Coraz więcej się słyszy o tym, że nadchodzą zmiany w ochronie danych osobowych w związku z unijnym rozporządzeniem. Zmiany te będą miały zastosowanie we wszystkich państwach członkowskich od 25 maja 2018r. Jednak już teraz należy się do nich zacząć przygotowywać i edukować w tym temacie.
W związku z tymi zmianami i wejściem w życie Ogólnego rozporządzenia o ochronie danych osobowych (RODO) postanowiła podpytać zaprzyjaźnionego prawnika z kancelarii Lubasz i Wspólnicy – Witolda Chomiczewskiego – co nas czeka i czy będzie tak strasznie jak już niektórzy nas informują (zwłaszcza ja ;)).
Agata Chmielewska: Witku dziękuję za chęć podzielenia się wiedzą. Zainspirowałeś mnie do pociągnięcia Cię za język mocniej po swojej prelekcji na E-commerce Breakfast w Warszawie. Powiedz mi po co te zmiany w ochronie danych osobowych i ich przetwarzaniu?
Witold Chomiczewski: Dziękuję Agata za zaproszenie na wywiad. Obecne przepisy są z 1997 r. Od tego czasu świat bardzo się zmienił i nasze dane osobowe narażone są na zupełnie inne zagrożenia, niż pod koniec lat dziewięćdziesiątych. Mam tu na myśli zwłaszcza rozwój usług w Internecie, biometrię, profilowanie czy kradzież danych przez hakerów. Stąd ogólne rozporządzenie o ochronie danych osobowych, które ma sprostać tym wyzwaniom.
AC: Mówi się o RODO, ale także słyszałam coś o GDPR dotyczącego stricte rynku cyfrowego. Czym jest to całe GDPR i czy łączy się ono z RODO?
WCH: RODO i GDPR to różne pojęcia na określenie ogólnego rozporządzenia o ochronie danych. RODO jest skrótem od jego polskiego tytułu a GDPR od tytułu angielskiej wersji językowej. Oprócz tego aktualnie w Unii Europejskiej prowadzone są prace nad tzw. rozporządzeniem e-privacy, które ma uzupełniać RODO i dotyczyć rynku internetowego. Prace nad tym rozporządzeniem toczą się jednak wolno, bo jego projekt wzbudził wiele kontrowersji i pojawiło się kilka problemów. Jeden z nich dotyczy zasad wykorzystania plików cookies do celów marketingowych. W propozycji wskazano, że korzystanie z nich wymagałoby wyraźnej zgody użytkownika (za każdym razem dodatkowy checkbox do zaznaczenia). Jeżeli brakowałoby zgody, to nie można byłoby korzystać z tych plików w celach marketingowych.
„RODO dotyczy wszystkich biznesów.”
AC: Czy zmiany dotkną wszystkie biznesy, czy tylko to działające online?
WCH: RODO dotyczy wszystkich biznesów. Ważne jest jedynie czy przetwarzasz dane osobowe, czyli czy wykonujesz jakiekolwiek operacje na nich np. przechowywanie, zapoznawanie się z danymi, profilowanie, wysyłanie mailingów. Niezależnie od tego czy prowadzisz swój biznes online, czy w offlinie to jeżeli wykorzystujesz w nim dane osobowe to będzie trzeba dostosować się do RODO.
AC: Czy możesz wymienić główne różnice z dotychczasowymi regulacjami obowiązującymi w Polsce?
WCH: Podstawowa zmiana to elastyczne podejście do zabezpieczeń danych osobowych. Obecnie jest tak, że każdy administrator danych musi je zabezpieczać według tych samych wymogów. Precyzuje je jedno z rozporządzeń. Przykładowo trzeba mieć hasło złożone z co najmniej 8 znaków i zmieniać je co 30 dni. RODO odchodzi od takich sztywnych wymogów. Teraz to sam administrator będzie musiał zastanowić się, na jakie ryzyka narażone są dane osobowe w jego działalności. Po ich zidentyfikowaniu, trzeba będzie wprowadzić odpowiednie zabezpieczenia i je stale aktualizować.
