A A A

Ochrona danych osobowych - RODO

PC Format 7/2018
Unijne rozporządzenie o ochronie danych osobowych już obowiązuje. Niestety przed 25 maja wciąż budziło wątpliwości, a do Ministerstwa Cyfryzacji co chwilę dzwonili skonfundowani obywatele, którzy nie wiedzieli, czy w związku z RODO muszą coś robić lub co przepisy oznaczają dla ich małej firmy. Jeśli też masz z tym problem pomożemy. Michał Amielańczyk

Gdzie i kto?

RODO działa na terenie całej UE, tzn. chroni też np. interesy turystów spoza wspólnoty i nakłada obowiązki na firmy, które z kraju członkowskiego obsługują klientów za granicą, a także zagraniczne, które mają klientów w Unii. Właśnie dlatego wiele firm z USA, np. Kickstarter, przed 25 maja informowało Polaków o aktualizacji polityki prywatności. Inne mogą zacząć nas blokować.

Obowiązki nakładane przez RODO dotykają głównie firmy: administratorów danych osobowych – czyli tych, którzy decydują, po co i jak zbierane przez nich informacje będą przetwarzane – oraz wydzielone podmioty, które na zlecenie administratora przetwarzają dane na podstawie tzw. umowy powierzenia. RODO nie dotyczy używania danych na użytek prywatny i domowy, np. zebranych w osobistej książce adresowej.

Warto jednak wziąć pod uwagę, że zwykły obywatel też może przetwarzać dane, a w konsekwencji „łapać” się na zapisy RODO. Rozporządzenie do danych osobowych wlicza też wizerunek, więc np. fotograf zawodowo dokumentujący miejskie wydarzenia musi pamiętać, że praca ze zrobionymi zdjęciami to też przetwarzanie danych osobowych. Nie licząc nadal obowiązujących ustawowych wyjątków, gdy np. dana osoba jest tylko elementem tła, reporter oprócz poproszenia o zgodę na opublikowanie wizerunku powinien również poinformować, co jeszcze z nim zrobi.

Prawo do przenosin

Jeśli dane osobowe na nasz temat zbierane są w formie elektronicznej i przetwarza je automat, np. system zestawiający transakcje w sklepie, możemy od administratora danych żądać przesłania nam zbioru posiadanych przez niego informacji (patrz: ramka „Co wiedzą Google i Facebook?”). Dane muszą trafić do nas w formacie, który da się łatwo odczytać. Możemy też wnieść o przekazanie podobnej paczki innemu administratorowi. Dzięki temu unikniemy np. ponownego skanowania i osobistego dostarczania części dokumentów, jeśli zdecydujemy się założyć konto w innym banku.

Zalew informacji

Wśród przedsiębiorców emocje budzi tzw. obowiązek informacyjny. Katalog tego, o czym należy uprzedzać osoby przekazujące informacje, jest szeroki, co w połączeniu z otwartą definicją danych osobowych budzi wątpliwości. Kiedy administrator otrzymuje dostęp do czyichś danych, powinien tę osobę informować m.in. o swojej tożsamości, celu przetwarzania danych i podstawie prawnej tych działań, o tym, kto inny te dane otrzyma oraz jak długo informacje będą używane. Musi też przypomnieć o prawie wglądu do danych, ich modyfikowania, usuwania i przenoszenia (patrz: ramki „Prawo do bycia zapomnianym” i „Prawo do przenosin”). Jeśli zebrany materiał służy do profilowania – informuje o tym i wyjaśnia, jakie ma to konsekwencje, np. personalizowanie wyświetlanych reklam. Powinien też jasno określić, czy dane są mu niezbędne do realizacji usługi, np. wysłania kupionego w sklepie towaru, czy też posłużą do czegoś innego, np. do dystrybucji newslettera. Warto przy tym zachowywać zdrowy rozsądek – biorąc od kogoś wizytówkę, nie ma sensu referować mu tego, co z nią zrobimy (o ile nie dodamy delikwenta do ogólnofirmowej bazy), a zamiast automatycznych odpowiedzi na e-maile informujących o sposobie ich używaniu wystarczy krótki dopisek w stopce.

