PRoto.pl: Z jakimi pytaniami do Pani przychodzą najczęściej przedstawiciele agencji PR i marketingowych, które dowiedziały się o konieczności wdrożenia nowych procedur ochrony danych osobowych z powodu Rozporządzenia o Ochronie Danych Osobowych? Co budzi największe wątpliwości?
Adw. Anna Węglowska z Kancelarii Adwokackiej Ćwik&Węglowska: Najwięcej emocji budzą, nie ma co ukrywać, wysokie kary pieniężne, jakie przewiduje Rozporządzenie. Podzielone są one na dwie grupy. Pierwsza – do 10 mln euro lub 2 proc. zeszłorocznego całkowitego obrotu w przypadku przedsiębiorstwa – odnosi się do podmiotów, które na przykład nie dopełniły wymogu prowadzenia rejestru czynności przetwarzania danych osobowych lub nie wdrożyły odpowiednich zabezpieczeń. Druga grupa kar – do 20 mln euro lub 4 proc. zeszłorocznego całkowitego obrotu w przypadku przedsiębiorstwa – nakładana będzie na firmy, które naruszą podstawowe zasady przetwarzania danych osobowych, czyli na przykład będą je przetwarzać pomimo braku zgody osoby, której dane dotyczą. Emocje spowodowane są właśnie wysokością kar oraz niepewnością, w jaki sposób będą one stosowane.
Czytaj więcej:
RODO: Rewolucja czy ewolucja? Opinie
Należy pamiętać, że zgodnie z projektem ustawy utworzony zostanie celowy Fundusz Ochrony Danych Osobowych, którego przychodem będzie 1 proc. kar finansowych nakładanych przez Prezesa Urzędu. Od maja 2018 roku, gdy ustawa wejdzie w życie, dotychczasowy Generalny Inspektor Ochrony Danych Osobowych (GIODO) przeobrazi się też w Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który będzie dysponentem Funduszu. Do tej pory nie funkcjonowała taka instytucja, tak że myślę, że kontrole mogą być częstsze niż do tej pory. Urząd może być też bardziej skory do nakładania kar, ponieważ jego Fundusz musi być przecież czymś zasilany.
Duże emocje budzi także prawo do wniesienia skargi do UODO przez każdego, kto sądzi, że przetwarzanie jego danych narusza RODO nie tylko w państwie stałego pobytu, ale także swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia. Łatwo zatem wyobrazić sobie, że osoba pracująca na stałe np. w Holandii skorzysta z tego uprawnienia i zgłosi naruszenie organowi holenderskiemu – wtedy taka instytucja ma prawo do wzięcia udziału w postępowaniu jako „zainteresowany organ nadzorczy”. Nie znamy jednak jeszcze praktyki w tym zakresie, nie wiemy, w jaki sposób współpraca organów nadzorczych państw członkowskich będzie wyglądała i jakie będą tego konsekwencje.
PRoto.pl: Czy z punktu widzenia RODO jest jakaś różnica pomiędzy małą, zatrudniającą kilka osób agencją PR a dużym, należącym do międzynarodowej sieci podmiotem?
A.W.: Zgodnie z RODO podmiotem przetwarzającym dane osobowe mogą być nie tylko osoby prawne, organy publiczne lub jednostki organizacyjne nieposiadające osobowości, lecz także każda osoba fizyczna lub inny podmiot, który dane osobowe przetwarza. Wszyscy oni podlegają pod RODO i muszą liczyć się z ryzykiem skargi lub kontroli ze strony UODO.
RODO traktuje jednak osoby fizyczne, mikroprzedsiębiorstwa oraz małe i średnie przedsiębiorstwa inaczej niż dotychczasowe przepisy. W pkt. 13 preambuły Rozporządzenie przewiduje na przykład wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników.
Myślę też, że UODO będzie brało pod uwagę wielkość przedsiębiorstwa w procesie nakładania kar. Przepisy wprost wskazują w art. 83 ust. 1, że administracyjne kary pieniężne mają być skuteczne, proporcjonalne i odstraszające w każdym indywidualnym przypadku. Sankcja finansowa o jednakowej wysokości nie będzie tak samo skuteczna dla średniego lub małego przedsiębiorcy prowadzącego agencję PR jak dla międzynarodowej korporacji.
