Dziś (28 stycznia) świętujemy XV Europejski Dzień Ochrony Danych Osobowych. To niewątpliwa okazja, aby przypomnieć kilka najważniejszych informacji dotyczących tego, kto, na jakiej podstawie, i w jaki sposób powinien chronić dane osobowe!

Jaki akt prawny reguluje w Polsce problematykę danych osobowych?

Od ponad dwóch lat  obowiązuje Rozporządzenie Ogólne Parlamentu Europejskiego w sprawie ochrony danych osobowych (dalej: RODO), które ujednoliciło zasady ochrony danych osobowych w całej Unii Europejskiej.

W celu jego pełnej transpozycji, w Polsce została przyjęta Ustawa o ochronie danych osobowych (z 10 maja 2018 roku). To na jej podstawie na określonych podmiotach ciążą pewne obowiązki, i to na jej podstawie mogą być wymierzone kary za ich nieprzestrzeganie.

Kto bada w Polsce zgodność procedur z RODO?

Wraz z nową ustawą o ochronie danych osobowych powołano nowy urząd – Urząd Ochrony Danych Osobowych. W zakresie jego kompetencji jest dokonywanie kontroli zgodności wszystkich czynności z RODO i polską ustawą, wskazywanie wadliwych elementów takich procesów czy nakładanie kar za ich nieprzestrzeganie.

Jakie kary grożą za naruszenie RODO?

Prezes UODO może nałożyć karę finansową w wysokości nawet do 20 milionów euro lub 4% obrotu w przypadku najpoważniejszych naruszeń (m.in. zasad przetwarzania danych, praw osób, których dane dotyczą, lub niestosowania się do nakazów organu nadzorczego).

Za pozostałe, mniej rażące naruszenia kara może sięgnąć nawet kwoty 10 milionów euro lub 2% obrotu (w zależności od tego, która kwota jest wyższa).

Oprócz kar pieniężnych Prezes UODO może wydawać nakazy dotyczące przywrócenia zgodności z RODO, a nawet nakazać ograniczenie przetwarzania danych wyłącznie do ich przechowywania, co może bezsprzecznie zahamować rozwój przedsiębiorstwa i być bardziej dotkliwe w skutkach niż jakakolwiek kara pieniężna.

Wśród najsłynniejszych kar nałożonych przez UODO warto wskazać karę nałożoną na Morele.net sp. z o.o., które w związku z wyciekiem danych klientów oraz niepoinformowania w terminie o tym zdarzeniu zostały ukarane karą w wysokości prawie 3 milionów złotych, czy prawie 2 miliony kary dla Virgin Mobile Polska sp. z o.o., u której na skutek przeprowadzonej kontroli po wycieku danych ustalono naruszenie licznych przepisów RODO, w tym w zakresie odpowiednich zabezpieczeń czy regularności ich weryfikowania.

Kto ma obowiązek stosować RODO?

Unijne zasady ochrony danych osobowych obowiązują prawie wszystkie podmioty, które mają jakikolwiek związek z działalnością na terenie Państw Członkowskich UE. RODO muszą stosować:

  • przedsiębiorstwa lub podmioty, przetwarzające dane osobowe w ramach działalności swojego oddziału mającego siedzibę na terenie UE, niezależnie od tego, gdzie (w jakim miejscu) dochodzi do przetwarzania danych lub
  • przedsiębiorstwa posiadające siedzibę poza UE, jeżeli oferują towary lub usługi (odpłatnie bądź nieodpłatnie) lub zajmuje się monitorowaniem zachowania osób fizycznych w Unii Europejskiej

Jacy przedsiębiorcy nie muszą stosować RODO?

Jeżeli przedsiębiorca ma swoją siedzibę (główny oddział) poza UE oraz nie kieruje swojej oferty konkretnie do osób fizycznych w UE, nie podlega on regulacjom zawartym w RODO. Jeżeli jednak którykolwiek z tych elementów istnieje (albo siedziba, albo oferta skierowana do obywateli UE), wówczas ma on obowiązek stosowania unijnych zasad ochrony danych osobowych.

Nie będzie kierowaniem oferty do obywateli UE sytuacja, gdy klienci przedsiębiorcy spoza UE będą korzystali z jego usług na terenie UE (przykład: Obywatel Argentyny korzysta z usług świadczonych przez argentyński podmiot – np. operatora telefonii komórkowej – na terenie UE. Ten operator nie ma w tym przypadku obowiązku stosowania RODO).

