KARY ZA NIEPRZESTRZEGANIE RODO

kara ROD

KARY ZA NIEPRZESTRZEGANIE RODO TO NIE STRASZENIE

Kary za nieprzestrzeganie przepisów rozporządzenia o ochronie danych osobowych nie są straszeniem, a stają się rzeczywistością. Każdy pamięta, jak wyglądały zalane obowiązkami informacyjnymi skrzynki e-mailowe przed 25 maja 2018 r., ten czas był naprawdę gorący dla przedsiębiorców, którzy w obawie przed karami próbowali tworzyć zabezpieczenia przed ewentualną kontrolą. Był to również wzmożony czas audytów, opracowywania dokumentacji, procedur oraz szkoleń pracowniczych. Niektórych motywowało to do wdrożenia przepisów RODO do firm, zaś drudzy tę kwestię mocno bagatelizowali.

OCHRONA DANYCH OSOBOWYCH NIE JEST NOWOŚCIĄ

Tematyka ochrony danych w Polsce nie jest też nowością, sporo zmieniło się od wejścia w życie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Na kanwie ustawy z 1997 roku oczywiście również występowały informacje na temat konsekwencji w postaci sankcji za naruszenia ochrony danych osobowych. Aby nadążyć za tym, jak w praktyce dane są przetwarzane rozporządzenie wprowadziło wiele zmian i nowości. Przy obecnym ogromnym postępie technologicznym i fakcie, jak cenne stały się dane osobowe RODO nie jest wymysłem, a zwyczajnie potrzebą rynku. Chcemy wiedzieć gdzie wędrują nasze dane, jak, przez kogo, jak długi czas będą przetwarzane oraz do kogo można udać się kiedy pojawi się naruszenie. Chodzi zarówno o te dane związane z imieniem, nazwiskiem, wizerunkiem, ale także dotyczące lokalizacji, czy na przykład naszych preferencji zakupowych itp. Oczywiście jednorazowe wprowadzenie zmian w kierunku RODO będzie świetnym krokiem w stronę rzeczywistej ochrony danych, warto jednak pamiętać, że to długotrwały proces uświadamiania, zmiany mentalności w danej organizacji i podejścia do ochrony danych może przynieść zamierzony skutek dla ochrony danych osobowych. Być może nałożona przez Urząd kara stanie się impulsem do refleksji, że warto dbać o ochronę danych osobowych i robić to rozważnie.

KARY W EUROPIE

Jedną z pierwszych kar po wejściu przepisów w życie pojawiła się w portugalskim szpitalu, gdzie zbierano w sposób nieuprawniony dane pacjentów. Nałożona przez Urząd Comissão Nacional de Proteção de Dados (CNPD), czyli Komisję Ochrony Danych – Organ nadzorczy w Portugalii kara opiewała sumę 400 000 euro. Spowodował to między innymi nieuprawniony dostęp do danych klinicznych udzielony osobom, które nie powinny mieć takiej możliwości. Urząd uargumentował nałożenie tak wysokiej kary umyślnym działaniem administratora danych, który powinien był zastosować środki techniczne i organizacyjne niezbędne do identyfikacji i uwierzytelniania danych użytkowników. Przez ww. naruszenie szpitalowi zarzuca się naruszenie głównych zasad RODO takich jak integralność, poufność, czy minimalizacja danych.

KARY ZA NARUSZENIA W POLSCE

Czy warto bać się kar finansowych za naruszenia przepisów RODO w Polsce? Odpowiedź brzmi: i tak i nie. Tutaj najbardziej adekwatną byłaby znienawidzona, ale i często używana przez prawników odpowiedź „to zależy”. Prezes Urzędu Ochrony Danych Osobowych Edyta Bielak – Jomaa zapowiedziała potrzebę poprawy kwestii ochrony danych w świadomości polskich przedsiębiorców oraz kontrole i kary nie bez pokrycia. Od kilku tygodni w sieci pojawia się wiele opinii na temat kary, którą ma dostać przedsiębiorstwo. Jedno jest pewne – 26 marca oficjalnie ogłoszono informację na stronie Urzędu.

Decyzja dotyczy firmy, która tworzyła bazę danych prowadzących działalność na podstawie ogólnodostępnych informacji zawartych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Krajowym Rejestrze Gospodarczym, a także w zestawieniach Głównego Urzędu Statystycznego. Takiego rodzaju dane były przekazywane tym użytkownikom, którzy chcieli sprawdzić wiarygodność przedsiębiorców. Proces kontroli UODO wskazał, że warszawska spółka o zbieraniu i przetwarzaniu danych na ich temat informowała wyłącznie tych, którzy na którymś z portali internetowym umieścili swoje adresy e-mail. Obowiązek informacyjny nie został wysłany pocztą do reszty ze względu na wysokie koszty. Firma informację o przetwarzaniu danych osobowych zamieściła na stronie internetowej. Wskazując na wysokość kary mówi się o kwocie około miliona złotych.