„[…] w przypadku naruszenia ochrony danych osobowych np. ich wycieku, trzeba będzie zawiadomić o nim organ nadzorczy – następcę dzisiejszego GIODO – a także powiadomić osoby, których dane wyciekły.”
AC: Co zatem musimy zmienić? Jakie obowiązki czekają e-sprzedawców?
WCH: e-sprzedawcy będą musieli rozszerzyć informacje przekazywane swoim klientom na temat ochrony danych osobowych. Będą musieli również projektować nowe usługi z uwzględnieniem ryzyk dla danych osobowych. W nowych usługach ustawienia domyślne będą musiały maksymalnie chronić prywatność i dopiero klient będzie mógł je zmienić. Poza tym, w przypadku naruszenia ochrony danych osobowych np. ich wycieku, trzeba będzie zawiadomić o nim organ nadzorczy – następcę dzisiejszego GIODO – a także powiadomić osoby, których dane wyciekły. Jak widzisz jest tego sporo, a to tylko część z nich.
AC: A teraz nie jest także trzeba powiadomić osoby, których dane wyciekły?
WCH: Aktualne przepisy nie nakładają takiego obowiązku. Dlatego o tym, że z jakiegoś portalu wyciekły dane osobowe dowiadujemy się często z mediów. Od 25 maja 2018 r. o takich sytuacjach poinformuje nas bezpośrednio przedsiębiorca, u którego doszło do naruszenia danych osobowych np. wycieku.
AC: Co natomiast zyskają konsumenci?
WCH: Nasze dane będą lepiej chronione, bo zabezpieczenia trzeba będzie dostosowywać do aktualnego poziomu zagrożeń, a nie tylko odhaczać poszczególne wymogi wynikające z przepisów. Będziemy mieli też większą kontrolę nad naszymi danymi, bo w razie ich wycieku otrzymamy o tym informację i będziemy mieli szansę na podjęcie działań np. zmianę hasła. Uzyskamy również prawo do przenoszenia danych osobowych między usługodawcami. Oznacza to, że nie będziemy musieli ponownie wprowadzać wszystkich danych tylko poprosimy jednego usługodawcę, by przekazał nasze dane nowemu.
AC: Czy to nie utrudni za bardzo prowadzenia biznesu?
WCH: Wiem, że słychać takie głosy. Myślę jednak, że RODO nie jest takie straszne, jak to niektórzy twierdzą. Można się do niego dostosować, ale wymaga to podjęcia działań już teraz, a nie czekania do ostatniej chwili.
„Kary będą dotkliwe. Dla przedsiębiorstw wynoszą, w zależności od rodzaju naruszenia, do 2 lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.”
AC: Jakie kary są przewidziane dla przedsiębiorców, którzy nie zastosują się do nowych regulacji?
WCH: Kary będą dotkliwe. Dla przedsiębiorstw wynoszą, w zależności od rodzaju naruszenia, do 2 lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. To będą wysokie kwoty, zwłaszcza dla dużych administratorów danych, którzy działają globalnie.
AC: A kto teraz będzie nad nami sprawował kontrolę w zakresie ochrony danych osobowych? Dalej GIODO?
WCH: W tym zakresie prowadzone są obecnie w Ministerstwie Cyfryzacji prace legislacyjne. GIODO zostanie prawdopodobnie zastąpiony przez Prezesa Urzędu Ochrony Danych Osobowych.
AC: Załóżmy, że zaczynam wysyłać newsletter w styczniu 2018 r. Jest sens zgłaszać bazę do GIODO? Nie będzie to marnowanie czasu. Wiem, że jako radca prawny musisz powiedzieć, że tak, warto. Ale podaj argumenty, które mnie przekonają.
WCH: Podstawowy argument, to konieczność przestrzegania prawa. Brak zgłoszenia zbioru danych do GIODO jest zagrożony karą nawet do roku pozbawienia wolności (więzienia). Dlatego lepiej zgłosić i spać spokojnie. Musimy jednak pamiętać, że zgodnie z aktualnymi przepisami nie zawsze musimy zgłaszać zbiór danych do GIODO. Część zbiorów jest zwolniona z obowiązku zgłoszenia np. dane osobowe pracowników. Nie musimy również zgłaszać zbioru, gdy powołamy i zarejestrujemy w GIODO administratora danych.
