Zostało już tylko osiem dni do początku obowiązywania unijnego rozporządzenia o ochronie danych osobowych (RODO). Zobowiąże ono wszystkie instytucje – firmy, organizacje pozarządowe, administrację państwową, a nawet Kościół – do jeszcze większej dbałości o dane osobowe. Wiele działań firmy muszą przeprowadzić jeszcze przed „godziną 0”. Wśród nich jest m.in. obowiązek przeglądu własnych baz danych i ustalenie, czy przetwarzane są one zgodnie z prawem.

Kiedy firma przetwarza twoje dane zgodnie z prawem?

Każda organizacja musi być pewna, że wszystkie osoby, których dane posiada, są tego świadome i się na to zgadzają. To dlatego obecnie mnóstwo z nas dostaje codziennie maile z pytaniem, czy zgadzamy się na to, aby firma X lub Y dalej mogła przetwarzać nasze dane.

Z tego samego powodu, gdy wchodzimy na portale internetowe, wyświetlają nam się okienka z informacją, że aby móc dalej czytać wiadomości tego portalu, musimy zgodzić się na przetwarzanie naszych danych osobowych.

I także z tego powodu w ostatnich tygodniach Facebook czy Google proszą o zaakceptowanie nowych regulaminów i polityk prywatności.

Dowiedz się, kto ma twoje dane nielegalnie

Z jednej strony po prostu przedłużamy zgodę na to, na co już kiedyś się zgodziliśmy. Ale z drugiej strony RODO na każdej firmie wymusza otrzymanie zgody na przetwarzanie, a więc jest to doskonała okazja, by dowiedzieć się, kto i ile w rzeczywistości instytucji przetwarza nasze dane. Jeśli jakieś firmy (np. sklep internetowy, operator komórkowy, portal randkowy czy chociażby nawet restauracja) zdobyły nasze dane nielegalnie – np. odkupiły je od innej firmy, nie informując nas o tym – to teraz będą musiały się do tego przed nami przyznać. A my możemy wtedy nie zgodzić się na dalsze przetwarzanie i firma będzie musiała je usunąć z naszych baz.

Może też się zdarzyć, że jakaś organizacja ma nasze dane, a my po prostu o tym nie pamiętamy. Np. jeśli 10 lat temu zarejestrowaliśmy się na serwisie dla fanów Leo Messiego, a dziś już o tym zapomnieliśmy, to serwis ten będzie nam musiał to przypomnieć i ponownie zapytać, czy zgadzamy się na przetwarzanie naszych danych osobowych. To samo w przypadku jakiegokolwiek innego serwisu – choćby był to serwis o będącym już na emeryturze od dziesięciu lat fińskim skoczku narciarskim Jussim Hautamäkim.

Zgoda wg RODO

RODO wymusza na administratorach danych (czyli właśnie firmach, którym je powierzamy) pewne cechy zgód. Muszą one konkretne, jednoznaczne oraz jasno i zrozumiale napisane. Ponadto wyrażenie zgody przez konsumenta musi być dobrowolne i świadome. Innymi słowy: musimy być świadomi tego, na co się zgadzamy.

W internecie zwykle polega to na przesłaniu lub podpisaniu oświadczenia, zaznaczeniu okienka wyboru czy zaakceptowaniu zaktualizowanego regulaminu (vide: Facebook).

Co kliknięcie w zgodę oznacza?

Dzięki RODO wyrażenie zgody jest mniej ryzykowne niż dawniej. Już wcześniej na nasze żądanie firma musiała dane usunąć, ale jeśli tego nie zrobiła, nie ponosiła wielkich konsekwencji. Mało kto zgłaszał takie incydenty do GIODO. Teraz inspektorzy będą mogli kontrolować organizacje i sami narzucać im kary. A te mogą być ogromne – górna granica to 20 mln euro lub 4 proc. rocznego globalnego obrotu firmy. Zatem gdy wyrazimy zgodę na przetwarzanie naszych danych, w każdej chwili możemy ją cofnąć i raczej nikt nie będzie ryzykował wielkich kar finansowych.

Treść komunikatu z prośbą o zgodę musi być jasna i konkretna, a więc zgadzamy się tylko na to, co w tym komunikacie się znajduje. Zwykle chodzi o przetwarzanie danych. Pod tym pojęciem kryje się ich przechowywanie i/lub wykorzystywanie do kontaktu czy profilowania. Wszystko zależy od charakteru instytucji, która o zgodę nas prosi.

W związku z tym firmy mogą prosić tylko o te dane, które rzeczywiście są im potrzebne. Fryzjer nie będzie mógł prosić o nasz PESEL, bo jest on mu do niczego niepotrzebny, tak samo jak sprzedawcy odzieży nie przyda się informacja o imionach naszych rodziców, więc nie powinien o nie prosić.

Pod pojęciem przetwarzania nie kryje się natomiast przekazywanie naszych danych podmiotom trzecim.

– Zgoda łącząca w sobie kilka celów, np. marketingowy i udostępniająca dane innemu podmiotowi, byłaby zgodą nieprawidłową ze względu na niekonkretność. Zawarcie kilku zgód – de facto chodziłoby wtedy o różne cele przetwarzania – w treści jednego oświadczenia powoduje, iż osoba udzielająca zgody traci faktyczną swobodę w decydowaniu o zakresie i celu przetwarzania – mówi Michał Wołoszczuk, radca prawny w kancelarii D. Dobkowski Sp. k. stowarzyszonej z KPMG w Polsce.

Może się jednak zdarzyć tak, że przy tej samej prośbie o przetwarzanie danych znajduje się kilka oddzielnych punktów, które możemy zaznaczyć lub nie. Osobne zgody mogą być formułowane wtedy, gdy dotyczą różniących się celów przetwarzania – np. udziału w konkursie, analityki danych czy celów marketingowych. Jeśli każdy z celów jest sformułowany jasno, a nasz brak zgody na któryś z nich nie pogarsza naszej sytuacji prawnej, to wszystko pozostaje zgodne z prawem.

RODO: prawidłowe sformułowanie zgody

Warto zwrócić uwagę, czy prośba o zgodę jest sformułowana poprawnie i tak, jak nakazuje RODO. Musi się w niej znaleźć nazwa administratora, który prosi o nasze dane. Administratora, czyli firmy, organizacji pozarządowej czy urzędu. Podany on musi być z nazwy. Dokładna treść samej zgody nie jest narzucona, ale jak już wspominaliśmy wyżej, musi być jasna i zrozumiała.

– Dlatego choć z jednej strony nie ma zakazu umieszczania określonych elementów w zgodzie, to jej nieprzemyślane zredagowanie może skutkować jej nieważnością – zauważa Michał Wołoszczuk. Jeśli więc prośba o zgodę jest dla nas niejasna i niezrozumiała, najlepiej jest nie zgadzać się, bo nie wiemy, co potem stanie się z naszymi danymi.

RODO będzie obowiązywało od 25 maja w całej Unii Europejskiej. Lokalne przepisy wdrażające – polska ustawa – wejdą w życie nieco później, bo rząd ma opóźnienia w pracach. Nie zmienia to jednak tego, że każdy, kto złamie przepisy po 25 maja, będzie się musiał liczyć z konsekwencjami. Początkowo mają to być jedynie upomnienia, kary finansowe zaczną się w przypadkach recydywy