Ochrona danych osobowych - RODO

Na początek uwaga: RODO i znowelizowana polska ustawa o ochronie danych osobowych weszły w życie dzień po zamknięciu tego wydania „PC Formatu”. Biorąc pod uwagę niejasności i mity narosłe wokół nowych, ogólnie sformułowanych przepisów, a także opóźniające się prace nad dodatkową ustawą, która na dobre wdroży RODO poprzez modyfikację wielu innych polskich aktów prawnych, rzeczywiste skutki zmian dopiero poznamy.

Od 25 maja 2018 roku w Unii Europejskiej stosuje się Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (ang. General Data Protection Regulation, GDPR).
RODO reguluje zasady przetwarzania danych osobowych, czyli wykonywania dowolnych operacji (zbierania, analizowania, przesyłania, a nawet po prostu przechowywania) na wszelkich informacjach o możliwej do zidentyfikowania osobie fizycznej. W praktyce oznacza to więc nie tylko imię i nazwisko człowieka czy adres e-mail, ale także adres IP, historię zakupów w sklepie internetowym, a nawet utrwalony gdzieś zestaw informacji o wierze czy poglądach politycznych.

Celem rozporządzenia jest wzmocnienie ochrony danych, które przekazujemy na żywo i korzystając z sieci. Powinniśmy mieć dzięki niemu lepszą kontrolę nad tym, kto posiada i do czego używa informacji na nasz temat. Ma pozwolić na zmniejszenie skali zjawisk takich jak kradzieże tożsamości i handel danymi, a w konsekwencji np. niechciane newslettery i dziwne telefony z zaproszeniami na pokazy garnków.

Oprócz RODO od 25 maja w Polsce obowiązuje nowa ustawa o ochronie danych osobowych, która m.in. Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpiła Prezesem Urzędu Ochrony Danych Osobowych (PUODO) – nowy organ przejął kompetencje starego. Ustawa zmieniła też część innych przepisów, np. dodała do kodeksu pracy zapis zezwalający na kontrolę sposobu używania poczty i komunikatorów pracowniczych przez pracodawcę, choć z poszanowaniem tajemnicy korespondencji.

Zarówno zwykłym czytelnikom, jak i pracownikom przedsiębiorstw bez armii prawników i informatyków, polecamy przeczytanie całości artykułu – i pamiętanie, że musieliśmy dokonać w nim wielu skrótów i uproszczeń. Osobista lektura RODO nie zaszkodzi, natomiast w telegraficznym skrócie plan działania wygląda tak:

Jeśli twoje dane są przetwarzane:
- Poświęć chwilę na przejrzenie zasad prywatności i zgód na przetwarzanie danych osobowych, które zaakceptowałeś (lub będziesz akceptować). Muszą być jednoznaczne i napisane zrozumiałym językiem.
- Jeśli nie jesteś pewien, co dana firma lub serwis o tobie wie, poproś o przesłanie ci zestawu twoich danych osobowych, w posiadanie których weszła. Musi to zrobić.
- Jeśli coś nie gra, możesz zmodyfikować dotyczące ciebie dane, wycofać niepotrzebne zgody, a nawet zażądać całkowitego usunięcia swoich danych z bazy – choć w niektórych sytuacjach firma może odmówić.
- Jeśli jesteś przekonany, że firma narusza gwarantowane ci przez RODO prawa, powiadom Urząd Ochrony Danych Osobowych.

Jeśli przetwarzasz dane:
- Zweryfikuj, czy nie gromadzisz danych już niepotrzebnych albo takich, na których zbieranie nie było zgody. Nie zbieraj danych „na zapas”!
- Upewnij się, czy zbierając dane osobowe, informujesz o wszystkich aspektach ich przetwarzania, które wymienia RODO.
- Sprawdź, czy sposób wyrażania zgód na przetwarzanie przez ciebie danych osobowych nie narusza przepisów RODO.
- Oceń ryzyko związane z przetwarzaniem przez siebie danych i zadbaj o odpowiednie zabezpieczenia.
- Stwórz rejestr czynności dotyczących przetwarzania danych osobowych i wybierz – jeśli firma tego potrzebuje, bo np. przetwarzanie danych osobowych to trzon działalności – inspektora danych osobowych.
- Polską wersję RODO można pobrać ze strony: http://pcformat.pl/u/3232

Nową ustawę o ochronie danych osobowych znajdziesz tu: http://pcformat.pl/u/3235

Do najważniejszych praw, które przyznaje nam RODO, należy tzw. prawo do bycia zapomnianym. Każdy może zażądać od podmiotu, który przetwarza jego dane osobowe, całkowitego usunięcia danych – zwykle po prostu na podstawie wycofania wyrażonej kiedyś zgody lub dlatego, że już nie są one potrzebne do wskazanego przy ich zbieraniu celu. Administrator danych powinien również przekazać takie żądanie wszelkim firmom, którym te dane przekazał – o ile będzie to wykonalne np. bez nadmiernych kosztów. Może też odmówić „zapomnienia” o nas m.in. w sytuacjach, gdy dalszego przetwarzania danych wymaga prawo (np. obowiązek realizacji gwarancji) albo jest to potrzebne, by móc dochodzić roszczeń po tym, jak nie zapłaciliśmy za zamówiony i otrzymany produkt.