Organ nadzorczy będzie nakładał kary w zależności od okoliczności każdego przypadku, biorąc pod uwagę charakter, wagę i czas trwania naruszenia przy uwzględnieniu zakresu przetwarzania, liczby poszkodowanych oraz rozmiaru poniesionej przez nich szkody. Znaczenie będą też miały kategorie danych osobowych, których dotyczyło naruszenie, jak również wszelkie inne obciążające lub łagodzące czynniki, które miałyby zastosowanie do okoliczności sprawy.
Trudno jest jasno odpowiedzieć na pytanie, jak w praktyce będzie wyglądał proces nakładania kar. Należy jednak mieć na względzie, że zakres przetwarzania danych bądź liczba osób poszkodowanych będą na pewno inne przy działalności niewielkiej agencji PR niż dużej korporacji.
PRoto.pl: Wspomniała Pani, że firmy zatrudniające mniej niż 250 osób mogą nie mieć obowiązku prowadzenia rejestru czynności, które będą przeprowadzać na danych osobowych. W Rozporządzeniu jest jednak fragment: „chyba że przetwarzanie nie ma charakteru sporadycznego”. Jeśli więc agencje przetwarzają dane osobowe na okrągło, czy ten fragment wymusza na nich prowadzenie takiego rejestru?
A.W.: Artykuł, o którym Pan mówi, jest dość ogólny i daje możliwość interpretacji w zależności od konkretnego przypadku. Gdy wczytamy się w jego treść, możemy się domyślić, że większe agencje PR, które przetwarzają dane osobowe w ramach swojej codziennej działalności, powinny takie rejestry prowadzić.
Fragment Rozporządzenia Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016 roku
Do czego mogą się one przydać? Ich prowadzenie jest ważne ze względu na ciążący na agencjach obowiązek niezwłocznego informowania klienta o stwierdzonym naruszeniu ochrony danych osobowych. To bardzo istotne, ponieważ na samym administratorze spoczywa obowiązek zgłoszenia takiego naruszenia UODO – w miarę możliwości nie później niż w terminie 72 godzin po jego stwierdzeniu – a to z kolei ma wpływ na wysokość ewentualnej kary. Stąd, moim zdaniem, prowadzenie takiego rejestru jest przydatne, ponieważ pozwala weryfikować, czy procesy przetwarzania danych osobowych są odpowiednio chronione.
Poza tym – jeśli agencja będzie prowadziła rejestry, stanie się wiarygodniejszym partnerem dla innych firm.
PRoto.pl: Co konkretnie będzie musiało znaleźć się w tych rejestrach?
A.W.: Ich zawartość będzie różniła się w zależności od tego, czy podmiot przetwarzający dane jest ich administratorem, czy procesorem. Agencje PR mogą pełnić zarówno jedną, jak i drugą rolę, dlatego ta kwestia ma szczególne znaczenie.
W rejestrze czynności przetwarzania danych osobowych procesor zobowiązany jest zamieścić m.in. imię i nazwisko, dane kontaktowe podmiotu przetwarzającego, dane kontaktowe administratora, a także inspektora ochrony danych osobowych – jeśli taki został wyznaczony. Ważne są też: planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych w organizacji.
Jeśli chodzi o administratora prowadzącego rejestr, zobowiązany jest on, oprócz powyższych informacji, podać również cele przetwarzania danych, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych oraz kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione.
Dodajmy na koniec, że rejestr czynności przetwarzania danych osobowych może mieć formę elektroniczną.
PRoto.pl: Agencje public relations oprócz swoich znajomości dysponują również spisaną listą kontaktów do dziennikarzy i blogerów. Czy ich przechowywanie i wykorzystywanie będzie musiało ulec zmianie po wejściu w życie rozporządzenia?
A.W.: Tak. Agencje PR przetwarzają dane, które same pozyskują – mowa tu o wspomnianych przez Pana listach kontaktów. Bardziej istotne jest jednak to, że agencje, realizując usługi z zakresu PR na rzecz klientów, przetwarzają powierzone im dane osobowe i również wtedy podlegają pod przepisy RODO.
Art. 28 ust. 1 Rozporządzenia obliguje agencje do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby te działania spełniały wymogi RODO i chroniły prawa osób, których dane dotyczą. Słowem – dane nie mogą być przechowywane gdziekolwiek, przesyłane bez żadnej kontroli czy dostępne dla każdego.
Po 25 maja 2018 roku nie trzeba już zgłaszać zbiorów danych osobowych do GIODO, a więc także zbiór danych osobowych, jaki niewątpliwie stanowią bazy mediów, nie będzie podlegał zgłoszeniu. Nie zwalnia to natomiast agencji z konieczności wyodrębnienia takiego zbioru wewnątrz firmy i zapewnienia jego ochrony.
Zmianie ulegnie również treść klauzuli wyrażenia zgody na przetwarzanie danych odbieranej od osoby, której dane dotyczą. Zgodnie z RODO – obok informacji o administratorze danych osobowych, celu ich przetwarzania, prawie dostępu do danych, usunięcia, cofnięcia zgody na przetwarzanie, zgłoszenia sprzeciwu, żądania zaprzestania przetwarzania z uwagi na szczególną sytuację – od maja 2018 roku w klauzuli będą musiały znaleźć się także informacje o możliwości ich sprostowania, bycia zapomnianym, o inspektorze danych osobowych, jaki może zostać powołany przez administratora, kategorii odbiorców danych osobowych, ewentualnym zamiarze przekazania danych do państwa trzeciego i jego podstawach, okresie przechowywania danych, jak również podstawie prawnej wyrażenia zgody na przetwarzanie.
Agencje PR nie będą mogły także powierzać dalej danych osobowych przetwarzanych w imieniu klienta agencji – czyli prawnego administratora danych – jeśli nie uzyskają jego zgody w tym zakresie. Podmiot przetwarzający zawsze powinien informować administratora o wszelkich zamierzonych zmianach dotyczących danych osobowych, dając mu możliwość zgłoszenia sprzeciwu.
PRoto.pl: Wspomniała Pani o tym, że niektóre firmy mogą wyznaczyć inspektora danych osobowych. Czy i agencje PR powinny zastanowić się nad mianowaniem tej osoby?
A.W.: Z art. 37 ust. 1 Rozporządzenia wynika, że w większości przypadków – tak. Wyznaczenie IODO jest obowiązkowe, m. in. gdy główna działalność firmy polega na przetwarzaniu danych, które wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą.
Nawet gdy wyznaczenie IODO nie jest zawsze obowiązkiem w świetle przepisów RODO, warto jednak wziąć to pod uwagę. Inspektor może być członkiem personelu administratora, ale także pochodzić spoza organizacji i wykonywać zadania na podstawie umowy o świadczenie usług. Konstrukcja przepisu jednoznacznie wskazuje na możliwość outsourcingu w tym zakresie.
Wybór IODO musi być decyzją dobrze przemyślaną, ponieważ ta osoba będzie odpowiadała za zgodność z prawem przetwarzania danych osobowych i niejako wyręcza w tym samego administratora. Jest to bardzo wygodne dla przedsiębiorców, szczególnie że podmioty zewnętrzne dysponują w tym zakresie polisami ubezpieczeniowymi na wypadek powstania szkody spowodowanej ich działaniem lub zaniechaniem.
Czytaj więcej:
Co wspólnego mają kryzys Ubera i RODO
PRoto.pl: Wejdźmy więc w przykłady praktyczne. PR-owcom zdarza się wysłać wiadomość e-mail, w której wszyscy adresaci są widoczni jak na dłoni. Jakie mogą być tego konsekwencje w kontekście RODO?
A.W.: W takim przypadku mamy niewątpliwie do czynienia z naruszeniem danych osobowych. Administrator, po jego stwierdzeniu, będzie miał obowiązek niezwłocznego (do 72 godzin) zgłoszenia go UODO. Jest to swoisty samodonos – nowa instytucja uregulowana przez RODO. Szybkie zgłoszenie wpłynie na obniżenie kary pieniężnej grożącej administratorowi.
W zgłoszeniu naruszenia należy opisać jego charakter i kategorie osób, których naruszenie dotyczy. Trzeba ponadto podać możliwe konsekwencje naruszenia oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia problemowi. Administrator ma także bezwzględny obowiązek poinformować poszkodowane osoby o wystąpieniu naruszenia. To paradoks, ponieważ naraża się jednocześnie na wniesienie przez taką osobę osobnej skargi do UODO.