PRZYSZŁOŚĆ

Temat ochrony danych osobowych powinien pojawić się w świadomości absolutnie każdej firmy, a nałożenie kary przez Urząd w Polsce wzmocnią to przekonanie wśród przedsiębiorców. Jeśli przepisy rozporządzenia są przestrzegane nie ma potrzeby do obaw. Niejednokrotnie przedsiębiorcy wskazują, że RODO wyklucza, ogranicza bądź też utrudnia im działania marketingowe, sprzedażowe. Nie warto patrzeć na tę kwestię w negatywny sposób, ale tak, że dane klientów są bezpieczne, przetwarzane w sposób zgodny z przepisami i podstawowymi zasadami rozporządzenia. Sprawa ochrony danych osobowych na dzień dzisiejszy wydaje się o tyle ciekawa, że do Urzędu Ochrony Danych Osobowych wpłynęło ok. 4 tysiące skarg dotyczących przetwarzania danych osobowych, co będzie się działo dalej w kwestii kar, zobaczymy.

Autor: Monika Liwoch

FANPAGE NA FACEBOOKU, PRZETWARZANIE DANYCH OSOBOWYCH, A RODO

RODO Fanpage Facebook

Fanpage na Facebooku

Kto w dzisiejszych czasach wyobraża sobie całkowitą rezygnację z serwisów społecznościowych? A jeśli nawet, to w naszym otoczeniu trudno będzie znaleźć osoby, którym te miejsca w sieci są zupełnie obojętne (szczególnie dzięki RODO). Idą za tym różne względy, szukanie znajomych z lat szkolnych, wymiana notatek czy zdjęć, szukanie mieszkania, wspieranie fanpage firm, które lubimy lub poszukiwania pracy.

W Polsce najpopularniejsza platforma gromadzi ok.16 mln unikalnych użytkowników powyżej 13 roku życia. Szacuje się, że 80 procent z nich loguje się do serwisu codziennie. Niewiele jednak zastanawia się jak przetwarzane są dane osobowe, które gromadzi Facebook, który pierwotnie powstał by rejestrować użytkowników tworzących sieci, grupy, by dzielić się wiadomościami oraz zdjęciami, a także korzystać z aplikacji. Użytkowników wciąż przybywa, a wraz z nimi przybywa także pytań i wątpliwości, dotyczących kwestii ochrony zbieranych danych. Jednym z zagadnień jest prowadzenie fanpage’a na Facebooku i statusu prawnego firm, które się tym zajmują.

Wyrok…

Temat RODO nie jest już w centrum uwagi, głośnym za to stał się wyrok z 5 czerwca 2018 r. w sprawie C‑210/16 Trybunału Sprawiedliwości Unii Europejskiej, który niewątpliwie zrewolucjonizuje podejście niektórych do korzystania z najbardziej popularnego serwisu społecznościowego. Sprawa dotyczyła spółki Wirtschaftsakademie, znajdującej się w Niemczech, która kształci za pośrednictwem fanpage’a Facebook. Ponadto korzystano w tym przypadku także z Facebook Insights, który analizuje statystyki dotyczące użytkowników, którzy odwiedzają fanpage. Dane są anonimizowane, w związku z czym nieświadoma przetwarzania danych osobowych spółka nie informowała osób korzystających ze strony o zbieraniu danych osobowych poprzez pliki cookies.

Trybunał w wyroku podał, że Facebook nie będzie jedynym odpowiadającym za przetwarzanie danych osobowych, odwiedzających fanpage osób. Drugim zupełnie odrębnym administratorem danych osobowych użytkowników zbieranych za pomocą tzw. plików cookies na fanpage będzie dodatkowo administrator bądź administratorzy fanpage. To swoiste novum, niosące ze sobą liczne kontrowersje, ponieważ dotychczas przyjęło się, że to portal Facebook jest wyłącznym administratorem danych osobowych użytkowników.

Konsekwencjami wyroku jest zobligowanie osoby prowadzącej fanpage do informowania wchodzących na stronę o przetwarzaniu ich danych osobowych (skorzystanie z tzw. obowiązku informacyjnego), a w przypadku sprawy Wirtschaftsakademie z Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein dezaktywacja fanpage’a. Jest to związane z możliwością określenia celów i sposobów przetwarzania danych w czym gromadzenia danych odnośnie szczegółów demograficznych dotyczących korzystających z portalu i fanpage użytkowników m.in. takich jak dane odnośnie stanu cywilnego, zainteresowań, stylu życia, wieku, płci, a także statusu zawodowego.