RODO działa na terenie całej UE, tzn. chroni też np. interesy turystów spoza wspólnoty i nakłada obowiązki na firmy, które z kraju członkowskiego obsługują klientów za granicą, a także zagraniczne, które mają klientów w Unii. Właśnie dlatego wiele firm z USA, np. Kickstarter, przed 25 maja informowało Polaków o aktualizacji polityki prywatności. Inne mogą zacząć nas blokować.

Obowiązki nakładane przez RODO dotykają głównie firmy: administratorów danych osobowych – czyli tych, którzy decydują, po co i jak zbierane przez nich informacje będą przetwarzane – oraz wydzielone podmioty, które na zlecenie administratora przetwarzają dane na podstawie tzw. umowy powierzenia. RODO nie dotyczy używania danych na użytek prywatny i domowy, np. zebranych w osobistej książce adresowej.

Warto jednak wziąć pod uwagę, że zwykły obywatel też może przetwarzać dane, a w konsekwencji „łapać” się na zapisy RODO. Rozporządzenie do danych osobowych wlicza też wizerunek, więc np. fotograf zawodowo dokumentujący miejskie wydarzenia musi pamiętać, że praca ze zrobionymi zdjęciami to też przetwarzanie danych osobowych. Nie licząc nadal obowiązujących ustawowych wyjątków, gdy np. dana osoba jest tylko elementem tła, reporter oprócz poproszenia o zgodę na opublikowanie wizerunku powinien również poinformować, co jeszcze z nim zrobi.

Jeśli dane osobowe na nasz temat zbierane są w formie elektronicznej i przetwarza je automat, np. system zestawiający transakcje w sklepie, możemy od administratora danych żądać przesłania nam zbioru posiadanych przez niego informacji (patrz: ramka „Co wiedzą Google i Facebook?”). Dane muszą trafić do nas w formacie, który da się łatwo odczytać. Możemy też wnieść o przekazanie podobnej paczki innemu administratorowi. Dzięki temu unikniemy np. ponownego skanowania i osobistego dostarczania części dokumentów, jeśli zdecydujemy się założyć konto w innym banku.

Wśród przedsiębiorców emocje budzi tzw. obowiązek informacyjny. Katalog tego, o czym należy uprzedzać osoby przekazujące informacje, jest szeroki, co w połączeniu z otwartą definicją danych osobowych budzi wątpliwości. Kiedy administrator otrzymuje dostęp do czyichś danych, powinien tę osobę informować m.in. o swojej tożsamości, celu przetwarzania danych i podstawie prawnej tych działań, o tym, kto inny te dane otrzyma oraz jak długo informacje będą używane. Musi też przypomnieć o prawie wglądu do danych, ich modyfikowania, usuwania i przenoszenia (patrz: ramki „Prawo do bycia zapomnianym” i „Prawo do przenosin”). Jeśli zebrany materiał służy do profilowania – informuje o tym i wyjaśnia, jakie ma to konsekwencje, np. personalizowanie wyświetlanych reklam. Powinien też jasno określić, czy dane są mu niezbędne do realizacji usługi, np. wysłania kupionego w sklepie towaru, czy też posłużą do czegoś innego, np. do dystrybucji newslettera. Warto przy tym zachowywać zdrowy rozsądek – biorąc od kogoś wizytówkę, nie ma sensu referować mu tego, co z nią zrobimy (o ile nie dodamy delikwenta do ogólnofirmowej bazy), a zamiast automatycznych odpowiedzi na e-maile informujących o sposobie ich używaniu wystarczy krótki dopisek w stopce.

RODO precyzuje akceptowalny sposób pozyskiwania zgody na przetwarzanie danych osobowych. Ta musi zostać udzielona aktywnie, np. poprzez wybór domyślnie odznaczonego pola formularza, a nie zaszyta w dokumencie, do którego prowadzi malutki napis „korzystanie z serwisu oznacza akceptację regulaminu”. Zgodę należy napisać jednoznacznie i zrozumiałym językiem, poza tym musi być ona dobrowolna, tzn. wykonanie usługi nie powinno zależeć np. od zgody na profilowanie reklamowe – jeśli firma oferuje „darmową” skrzynkę pocztową, bo zarabia na reklamach, powinna udostępnić wariant bez marketingowych dodatków, nawet jeśli będzie płatny. Oczywiście zgoda nie jest potrzebna, gdy bez przetworzenia danych w grę nie wchodzi wykonanie usługi (np. sprzedanie towaru) albo wymaga tego prawo. Poza tym jeśli sklep przetwarza informacje o zakupach, by np. przygotować reklamę pasującą do świątecznych preferencji kupujących i wkleić ją na stronę główną, nie wymaga to zgody, ale jeśli zechce ją rozsyłać mailowo – i owszem.

A skoro mowa była o profilowaniu, czyli np. zautomatyzowanym dobieraniu reklam na podstawie informacji z profilu i historii zakupów – RODO nakazuje powiadamiać o nim w ramach obowiązku informacyjnego. Jeśli jednak profilowanie będzie mieć poważniejsze skutki, bo np. automat sam odrzuca wnioski kredytowe na podstawie zebranych danych, też wymaga to zgody użytkownika.

Jeśli w przeszłości administrator zbierał już zgody na przetwarzanie danych i wyłożył kawę na ławę, podając wymagane dziś w RODO informacje oraz pozyskał zgodę w odpowiedniej formie, nie musi prosić o nią po raz kolejny. Uwaga: jeśli pytanie o zgodę znów się pojawia, może to być zarówno uczciwa chęć dostosowania się do zmienionego prawa, jak i próba pozyskania zgody, której wcześniej nie było. Na początku roku Tauron rozsyłał do swoich abonentów formularze służące do aktualizacji danych i „mimochodem” zachęcał do wyrażenia w nich całego szeregu zgód na przetwarzanie danych osobowych, w towarzyszącym liście sugerując potrzebę „niezwłocznego” odesłania dokumentu… ale gdzie indziej zaznaczał już, że wcale nie jest to konieczne. Sytuacją zainteresował się Główny Inspektor Ochrony Danych Osobowych.

O ile podstawą przetwarzania danych osób poniżej 16. roku życia nie jest akceptacja regulaminu świadczenia usług drogą elektroniczną – np. zasad skierowanego do młodzieży komunikatora internetowego – wymagana jest zgoda rodzica lub opiekuna. Ministerstwo Cyfryzacji chciało obniżyć ten wiek do lat 13 – RODO na to pozwala – ale póki co tego nie zrobiło. W przypadku osób poniżej wskazanej granicy przetwarzanie dziecięcych danych aprobować ma rodzic lub opiekun, a administrator ma w „rozsądny” sposób taką zgodę weryfikować. Gdzie taki „rozsądek” się kończy? Przykład dał Microsoft, który uczciwych nieletnich prosił o zalogowanie się rodzica... po czym domagał się od takowego zweryfikowania karty płatniczej (czyli zapłacenia 2 złotych) albo przesłania skanu dowodu. Brzmi poważnie? A co mają powiedzieć dorośli ludzie, którzy wcześniej nie podali daty urodzenia albo wybrali nieprawdziwą? O czyją zgodę poproszą?

Od 25 maja administratorzy i przetwarzający dane nie muszą rejestrować zbiorów informacji u (nieistniejącego już) GIODO (Główny Inspektor Ochrony Danych Osobowych), ani tworzyć dokumentów, o których mówiła poprzednia ustawa. Powinni za to prowadzić tzw. rejestr czynności związanych z przetwarzaniem danych osobowych. Ministerstwo Cyfryzacji przyznaje, że to szerokie pojęcie, i proponuje rejestry podzielone na kategorie, np. bazę wykazującą cele przetwarzania danych – zatrudnienie, wysłanie na wyjazd służbowy, objęcie ubezpieczeniem. Na ulgę w tym zakresie mogą liczyć firmy zatrudniające poniżej 250 osób – te rejestrują tylko część czynności. Nadal powinny monitorować za to operacje np. na danych biometrycznych (w świetle RODO są to informacje dotyczące fizycznych czy fizjologicznych cech człowieka) oraz te, które są wykonywane bardzo regularnie, np. zarządzanie bazą klientów.

Część firm musi też wyłonić tzw. Inspektora Ochrony Danych, ale to raczej marginalny przypadek, dotyczący podmiotów z sektora publicznego i takich, których główna działalność polega oprócz przetwarzania danych na „regularnym i na dużą skalę” monitorowaniu osób, których dane dotyczą.

RODO nie narzuca sposobów zabezpieczania danych, nie ma więc konieczności inwestowania np. w komputery opatrzone określonym certyfikatem, choć PUODO (Prezes Urzędu Ochrony Danych Osobowych) będzie takie certyfikaty wydawał. Zamiast tego Unia Europejska przyjęła tzw. podejście oparte na ryzyku – każdy administrator danych musi sam ocenić, na ile zagrożone są przetwarzane przez niego dane i jak poważne mogą być konsekwencje ich wycieku, a następnie adekwatnie o nie zadbać. Na ocenę wpływa np. czas przetwarzania (im dłużej, tym lepiej trzeba się zabezpieczyć), miejsce przechowywania (zewnętrzne serwery są mniej pewne) i charakter danych (dane pacjentów przychodni wypada chronić lepiej niż zestawienie zakupów w markecie internetowym). Wśród środków zapobiegawczych RODO wymienia szyfrowanie i regularne tworzenie kopii zapasowych.

Jeśli jednak dojdzie do naruszenia integralności zbioru danych, np. baza adresów zostanie wykradziona przez hakerów albo pracownik zostawi w tramwaju pendrive’a z rejestrem transakcji, w ciągu 72 godzin podmiot przetwarzający dane musi o tym poinformować PUODO, a także samych poszkodowanych, jeśli sprawa dotyczy szczególnie prywatnych informacji – np. loginów do banku internetowego czy dokumentacji medycznej – o ile np. zniszczone dane nie miały kopii zapasowej. Ministerstwo Cyfryzacji i tutaj planowało ulgę dla firm zatrudniających poniżej 250 osób dotyczącą naruszeń danych osobowych potrzebnych do zawierania umów i prowadzenia rachunkowości, ale wycofało się z tej propozycji.

Warto na koniec przypomnieć o kiju, którym przedsiębiorców straszy RODO – w przypadku naruszenia przepisów, np. pogwałcenia podstawowych zasad zezwalających na przetwarzanie danych osobowych, nieuczciwa firma może otrzymać karę administracyjną wynoszącą do 20 milionów euro lub równowartość 4 proc. jej rocznego obrotu w zależności od tego, która kwota jest wyższa. Kary te nakłada ustanowiony w nowej ustawie o ochronie danych osobowych PUODO, a postępowanie w rozpatrywanych przez niego sprawach jest jednoinstancyjne. W razie stwierdzenia przekroczenia przepisów prawa można więc liczyć, że przedsiębiorcy łamiący przepisy, np. szemrani telemarketerzy, szybciej poniosą karę.

Niewiedzę na temat RODO wykorzystują cyberprzestępcy. Do osób udostępniających mieszkania w serwisie Airbnb trafiły wiadomości z informacją o konieczności zaakceptowania nowej polityki prywatności. Kliknięcie linku miało być konieczne, by móc dalej gościć turystów – ale odnośnik prowadził do strony wyłudzającej m.in. numer karty kredytowej. Z kolei serwis Niebezpiecznik.pl ostrzegał o SMS-ach, w których pod pretekstem „wejścia w życia ustawy RODO” dawano odbiorcy dwa dni na instalację rzekomo koniecznego do dzwonienia „certyfikatu LTE 5+”. Wykonanie instrukcji skutkowało pobraniem złośliwej aplikacji, która prosiła o niebezpieczne uprawnienia.

RODO umożliwia wnioskowanie do usługodawców o udostępnienie kopii danych, które mają na nasz temat – i ci muszą ten wniosek uwzględnić. O tym, ile informacji da się zgromadzić przez lata, przekonasz się, pobierając kopie danych, które zebrały na twój temat Google i Facebook. Jeśli nie zmieniałeś ustawień prywatności, rozmiar i zawartość paczek mogą cię zdziwić.

Wejdź na stronę http://pcformat.pl/u/3233 i przejrzyj listę źródeł danych. Odznacz niepotrzebne usługi (kopie plików z Dysku i albumów Zdjęć ważą najwięcej) i doprecyzuj zakres pobieranych danych na listach ukrytych pod czarną strzałką (by odznaczyć np. kosz Gmaila). Na kolejnym ekranie pozostaw opcje bez zmian i kliknij Utwórz archiwum. Po kilku godzinach archiwum będzie gotowe i otrzymasz e-mailem odnośniki do podzielonego na części archiwum ZIP. Część pakietu wymaga użycia odpowiedniego programu, np. poczta trafi do ciebie jako plik MBOX, który przed importem do Outlooka trzeba skonwertować na format PST.

Facebook działa podobnie. By sprawdzić, jak widzi cię Mark Zuckerberg, wejdź na stronę http://pcformat.pl/u/3234. Naciśnij odnośnik Zobacz w sekcji Pobieranie Twoich informacji.

Dobierz zakres dat i przejrzyj kategorie danych, odznacz niepotrzebne i naciśnij Utwórz plik. Przygotowanie archiwum ze wszystkimi „lajkami” również może zająć kilka godzin.