Dlatego najpierw trzeba sprawdzić czy dany zbiór danych podlega obowiązkowi zgłoszenia, a jeśli tak to trzeba go zgłosić.
AC: Pamiętam, że podczas prezentacji na E-commerce Breakfast mówiłeś, że dochodzą dodatkowe warunki, jakie musi spełnić osoba chcąca przetwarzać dane osobowe. Teraz zgoda musi być jawna, świadoma… co jeszcze? I co dojdzie?
WCH: Zgody nie można też domniemywać z innego oświadczenia i musi być możliwe jej odwołanie. Już tłumaczę. Jeżeli zgadzam się na regulamin sklepu internetowego, to nie oznacza to, że bym chciał otrzymywać newslettery. Muszę się na to osobno zgodzić.
Od 25 maja 2018 r. zgoda będzie musiała być:
- dobrowolna, czyli nie można uzależniać możliwości założenia konta w sklepie lub portalu od zgody na wykorzystanie danych do celów marketingowych;
- konkretna, czyli musi być jasne na co się zgadzam;
- świadoma, czyli nie mogę być wprowadzany w błąd, w jakim celu będą wykorzystane moje dane;
- jednoznaczna, czyli nie można zakładać, że zgadzając się na jeden cel przetwarzania danych zgodziłem się też na inny.
AC:Jak teraz będzie odbywało się zgłaszanie zbioru danych osobowych do GIODO czy też Prezesa Urzędu Ochrony Danych Osobowych?
WCH: Od 25 maja 2018 r. nie będzie obowiązku zgłaszania zbiorów do żadnego organu.
AC: Czy takie zgłoszenie może być teraz odrzucone? Jeśli tak to często się to obecnie zdarza?
WCH: Obecnie GIODO ma prawo odmówić rejestracji zbioru danych, gdy: zgłoszenie nie spełnia ustawowych wymogów, przetwarzanie naruszałoby zasady ochrony danych osobowych lub urządzenia i systemy teleinformatyczne przeznaczone do przetwarzania danych objętych zgłoszeniem nie spełniają podstawowych warunków technicznych i organizacyjnych określonych w przepisach.
AC: Czy zgłoszenie do GIODO dotyczy też blogerów, którzy wysyłają newslettery, ale mają malutkie bazy?
WCH: Tak. Nawet niewielka baza danych będzie zbiorem danych w rozumieniu aktualnych przepisów.
Jeśli uważasz, że ten wpis jest przydatny dla Ciebie i chcesz dostawać informacje o innych ciekawych treściach na blogu i w Internecie to dołącz podaj swój adres e-mail, a ja obiecuję spełnić obietnicę.
Aha! Na początek dostaniesz kilka fajnych prezentów 🙂
AC: Dotyczy to także blogerów, którzy nie mają własnej działalności gospodarczej?
WCH: Jeżeli tylko przetwarzają dane osobowe w związku ze swoją działalnością zarobkową lub zawodową to tak.
AC: Witku ogromnie dziękuję Ci za wywiad. Mam jeszcze jedno takie śmiałe pytanie. Czy pomożesz mi i moim czytelnikom zrozumieć jakie mam prawa dot. otrzymywania sms-ów marketingowych i jak się z nich wypisać? I czy będziesz tak miły opowiedzieć o pracy prawnika?
WCH: Bardzo chętnie!
Mam nadzieję, że rozmowa z Witkiem z kancelarii Lubasz i Wspólnicy rozjaśniła Ci jakie zmiany w ochronie danych osobowych w związku z RODO nas czekają.
Jeśli masz więcej pytań i potrzebujesz pomocy odnośnie zmian w ochronie danych osobowych to szczerze polecam Witka i jego kancelarię, bo nie raz udowodnili, że mają wiedzę i znają się na tym co robią.
Niebawem porozmawiam z Witkiem odnośnie sms-ów marketingowych 🙂
Zdjęcia we wpisie: Pixaba.com
Cześć, Mam na imię Agata, choć znana jestem jako Kurczak. 