Facebook

Już od 10 lat, a liczba jego użytkowników ciągle się zwiększa. Należałoby tutaj podkreślić, że zbierane przez serwis i administratora dane są danymi osobowymi, a zatem istotne jest przeanalizowanie podstawy prawnej przetwarzania. Czy w tym przypadku można by mówić o uzasadnionym interesie, czy będziemy mieć do czynienia ze zgodą? Być może proces zbierania danych osobowych, który jest przedmiotem dywagacji winien szukać swoich podstaw w profilowaniu, które odbywa się w celu marketingu bezpośredniego, określonego przez RODO jako cel wynikający z uzasadnionych interesów administratora. Wydaje się, że już na początku przy procesie zbierania danych osobowych ,ale także na konkretny wniosek osób powinno się informować o profilowaniu i oczekiwać wyrażenia zgody, bez uzyskania której nie ma podstawy na przetwarzanie danych osobowych. W związku z powyższymi rozważaniami właściciele firm, agencji marketingowych i właściciele fanpage na Facebooku są zainteresowani tym kiedy i jak odpowiednio można uzyskać zgodę użytkowników oraz przedstawić obowiązek informacyjny wraz z klauzulami informacyjnymi. Kolejnym problemem jawi się być odpowiedzialność w przypadku, gdy administrowaniem konkretnych profili zajmują się firmy zewnętrzne. Tego rodzaju postanowienia powinny być rozważone i określone następnie w umowach. Druga zaś strona medalu wygląda tak, że sama obecność tj. rejestracja na portalach społecznościowych może być szerzej interpretowana jako dorozumiana zgoda, ponieważ jest to świadome działanie użytkowników związane z przetwarzaniem danych osobowych w sieci, często wraz z prezentacją swojego wizerunku, ponadto imienia, nazwiska bądź nazwisk, zainteresowań, preferencji politycznych, często miejsca zamieszkania i innych danych.

Co dalej?

Niewątpliwie i niezmiennie Facebook zajmuje pierwsze miejsce wśród portali społecznościowych. Dzięki prostemu interfejsowi przyciąga w bardzo szybkim tempie zarówno młodszych i starszych użytkowników, którzy z chęcią z niego korzystają. Zdecydowanie próbuje opanować jak największą liczbę obszarów życia człowieka. Aby dogonić tendencje i trendy Facebook sprytnie korzysta z funkcjonalności prezentowanej przez Google, Youtube, Snapchat etc. a następnie wdraża te rozwiązania do siebie. Zdaje się, że podstawowe funkcje, takie jak kontakt ze znajomymi, czy prezentowanie zdjęć przechodzą do lamusa. Platforma rozrosła się do ogromnego stopnia. W ciągu ostatnich dziesięciu lat Facebook jest jednym z najbardziej trafiających do konsumentów typem reklamy. Posiada rozwiązania i narzędzia, aby poprawiać zasięgi i trafiać poprzez różne jej formaty. Prócz możliwości biznesowych Facebook gromadzi dane demograficzne, a także geolokalizacyjne poprzez oznaczanie się w konkretnych miejscach, dodawanie statusów, czy udostępnianie miejsca pobytu. Platforma umożliwia zapoznanie się z czyimś gustem muzycznym, kulinarnym, preferencjami dotyczącymi lokalizacji. Bardzo często, kiedy dany użytkownik jest zainteresowany uczestniczeniem bądź weźmie udział w imprezie masowej, koncercie bądź warsztatach jego znajomi zostają poinformowani o tym fakcie. Aplikacje, które posiadamy na smartphonach takie jak Instagram, Messenger, WhatsApp, a nawet Tinder połączone automatycznie z Facebookiem zdradzają szereg informacji o użytkownikach. Są to wizerunek, ich dane behawioralne, czasem dane dotyczące orientacji seksualnej. Messenger, przez który można wymieniać wiadomości nie będąc znajomymi w bardzo wielu przypadkach zastępuje komunikacje wiadomościami tekstowymi na telefonie, to tam użytkownicy wymieniają się danymi przyjętymi za poufne, zdjęciami, danymi takimi jak numery dostępu do konta, loginy etc. Dla serwisu zainteresowanie użytkownika swoistymi nowinkami ma na celu zapoznanie z reklamami. To, jak można kategoryzować dopasowywanie reklam dzięki Facebookowi jest zbawiennym źródłem dla rozwoju biznesu.

Autor: Monika Liwoch