

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub procesor   ponoszą  oni odpowiedzialność solidarną za całą szkodę spowodowaną przetwarzaniem, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

Solidarna odpowiedzialność ułatwi dochodzenie roszczeń podmiotom danych, ułatwi też życie sądom, które nie będą musiały rozstrzygać kwestii który z podmiotów posiada legitymację, aby być pozwanym. Jednakże nie rozwiąże ona problemów podmiotom przetwarzającym dane czyli administratorowi i procesorowi.

Administrator lub podmiot przetwarzający, który  zapłaci odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

I tutaj moim zdaniem zacznie się zabawa. Aktualnie umowy regulujące świadczenie usług, z którymi związane jest powierzenie ale także udostępnianie danych do przetwarzania często są bardzo enigmatyczne z reguły cytując wprost przepisy prawa. Są i takie, które  powierzenia nie regulują w ogóle lub wprowadzają tam, gdzie ono nie występuje. Dochodzi jeszcze powszechne mylenie powierzenia z udostępnieniem i odwrotnie.

Koniec końców może być tak, że ten podmiot, który zostanie pozwany jako pierwszy może mieć  trudne zadanie, aby odzyskać od innych podmiotów uczestniczących w procesie przetwarzania, część zapłaconego odszkodowania z wyjątkiem spraw oczywistych.

Wobec solidarnej odpowiedzialności przewidzianej w RODO, podmioty uczestniczące w procesie przetwarzania, w sposób przejrzysty i konkretny, powinny określić i zdefiniować odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. W przypadku dochodzenia przez podmioty przetwarzające ewentualnych roszczeń regresowych takie umowy mogą mieć nieocenione znaczenie.

 

 

Nowe przepisy o ochronie danych osobowych – konferencje, spotkania, debaty …

Na stronie GIODO zegar odlicza czas do 25 maja 2018 r. przypominając, że czas upływa i na dostosowanie się do wymogów RODO jest go coraz mniej.

W temacie reformy ochrony danych osobowych mówi się coraz więcej w szczególności na szkoleniach, konferencjach, ale coraz więcej też o reformie słychać w różnych mediach. W tym tygodniu pojawiły się projekty przepisów krajowych regulujące kwestie pozostawione państwom członkowskim do szczegółowego określenia. Mamy więc projekt nowej ustawy o ochronie danych osobowych oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych.

W jakim więc punkcie jesteśmy rzeczywiście i czy proces przygotowywania się do RODO można uznać za ogólnie zaawansowany. Okazuje się, że na tak postawione pytanie nie ma jednoznacznej odpowiedzi.

Na jednej z ostatnich konferencji tematycznych poświęconej projektom nowych przepisów krajowych  wybrzmiało kilka interesujących kwestii, z którymi nie sposób się nie zgodzić. Podzielę się niektórymi z nich.

Zagadnienia stanu przygotowania przedsiębiorców do RODO komentowali zaproszeni na konferencję przedstawiciele MAC, GIODO a także prawnicy praktycy i inni eksperci, którzy na co dzień zajmują się pomocą w porządkowaniu obszaru ochrony danych osobowych. Byli oni zgodni co do jednego, że stan przygotowania w firmach jest bardzo zróżnicowany.

Są organizacje, które od miesięcy analizują procesy związane z przetwarzaniem danych w celu należytego ich rozpoznania i doprowadzenia do stanu zgodności. Są też takie, które takich działań nie rozpoczęły. Czyli mamy całe spektrum możliwości, jeśli chodzi o stan przygotowań.

Według jednego z ekspertów organizacja, która nie rozpoczęła jeszcze w ogóle  porządkowania obszaru ochrony danych osobowych, może już nie zdążyć, aby do 25 maja 2018 r. dostosować się w sposób należyty.  Osobiście zgadzam się z tak postawioną tezą. Jako prawnik praktyk, który na co dzień obserwuje obszary związane z ochroną danych osobowych w różnych organizacjach, widzę jak często jest to obszar zapomniany.

Uczestniczący w konferencji dr. Sibiga stwierdził, iż proces, który powinien aktualnie toczyć się w organizacjach nie jest tak naprawdę procesem dostosowawczym do RODO a często jest to proces naprawczy mający na celu naprawienie tych wszystkich uchybień i niezgodności z dotychczas obowiązującym prawem. W moje ocenie brak zgodności z dotychczasowym prawem to meritum problemu , jeśli chodzi o dostosowanie się do wymogów RODO.

Trudno bowiem dostosowywać organizację w zakresie nieznanych dotychczas instytucji, gdy procesy przetwarzania danych osobowych zawierają podstawowe niezgodności na przykład w zakresie zapewnienia legalności przetwarzania danych.

O RODO mówi się często jako o rewolucji w ochronie danych osobowych, ale jest to pewne uogólnienie związane z nowym podejściem do ochrony danych i wyjątkowo wysokimi karami. RODO jednak w znaczącej części pokrywa się z dotychczas obowiązującymi przepisami o ochronie danych osobowych. Podstawowe instytucje, zasady oraz pojęcia dotychczasowych regulacji zostały zachowane. Pojawiły się co prawda nieznane czy nie wyartykułowane wcześniej instytucje prawne i one aktualnie są głównym przedmiotem analiz i debat.

Jak wiadomo GIODO  nie miał ani możliwości ani środków, aby zapewnić egzekwowanie przepisów ustawy o ochronie danych osobowych. Stan faktyczny był więc taki, że większość administratorów danych nie zapewniała zgodności przetwarzania danych z przepisami.

Wyobraźmy sobie znaczną organizację, z rozbudowaną strukturą prawną i organizacyjną, z wieloma procesami przetwarzania danych, dużym systemem informatycznym i brak odniesienia do wymogów obowiązującej od dwudziestu już lat polskiej ustawy o ochronie danych osobowych.

Każdy prawnik, który zetknął się z taką organizacją chociaż raz wie, że proces naprawczy w takiej organizacji jest żmudny, problematyczny i często bardzo kosztowny.

Przedstawiciel GIODO obecny na konferencji rozwiewał krążące mity, że po 25 maja 2018 r. będzie jeszcze czas na udzielanie upomnień a nie czas kar jak również i ten, że od pierwszego dnia będą wymierzane kary w najwyższym wymiarze. Komunikat był czytelny czas na dostosowanie do RODO właśnie płynie a potem już nie jest przewidywany jakiś dodatkowy okres przejściowy. Nie oznacza to z drugiej strony nastawienia na karanie od 25 maja 2018 r., ale też i tego nie wyklucza.

Pojawiły się też uzasadnione w mojej opinii, uwagi pod adresem GIODO za jego zbyt małą aktywność i pomoc w zakresie udzielania przedsiębiorcom konkretnych wskazówek i wytycznych, dotyczących nowych rozwiązań prawnych. Wskazywano na dużo większą aktywność w tym zakresie innych europejskich organów ochrony danych osobowych, co jest zgodne z prawdą.

I tak na koniec. Z moich doświadczeń wynika, iż większość firm zupełnie nie zdaje sobie sprawy, iż proces dostosowawczy czy proces naprawczy w obszarze przetwarzania danych wymaga czasu, pracy i kosztów. Wśród wielu przedsiębiorców panuje wręcz przeświadczenie, że proces naprawczy w tym obszarze nie może zająć dużo czasu. Trudno im pojąć, iż ustalenie stanu zgodności jest pracochłonne i czasochłonne.

Temat jest niszowy i aktualnie wciąż jeszcze panuje ogólny brak świadomości w temacie o co tak naprawdę chodzi z tymi danymi osobowymi i o co tyle hałasu.