Niełatwa zgoda

RODO precyzuje akceptowalny sposób pozyskiwania zgody na przetwarzanie danych osobowych. Ta musi zostać udzielona aktywnie, np. poprzez wybór domyślnie odznaczonego pola formularza, a nie zaszyta w dokumencie, do którego prowadzi malutki napis „korzystanie z serwisu oznacza akceptację regulaminu”. Zgodę należy napisać jednoznacznie i zrozumiałym językiem, poza tym musi być ona dobrowolna, tzn. wykonanie usługi nie powinno zależeć np. od zgody na profilowanie reklamowe – jeśli firma oferuje „darmową” skrzynkę pocztową, bo zarabia na reklamach, powinna udostępnić wariant bez marketingowych dodatków, nawet jeśli będzie płatny. Oczywiście zgoda nie jest potrzebna, gdy bez przetworzenia danych w grę nie wchodzi wykonanie usługi (np. sprzedanie towaru) albo wymaga tego prawo. Poza tym jeśli sklep przetwarza informacje o zakupach, by np. przygotować reklamę pasującą do świątecznych preferencji kupujących i wkleić ją na stronę główną, nie wymaga to zgody, ale jeśli zechce ją rozsyłać mailowo – i owszem.

A skoro mowa była o profilowaniu, czyli np. zautomatyzowanym dobieraniu reklam na podstawie informacji z profilu i historii zakupów – RODO nakazuje powiadamiać o nim w ramach obowiązku informacyjnego. Jeśli jednak profilowanie będzie mieć poważniejsze skutki, bo np. automat sam odrzuca wnioski kredytowe na podstawie zebranych danych, też wymaga to zgody użytkownika.

Jeśli w przeszłości administrator zbierał już zgody na przetwarzanie danych i wyłożył kawę na ławę, podając wymagane dziś w RODO informacje oraz pozyskał zgodę w odpowiedniej formie, nie musi prosić o nią po raz kolejny. Uwaga: jeśli pytanie o zgodę znów się pojawia, może to być zarówno uczciwa chęć dostosowania się do zmienionego prawa, jak i próba pozyskania zgody, której wcześniej nie było. Na początku roku Tauron rozsyłał do swoich abonentów formularze służące do aktualizacji danych i „mimochodem” zachęcał do wyrażenia w nich całego szeregu zgód na przetwarzanie danych osobowych, w towarzyszącym liście sugerując potrzebę „niezwłocznego” odesłania dokumentu… ale gdzie indziej zaznaczał już, że wcale nie jest to konieczne. Sytuacją zainteresował się Główny Inspektor Ochrony Danych Osobowych.

Zgody dzieci

O ile podstawą przetwarzania danych osób poniżej 16. roku życia nie jest akceptacja regulaminu świadczenia usług drogą elektroniczną – np. zasad skierowanego do młodzieży komunikatora internetowego – wymagana jest zgoda rodzica lub opiekuna. Ministerstwo Cyfryzacji chciało obniżyć ten wiek do lat 13 – RODO na to pozwala – ale póki co tego nie zrobiło. W przypadku osób poniżej wskazanej granicy przetwarzanie dziecięcych danych aprobować ma rodzic lub opiekun, a administrator ma w „rozsądny” sposób taką zgodę weryfikować. Gdzie taki „rozsądek” się kończy? Przykład dał Microsoft, który uczciwych nieletnich prosił o zalogowanie się rodzica... po czym domagał się od takowego zweryfikowania karty płatniczej (czyli zapłacenia 2 złotych) albo przesłania skanu dowodu. Brzmi poważnie? A co mają powiedzieć dorośli ludzie, którzy wcześniej nie podali daty urodzenia albo wybrali nieprawdziwą? O czyją zgodę poproszą?


Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nie zapomnij o haśle!
21 czerwca 2022
Choć mogą się wydawać mało nowoczesne, hasła to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale także...


Artykuły z wydań

  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • 2016
  • 2015
  • 2014
  • 2013
  • 2012
  • 2011
  • 2010
  • 2009
  • 2008
  • 2007
Zawartość aktualnego numeru

aktualny numer powiększ okładkę Wybrane artykuły z PC Format 1/2022
Przejdź do innych artykułów
płyta powiększ płytę
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto