– Każdy przedsiębiorca sam musi zinterpretować przepisy RODO i dopasować do własnej organizacji, sam musi odpowiedzieć sobie na pytanie, gdzie jest ta granica, kiedy mówimy np. o dużej ilości danych przetwarzanych na dużą skalę. Ta możliwość dokonywania dowolnej oceny i różnych interpretacji powoduje, że wśród małych firm pojawia się panika i zdenerwowanie – tłumaczy radca prawny Agata Kowalska, partner w Kancelarii Chabasiewicz Kowalska i Partnerzy.

– Urząd Ochrony Danych Osobowych uspokaja, że w pierwszym okresie obowiązywania RODO nie zamierza od razu nakładać na przedsiębiorców dotkliwych kar – dodaje.

Ekspert opowiada także o tym, czy przepisy RODO mogą zaszkodzić polskim przedsiębiorcom, jak pogodzić RODO z technologią blockchain i o tym, dlaczego pobieranie zgody przez przedsiębiorców na przetwarzanie danych osobowych klientów zgodnie z RODO powinno być ostatecznością.

Anna Mazurek: Czy RODO może okazać się negatywne czy pozytywne dla polskich spółek?

Agata Kowalska: Moim zdaniem, gdy minie okres intensywnej pracy związanej z wdrożeniem RODO w przedsiębiorstwach, to cały rynek na tym skorzysta. Dlatego, że dotychczas pomimo obowiązywania od 20 lat polskiej ustawy o ochronie danych osobowych, nie było niestety uporządkowanego i powszechnie stosowanego zbioru zasad dotyczących postępowania z naszymi danymi osobowymi. Podkreślam, pomimo obowiązującego w tej materii od lat prawa. Myślę, że to rozporządzenie unijne zwiększy naszą świadomość co do zasad przetwarzania danych osobowych, naszych praw oraz obowiązków z tym związanych. Oczywiście były firmy, które działały zgodnie z wcześniej obowiązującymi przepisami w zakresie ochrony danych osobowych. I one nie miały aż tak dużej pracy do wykonania. Niestety, była to na polskim rynku mniejszość firm.

Jakie problemy mogą napotkać przedsiębiorcy wdrażający RODO w swoich firmach? Czy nowe regulacje mogą komuś zaszkodzić?

Problem może być z ostrością pojęć, które występują w RODO. Przykładowo RODO nie robi ostrego rozróżnienia na małe i duże firmy. Posługuje się np. takimi pojęciami nieostrymi jak przetwarzanie danych osobowych na dużą skalę, wysokie ryzyko naruszenia praw lub wolności osób, regularne i systematyczne monitorowanie na dużą skalę itp. Rozporządzenie nie tłumaczy, co to dokładnie oznacza. Dlatego każdy przedsiębiorca sam musi te przepisy zinterpretować i dopasować do własnej organizacji, sam musi odpowiedzieć sobie na pytanie, gdzie jest ta granica, kiedy mówimy np. o dużej ilości danych przetwarzanych na dużą skalę. Ta możliwość dokonywania dowolnej oceny i różnych interpretacji powoduje, że wśród małych firm pojawia się panika i zdenerwowanie.

Zobacz także: Rozporządzenie RODO – kogo będzie dotyczyć i jakie zmiany wprowadza?

Jednak obecnie Urząd Ochrony Danych Osobowych uspokaja, że w pierwszym okresie obowiązywania RODO nie zamierza od razu nakładać na przedsiębiorców dotkliwych kar. Jeżeli organ zobaczy, że przedsiębiorca przynajmniej podjął próby dostosowania się, wykonał pewne kroki, które nawet nie będą idealne, to prawdopodobnie zostanie najpierw ostrzeżony, upomniany, zostaną mu wydane pewne zalecenia, a dopiero jako ostateczność będą nakładane administracyjne kary pieniężne.

Ile może potrwać zanim wytworzy się pewna praktyka postępowania, jeżeli chodzi o stosowanie RODO?

To może potrwać miesiące, a nawet lata. Moim zdaniem, nie wolno zwlekać z wdrożeniem RODO. Przypomnę że od 25 maja wszyscy przedsiębiorcy mają obowiązek działać w pełni zgodnie z tymi przepisami.

Czy lepiej jak przedsiębiorca, który jest administratorem danych osobowych zawsze bierze zgodę od swoich klientów na przetwarzanie ich danych osobowych?

Co do zasady, jeżeli chodzi o RODO i podstawy do przetwarzania danych osobowych, to musimy sobie zadać podstawowe pytanie: dlaczego przetwarzamy akurat te dane osobowe i w jakim celu. Szukamy tych podstaw według określonego klucza. Najpierw zastanawiamy się, czy przetwarzanie danych osobowych nie jest niezbędne do wykonania umowy, czy jakiś przepis prawa nie nakłada na nas obowiązków w tym zakresie, a następnie czy przetwarzanie danych nie wynika z prawnie uzasadnionych interesów administratora.

I to są główne podstawy, na której przedsiębiorcy powinni w większości oprzeć przetwarzanie danych osobowych swoich klientów. Zgoda powinna być ostatecznością.

Czyli jeśli przedsiębiorca powołuje się na przepis prawa jako podstawę przetwarzania danych osobowych, to nie musi już brać żadnej zgody na ich przetwarzanie?

Właśnie tak. Jeśli mamy podstawę w przepisach, to nie sięgamy w ogóle po zgody. Dlatego, że jeśli oprzemy przetwarzanie danych na zgodzie, to oznacza to dużo więcej obowiązków do wykonania. Przykładowo, jeśli dana osoba cofnie zgodę na przetwarzanie jej danych osobowych, to my musimy natychmiast usunąć jej dane z naszego rejestru.

Czy można pogodzić RODO z technologią blockchain?

Wśród specjalistów trwa aktualnie dyskusja, czy przepisy RODO stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, takich jak Bitcoin, czy Ethereum. Jednak w wielu przypadkach obawy dotyczące RODO nie mają podstaw.

W wielu przypadkach, do rejestrów rozproszonych przepisy RODO w ogóle nie powinny być stosowane – ze względu na zaszyfrowaną postać danych w systemie, brak danych osobowych, bądź charakter domowy lub osobisty wykorzystania systemu. Ponadto, w przypadku rejestrów zdarzeń transakcyjnych prawo do bycia zapomnianym nie ma zastosowania.

A co z firmami Big Data?

Największym problemem dla tych firm jest uporządkowanie danych osobowych, które już mają w swojej bazie. Firmy muszą sobie uświadomić, czy zbierały je do tej pory zgodnie z zasadami wyrażonymi w RODO, które wyraźnie wskazuje jak powinno wyglądać pozyskiwanie zgody na przetwarzanie danych osobowych. Jeżeli te zgody były zbierane w należyty sposób, to wtedy zebrane dotychczas dane osobowe mogą być nadal przetwarzane. Natomiast gorzej, jeśli było inaczej. Przykładowo firma gromadziła dane osobowe przez kilkanaście lat i nie jest w stanie powiedzieć, dlaczego je zbierała, jak albo nie wie, skąd pozyskała te dane. To samo tyczy się sytuacji, gdy firma kupiła jakąś bazę danych osobowych od innego podmiotu, który nie zna ich źródła pochodzenia. Te firmy przed 25 maja powinny były usunąć wszystkie takie dane osobowe niewiadomego pochodzenia ze swojej bazy. Osobiście znam dużo firm, które postąpiło w ten sposób.

Kiedy firmy muszą pobierać zgodę na marketing bezpośredni?

Samo RODO mówi o tym, że do wykonywania marketingu bezpośredniego nie potrzebujemy zgody naszych klientów. Stanowi on część samej usługi, którą świadczymy.

Niestety rozchodzą nam się porządki prawne, bo polska ustawa o świadczeniu usług drogą elektroniczną wymaga już wyraźnej zgody na marketing bezpośredni drogą elektroniczną. Tak samo jest w przypadku ustawy Prawo telekomunikacyjne. Dlatego moim zdaniem, żeby zgodnie działać z prawem polskim, to zgody na przetwarzanie danych osobowych w celach marketingu bezpośredniego powinny być zbierane oddzielnie zgodnie z tymi dwiema ustawami. Natomiast RODO nie nakłada w tym zakresie takiego obowiązku.

Czyli lepiej zabezpieczyć się na wypadek naszych dwóch ustaw krajowych?

Tak, bo Prawo telekomunikacyjne jest bardzo restrykcyjne. Pojawia się dużo postulatów, żeby to zmienić. Zresztą w tym zakresie trwają obecnie na poziomie europejskim prace nad Rozporządzeniem e-Privacy, które ma zastąpić wcześniej obowiązującą dyrektywę o tej samej nazwie. I właśnie to kolejne rozporządzenie ureguluje min. kwestie zgód z Prawa telekomunikacyjnego. Moim zdaniem to krok w dobrym kierunku, oczywiście pod warunkiem, że ostateczne brzmienie tego Rozporządzenia ujednolici tą kwestię na poziomie europejskim.

Dlaczego UE uregulowała ochronę danych osobowych w Rozporządzeniu RODO?

Postęp technologiczny i informatyzacja życia codziennego spowodowała znaczący wzrost skali gromadzenia oraz wymiany danych osobowych. Spowodowało to potrzebę dostosowania przepisów prawa do nowych wyzwań. Obywatele Unii Europejskiej zaczęli mieć problemy z ochroną swoich danych osobowych w relacjach z innymi krajami zewnętrznymi. Chodzi głównie o bardzo duże firmy ze Stanów Zjednoczonych, takie jak Facebook czy Google, które znacznie słabiej chroniły dane osobowe niż przepisy krajowe państw z Unii Europejskiej. Dodatkowo, wynikało to również z potrzeby ujednolicenia przepisów o ochronie danych osobowych we wszystkich państwach członkowskich UE.

Zobacz także: Powstał film „Oto RODO”

W motywie 7 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stwierdzono, że występujące na rynku zmiany wymagają stabilniejszych oraz spójniejszych ram ochrony danych w Unii, jak również zdecydowanego ich egzekwowania. Ważna jest bowiem budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne winny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze, jak również organy publiczne powinny zyskać większe poczucie pewności prawa oraz jego stosowania w praktyce. Naprzeciw tym oczekiwaniom wychodzą przepisy RODO.

Radca prawny Agata Kowalska

Rozporządzenie wskazuje na dwa podstawowe cele tego aktu prawnego. Są to: ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich praw do ochrony danych osobowych, a także uregulowanie zasad i zapewnienie swobodnego przepływu danych osobowych w Unii. Ma to ułatwić obrót danymi w ramach Unii, ale również wzmocnić naszą pozycję wobec krajów trzecich, które chcą świadczyć swoje usługi na terenie UE.

Kogo dotyczy RODO?

Zgodnie z definicją, RODO dotyczy danych osobowych osób fizycznych (poza osobami umarłymi). Natomiast, rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Warto jednak zwrócić uwagę, że w Polsce do tej pory dane przedsiębiorców prowadzących działalność gospodarczą ujawnione w CEIDG nie podlegały ochronie. Po 25 maja nastąpiła w tej kwestii zmiana. RODO stosuje się w całości do przetwarzania danych osobowych dotyczących osób prowadzących działalność gospodarczą.

Jeżeli chodzi o obowiązek przestrzegania RODO to musi go spełniać każdy przedsiębiorca prowadzący działalność gospodarczą na terytorium Unii Europejskiej i także ten, który nie ma siedziby na terytorium Unii, ale świadczy na jej terenie swoje usługi skierowane do obywateli UE.

RODO nie ma natomiast zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

Co przedsiębiorca powinien zrobić, aby być przygotowanym do RODO?

Pierwszą czynnością, jaką powinien wykonać przedsiębiorca, jest audyt wewnętrzny. Chodzi głównie o zidentyfikowanie źródeł pochodzenia posiadanych danych osobowych, ich ilości oraz celu ich przetwarzania. Drugim krokiem jest przygotowanie stosownej dokumentacji wraz z zapewnieniem tym danym odpowiedniego stopnia zabezpieczeń. Pewną pomocą mogą być wytyczne opublikowane na stronie UODO www.uodo.gov.pl (Prezes UODO zastąpił dawnego GIODO). Rozporządzenie, w przeciwieństwie do dotychczasowych regulacji, nie wskazuje katalogu konkretnych środków technicznych i organizacyjnych, które stosować powinien podmiot przetwarzający dane osobowe. Na wszystkich podmiotach, które przetwarzają dane osobowe spoczywa obowiązek wdrożenia rozwiązań, które zapewnią stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Zobacz także: Telemarketerzy a RODO – jak się ich pozbyć. Wykorzystaj „prawo sprzeciwu” i zażądaj usunięcia danych osobowych

Musimy zatem odpowiedzieć sobie na kilka pytań. Czy nasza polityka bezpieczeństwa danych osobowych jest zgodna z RODO? Czy zapewnia ona zgromadzonym danym osobowym odpowiednie bezpieczeństwo? Czy będziemy w stanie realizować uprawnienia osób fizycznych pod względem informatycznym, np. czy będziemy mogli technicznie w czasie rzeczywistym usunąć konkretne dane osobowe z wszystkich rejestrów, przenieść czy udostępnić je na żądanie itp. Do tego dochodzą zabezpieczenia przed wyciekami i kradzieżami danych osobowych. Należy również przeszkolić pracowników naszej firmy, którzy mają styczność z danymi osobowymi. Na pewno będą to działy kadr, marketingu, sprzedaży czy księgowości.