Czy wierzyć w prawo do zostania zapomnianym?

Wynikające wprost z przepisów o ochronie danych osobowych – prawo do bycia zapomnianym to pan-europejski problem. Po wejściu w życie RODO: rozporządzenia o ochronie danych osobowych 28 maja 2018, wejdzie w życie nowa ustawa zmieniająca dotychczasową regulację.

Rekordy dotyczące osób i zawierające ich dane wrażliwe umożliwiające identyfikację, na żądanie będą musiały zostać niezwłocznie oraz w całości usunięte z systemów przedsiębiorstw. Czy jednak pełna anonimowość jest możliwa w świecie wielu państwowych baz danych, służb działających globalnie i mających pełne rekordów bazy?

Ponieważ nowa regulacja idzie dalej i usuwanie danych dotyczy także kopii, linków i dokumentacji papierowej, na przykład skanów czy wydruków e-maili, proces będzie długotrwały oraz kosztowny gdyż wymusza m.in.  wymianę wszystkich klauzul, formularzy i zgód na przetwarzanie informacji o klientach.

Wszystko to wygląda na podobny zamęt jak w przpadku tzw. problemu roku 2000. Tamto zdarzenie osztowało setki milionów globalnie, RODO w Europie będzie znacznie droższe.

Osobiście zastanowiłbym się nad innym kosztem: czy opłaca się nam jako konsumentom czy firmom żądać od zobowiązanego podmiotu naszych danych? Wg nas nie, gdyż dolegliwość ich wykorzystania jest niewielka: publiczne udostępnienie numeru telefonu czy adresu jest banalne a dane nikomu niepotrzebne. Problemem jest raczej prawo, które dopuszcza wkorzystanie cudzych danych identyfikacyjnych, np. numeru PESEL do podszycia się pod inną osobę oraz wykorzystanie dokumentów do tego celu i uważnienie czyynności tak dokonanych. Na podstawie reguł ogólnych reguł prawa umowa zawarta z oszustem jest nieważna i nieskuteczna dla podmiotu, którego dane są wykorzystane. 

– Przez ostatnich 20 lat zmieniły się realia i przestrzeń biznesowa, również sposób gromadzenia i przetwarzania danych. Mamy instytucje bankowe, ubezpieczeniowe i wiele innych przedsiębiorstw, które gromadzą mnóstwo informacji o aktywności swoich klientów czy pracowników w sieci i realizowanych przez nich transakcjach. RODO to nowa regulacja unijna, która ma pomóc jeszcze lepiej i bezpieczniej zarządzać danymi osobowymi, chronić nas, jako klientów, pacjentów i użytkowników wielu systemów. Dla przedsiębiorców RODO oznacza nowe obowiązki, dodatkowe procedury organizacyjne i techniczne – mówi agencji informacyjnej Newseria Biznes Jolanta Augustyniak, prezes zarządu Libris Polska, oferującej rozwiązania do zarządzania dokumentacją papierową i elektroniczną.

RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, wejdzie w życie za niecałe pół roku – 28 maja 2018 roku. Unijna regulacja ma ujednolicić przepisy w tym zakresie na terenie wszystkich 28 państw członkowskich UE. Przygotowana na jej podstawie ustawa zastąpi dotychczasowy akt prawny, który obowiązuje od 20 lat.

RODO: nowe obowiązki administratora danych

– RODO definiuje ochronę danych osobowych w trochę odmienny sposób i dostosowuje ją do realiów cyfrowych. Rynek jest dwubiegunowy: po jednej stronie mamy duże przedsiębiorstwa, banki czy ubezpieczycieli, którzy byli i są przygotowani do tego, aby właściwie zabezpieczać dane osobowe swoich klientów. Z drugiej strony są małe i średnie przedsiębiorstwa, które dotychczas nie w pełni wykazywały dbałość o bezpieczeństwo danych, miały trochę inną świadomość biznesową. Teraz stoją przed problemem, w jaki sposób proceduralnie przygotować przedsiębiorstwo do nowych realiów tak, by uniknąć kar związanych z nieprawidłowym zabezpieczeniem danych osobowych – mówi Jolanta Augustyniak.

Nowe prawo nałoży szereg obowiązków na wszystkie podmioty, firmy i instytucje, które gromadzą i przetwarzają dane osobowe i informacje o swoich klientach. Z drugiej strony przyznaje osobom fizycznym szereg nowych uprawnień, które mają zwiększyć ich kontrolę nad tym, jak wykorzystywane są ich dane. Jednym z nich jest prawo do bycia zapomnianym.

– Tego do tej pory nie gwarantował nam ani Facebook, ani Google. To oznacza, że jako użytkownicy mamy prawo poprosić o wykreślenie nas z systemów, po wcześniejszym zapoznaniu się z obowiązującymi regulacjami. Warto jednak pamiętać o tym, że nadal będzie rynek transakcji typu darmowa usługa, superpromocja w zamian za pozostawienie swoich danych osobowych – mówi Jolanta Augustyniak.

Prawo do bycia zapomnianym (RODO, art. 17 ust. 1) oznacza, że dane osób, które sobie tego zażyczą, muszą zostać niezwłocznie w całości usunięte z systemów administratora. Co więcej, dotyczy to także kopii, linków, odniesień i dokumentacji papierowej, na przykład wydruków czy skanów dokumentów. Jeżeli wcześniej te dane zostały udostępnione albo trafiły do internetu, administrator musi się upewnić, że wszystkie ich kopie i linki zostały skasowane i usunięte na dobre. Nawet jeżeli są już w posiadaniu innych podmiotów.

Dla firm i organizacji prawo do bycia zapomnianym będzie jednym z największych wyzwań. Zwłaszcza że za nieprzestrzeganie nowych przepisów będą grozić surowe kary administracyjne i finansowe – sięgające nawet 20 mln euro albo 4 proc. rocznych obrotów całego przedsiębiorstwa. Będzie nad tym czuwać nowo utworzony Urząd Ochrony Danych Osobowych.

– RODO ma wyegzekwować przygotowanie nowej dokumentacji typu „zgody” na przetwarzanie danych osobowych, czyli w praktyce wszystko to, co podpisujemy dziś umieszczone na końcu dokumentu zapisane drobnym drukiem. W myśl RODO dokument typu „zgoda na przetwarzanie danych osobowych” powinien być przygotowany w formie prostej i zrozumiałej zarówno dla studenta, jak i osoby starszej czy dziecka. Przedsiębiorca powinien zatem przeprowadzić analizę i przygotować nowe wzory dokumentacji papierowej i elektronicznej – podkreśla Jolanta Augustyniak.

Rozporządzenie nie określa ani jakie dokumenty musi posiadać firma, ani jaka ma być treść klauzul, na które klienci muszą wyrazić zgodę. Stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka.

GDPR: ochrona danych albo wielkie kary finansowe dla firm