Czy informacja o przetwarzaniu danych osobowych (obowiązek informacyjny) musi być przetłumaczona?

Przepisy RODO nie wprowadzają nakazu przetłumaczenia strony zawierającej „obowiązek informacyjny” na języki obce (w tym na języki krajów UE, z których mogą pochodzić ewentualni kupujący).

Należy jednak zwrócić uwagę chociażby na Motyw 39. Rozporządzenia oraz na jego art. 12 ust. 1. Zgodnie z nimi administrator danych (najczęściej: przedsiębiorca) powinien udzielić osobie, której dane są przetwarzane, informacji o przetwarzaniu w formie przejrzystej, zrozumiałej, łatwo dostępnej oraz napisanej jasnym i prostym językiem.

W przypadku braku tłumaczenia takiej strony, jeśli osoba, do której skierowana jest oferta nie posługuje się określonym językiem, to może nie być w stanie się zapoznać z taką informacją, co z kolei oznaczałoby, że nie został wobec niej spełniony obowiązek informacyjny.

Takie uzasadnienie mogłoby oznaczać, że należałoby tłumaczyć obowiązki informacyjne na wszystkie języki świata (biorąc pod uwagę globalny zasięg Internetu). To niesie za sobą dwie podstawowe wady. Po pierwsze – byłoby to rozwiązanie na tyle kosztowne, że mogłyby sobie na to pozwolić wyłącznie największe podmioty. Po drugie oznaczałoby to setki tysięcy dodatkowych zakładek, o wątpliwej ilości odsłon. Jak więc z tego wybrnąć?

Przyjmuje się, że ten problem jest rozwiązywany w dość prosty sposób: Obowiązek informacyjny powinien być przetłumaczony na tyle języków, w ilu językach dostępna jest zasadnicza strona internetowa. Przykładowo – jeśli strona posiada tłumaczenie na j. niemiecki, to polityka prywatności również powinna zostać przetłumaczona na ten język.

Wychodzi się bowiem z (dość rozsądnego) założenia, że decydując się na korzystanie ze strony internetowej w określonym języku, użytkownik powinien robić to odpowiedzialnie, czyli znając i uwzględniając własne umiejętności językowe. A skoro umie korzystać ze strony internetowej w określonym języku, to powinien umieć ze zrozumieniem przeczytać obowiązek informacyjny.

Warto dodać, że obowiązek informacyjny powinien być przetłumaczony w sposób profesjonalny, gwarantujący wewnętrzną spójność, poprawność językową, odpowiedni styl językowy i powiązanie z siatką pojęciową RODO.

Wyciek danych osobowych – co dalej!?

Pomimo podjętych środków ochronnych może dojść do sytuacji, w których dane osobowe dostaną się w ręce osób niepowołanych. Co musi wtedy uczynić przedsiębiorca? Co może zrobić użytkownik, którego dane skradziono?

W sytuacji, gdy dojdzie do naruszenia ochrony danych osobowych, administrator musi niezwłocznie (nie później niż w ciągu 72h po stwierdzeniu naruszenia) zawiadomić Prezesa UODO. Dodatkowo, jeżeli zaistniałe zdarzenie niesie wysokie ryzyko naruszenia praw i wolności osób, których dane są przetwarzane, (np. kradzieży tożsamości), informacja taka powinna trafić do tych osób z jednoczesnymi informacjami, co mogą w tej sytuacji zrobić.

Jednocześnie osoby, których dane są przetwarzane, będąc poinformowanymi jakie dane wyciekły, mają możliwość podjąć jak najszybciej odpowiednie działania – przykładowo zmienić hasła logowania do różnych portali (w tym skrzynki mailowej i bankowości elektronicznej), zastrzec swoje karty płatnicze czy dowód osobisty (aby uniknąć kradzieży tożsamości i ewentualnego zaciągnięcia zobowiązań, od wykonania których będą później musieli się uwolnić).

Podsumowując, przepisy RODO chronić mają niedostępne powszechnie dane osobowe, których wyciek mógłby narazić osoby fizyczne na poważne konsekwencje.  Nawet w przypadku wycieku tych danych szybka reakcja podmiotu przetwarzającego dane i informacja do klientów może zapobiec jego negatywnym konsekwencjom.  Dlatego znacznie surowiej karane jest niezgłoszenie naruszenia danych osobowych niż sam fakt, że do wycieku doszło.