Mimo wszystko jednak dobrze napisany samodonos, przedstawiający jednocześnie sprawne i wszechstronne środki zaradcze, może powstrzymać ewentualną kontrolę UODO i grożące kary.
PRoto.pl: Przykład z drugiej strony. Przyjmijmy, że postanawiam zmienić miejsce zatrudnienia. Chcę zniknąć z wszelkich baz danych agencji, z którymi miałem kontakt. Wysyłam wnioski, wykonuję telefony, jednak jakiego zachowania powinienem od nich oczekiwać?
A.W.: Zgodnie z art. 17 Rozporządzenia każda osoba, której dane dotyczą, ma prawo do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. Administrator ma tymczasem obowiązek bez zbędnej zwłoki uczynić zadość takiemu żądaniu.
Należy pamiętać, że instytucja sprzeciwu i instytucja żądania usunięcia danych osobowych są odrębne, a niestety często bywają mylone. Usunięcie danych osobowych jest niejako wtórną czynnością do czynności wniesienia sprzeciwu. Nie każde wniesienie sprzeciwu przez osobę, której dane dotyczą, spowoduje usunięcie jej danych przez administratora, chyba że zostanie to wprost objęte żądaniem danej osoby. Jak można sobie wyobrazić, w dobie społeczeństwa informacyjnego i internetu niezwykle trudno jest trwale usnąć dane osobowe upublicznione przez administratora.
Zgodnie z RODO, administrator, który takie dane upublicznił, zobowiązany jest podjąć wszelkie rozsądne działania – mając na uwadze dostępną technologię i koszt realizacji – by poinformować dalszych administratorów przetwarzających te dane o żądaniu osoby, której dane dotyczą, by usunięte zostały wszelkie łącza do tych danych, ich kopie lub ich replikacje. W praktyce może jednak okazać się to zbyt trudne, wręcz niemożliwe. Dlatego tak ważne jest, by zawrzeć odpowiednie umowy z podmiotami, którym powierza się dalsze przetwarzanie danych oraz na bieżąco prowadzić rejestry takich podmiotów.
PRoto.pl: RODO wydaje się polem minowym dla PR-owców. Co mogą oni zrobić, by ustrzec się przed wspomnianymi przez Panią, wielomilionowymi karami za naruszenie przepisów?
A.W.: Najprostszym sposobem jest porozmawianie ze specjalistą, który podpowie rozwiązania najwygodniejsze dla danego rodzaju agencji, jej specyfiki i wielkości. Nie chodzi przecież o to, by wydać ogromne pieniądze, by ochronić się przed wysokimi karami. Należy to zrobić mądrze i przystosować własne systemy przetwarzania do nowych przepisów i – co równie ważne – nauczyć swoich pracowników, jak z tymi danymi się obchodzić i pilnować wdrożonych zasad. Mądry doradca znajdzie optymalne rozwiązania.
Rozmawiał Maciej Przybylski
fot. www.swatloczuli.pl
Anna Węglowska – Partner w CW Kancelarii Adwokackiej. Absolwentka Wydziałów Prawa Université Libre de Bruxelles w Belgii oraz Université Aix-Marseille we Francji oraz politologii na Uniwersytecie Wrocławskim oraz Institut d’Études Politiques Aix-en-Provence we Francji.
Specjalizuje się w: prawie umów handlowych (tworzenie i analiza umów, ich zmiany oraz uczestnictwo w negocjacjach), prawie gospodarczym oraz prawie spółek handlowych. Dodatkowo jest ekspertką w prawie korporacyjnym i obsłudze prawnej procesów korporacyjnych (doradztwo w zakresie działalności organów spółek – Zarządów, Rad Nadzorczych, Zgromadzeń Wspólników, tworzenie, przekształcenia, łączenia i podziały spółek, przygotowywanie analiz prawnych oraz due dilligence), jak również prowadzeniu procesów sądowych z zakresu prawa cywilnego i gospodarczego, prawa i postępowania cywilnego, prawa pracy oraz prawa rodzinnego.