Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Komercyjne

Grzegorz Sibiga: Dane osobowe klienta pod większym parasolem ochronnym

Grzegorz Sibiga, adwokat, pracownik Polskiej Akademii Nauk.
materiały prasowe
Unijne ogólne rozporzšdzenie o ochronie danych osobowych, czyli RODO, dotyczy również zarzšdzajšcych galeriami handlowymi, hotelami czy biurowcami - mówi Grzegorz Sibiga, adwokat, pracownik Polskiej Akademii Nauk.

Rz: Już wkrótce, 25 maja, zacznš obowišzywać nowe przepisy unijne w sprawie ochrony danych osobowych. Dotyczš one również galerii handlowych, biurowców i hoteli?

Dr. Grzegorz Sibiga: Tak, oczywiœcie. Unijne ogólne rozporzšdzenie o ochronie danych osobowych, czyli RODO, dotyczy również zarzšdzajšcych galeriami handlowymi, hotelami czy biurowcami. Korzystajš oni przecież z danych osobowych klientów, dostawców będšcych osobami fizycznymi, swoich pracowników czy usługodawców. Majš też często monitoring zamontowany w budynkach i na parkingach, dzięki któremu rejestrujš obraz.

Jakich konkretnie zmian można się spodziewać?

Tak jak obecnie, będš oni administratorami danych. Ale od 25 maja, decydujšc się na przetwarzanie danych, będš musieli brać pod uwagę dwie nowe zasady: rozliczalnoœci oraz podejœcia opartego na ryzyku.

W wypadku pierwszej zasady, tj. rozliczalnoœci, będš mieli obowišzek wykazać, że stosowane przez nich metody sš zgodne z RODO oraz skuteczne. Wymaga to wdrożenia odpowiednich procedur postępowania lub dokumentacji wewnętrznej, tzw. polityk ochrony danych, i to nawet wtedy, gdy obowišzek ten nie wynika bezpoœrednio z RODO. Dzięki temu administratorzy będš mogli wykazać, że prawidłowo dobrali zabezpieczenia danych czy poprawnie zaprojektowali funkcjonalnoœci chronišce dane w systemie informatycznym. W przyszłoœci zaœ zasada rozliczalnoœci będzie służyć do uzyskiwania certyfikatu zgodnoœci z RODO.

Druga zasada jest œciœle zwišzana z ryzykiem, jakie może się pojawić w wypadku osoby, o której dane chodzi. Im większe jest to ryzyko, tym więcej obowišzków będzie spoczywać na administratorze danych. Przykładowo: hotel utraci dane goœcia. Rodzi to duże niebezpieczeństwo, że zostanš one wykorzystane m.in. do kradzieży tożsamoœci. Hotel będzie musiał więc zawiadomić goœcia o utracie tych danych. Dziœ takiego wymogu prawo nie przewiduje.

RODO nakłada również na administratorów inne obowišzki, w tym informowania osób, których dane osobowe zbierajš.

Ale tak jest i dziœ.

To prawda. RODO znacznie go rozbudowuje, a do tego informacje muszš być przekazane jasnym i prostym językiem.

Co więc np. pracownik recepcji będzie musiał przekazać goœciom, meldujšcym się w hotelu?

Każdy goœć, który podczas rejestracji przekazuje swoje dane, powinien otrzymać komunikat. Powinny znaleŸć się w nim m.in. informacje identyfikujšce administratora danych, podstawa prawna przetwarzania, wyjaœnienie, w jakim celu i jak długo dane będš wykorzystywane i jakie w zwišzku z tym uprawnienia mu przysługujš. Dziœ najczęœciej jest to bardzo lakoniczna informacja w formularzu.

Czy w każdym wypadku zarzšdzajšcy np. hotelem czy galeriš będzie musiał mieć zgodę osoby, której dane przetwarza?

Podobnie jak dziœ, nie zawsze będzie ona potrzebna. Na przykład deweloper chce sprzedać lokal. Wówczas umowa z klientem będzie wystarczajšcš podstawš do przetwarzania danych kupujšcego w celu jej wykonania. Natomiast jeżeli zechce dane klientów wykorzystywać do innych celów, np. marketingowych, to już musi rozważyć potrzebę pozyskania ich zgody.

Podobne zasady jak w wypadku deweloperów będš obowišzywać np. w relacjach dostawca – centrum handlowe czy najemca – zarzšdca biurowca. I w tych wypadkach do wykonania umów nie będzie potrzebna zgoda. RODO zmieniajš również zasady wyrażania tej zgody. Musi być ona wyrażona dobrowolnie, jednoznacznie i konkretnie. Dana osoba, zanim wyrazi zgodę, musi zostać poinformowana o prawie do jej wycofania w dowolnym momencie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Ale cofnięcie zgody będzie się wišzało z ogromnym ryzykiem. Sieć sklepów przygotuje kampanię lojalnoœciowš dla swoich klientów, a potem częœć z nich się z niej wycofa i co wtedy?

Wycofanie zgody powoduje tylko skutek na przyszłoœć, powodujšcy brak możliwoœci przetwarzać danych. Natomiast nie odniesie to skutków wstecz, do działań prowadzonych przed cofnięciem. Dla przestrzegajšcych tych zasad takiego ryzyka więc nie będzie.

Mimo że o RODO mówi się od dawna, wiele firm nie dostosowało się jeszcze do tych przepisów. Co im grozi?

Przede wszystkim za nieprzestrzeganie przepisów przewidziano bardzo wysokie kary administracyjne. Mogš one wynieœć nawet równowartoœć 20 tys. euro albo do 4 proc. rocznych obrotów danego przedsiębiorcy. Kary będš nakładane decyzjš administracyjnš przez nowy organ państwowy – prezesa Urzędu Ochrony Danych (UOD).

Jak będzie kontrolowany sposób przestrzegania przepisów?

Kontrola administracyjna będzie przeprowadzana przez prezesa UOD, a szczegółowe rozwišzania w tym zakresie znajdš się w polskiej ustawie uzupełniajšcej RODO. Te ostatnie przewiduje, że również osoba fizyczna będzie mogła domagać się w sšdzie realizacji jej praw w zakresie ochrony danych osobowych. Natomiast organizacje społeczne będš mogły uczestniczyć w postępowaniach administracyjnych, działajšc w interesie osoby, której dane dotyczš.

CV

Dr Grzegorz Sibiga jest adwokatem w Kancelarii Traple, Konarski, Podrecki i Wspólnicy oraz kierownikiem Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych Polskiej Akademii Nauk. Kieruje studiami podyplomowym dla inspektorów ochrony danych. Specjalizuje się w ochronie informacji i prawnych aspektów zastosowania technologii informacyjno-telekomunikacyjnych.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL