Komercyjne

Grzegorz Sibiga: Dane osobowe klienta pod większym parasolem ochronnym

Grzegorz Sibiga, adwokat, pracownik Polskiej Akademii Nauk.
materiały prasowe
Unijne ogólne rozporządzenie o ochronie danych osobowych, czyli RODO, dotyczy również zarządzających galeriami handlowymi, hotelami czy biurowcami - mówi Grzegorz Sibiga, adwokat, pracownik Polskiej Akademii Nauk.

Rz: Już wkrótce, 25 maja, zaczną obowiązywać nowe przepisy unijne w sprawie ochrony danych osobowych. Dotyczą one również galerii handlowych, biurowców i hoteli?

Dr. Grzegorz Sibiga: Tak, oczywiście. Unijne ogólne rozporządzenie o ochronie danych osobowych, czyli RODO, dotyczy również zarządzających galeriami handlowymi, hotelami czy biurowcami. Korzystają oni przecież z danych osobowych klientów, dostawców będących osobami fizycznymi, swoich pracowników czy usługodawców. Mają też często monitoring zamontowany w budynkach i na parkingach, dzięki któremu rejestrują obraz.

Jakich konkretnie zmian można się spodziewać?

Tak jak obecnie, będą oni administratorami danych. Ale od 25 maja, decydując się na przetwarzanie danych, będą musieli brać pod uwagę dwie nowe zasady: rozliczalności oraz podejścia opartego na ryzyku.

W wypadku pierwszej zasady, tj. rozliczalności, będą mieli obowiązek wykazać, że stosowane przez nich metody są zgodne z RODO oraz skuteczne. Wymaga to wdrożenia odpowiednich procedur postępowania lub dokumentacji wewnętrznej, tzw. polityk ochrony danych, i to nawet wtedy, gdy obowiązek ten nie wynika bezpośrednio z RODO. Dzięki temu administratorzy będą mogli wykazać, że prawidłowo dobrali zabezpieczenia danych czy poprawnie zaprojektowali funkcjonalności chroniące dane w systemie informatycznym. W przyszłości zaś zasada rozliczalności będzie służyć do uzyskiwania certyfikatu zgodności z RODO.

Druga zasada jest ściśle związana z ryzykiem, jakie może się pojawić w wypadku osoby, o której dane chodzi. Im większe jest to ryzyko, tym więcej obowiązków będzie spoczywać na administratorze danych. Przykładowo: hotel utraci dane gościa. Rodzi to duże niebezpieczeństwo, że zostaną one wykorzystane m.in. do kradzieży tożsamości. Hotel będzie musiał więc zawiadomić gościa o utracie tych danych. Dziś takiego wymogu prawo nie przewiduje.

RODO nakłada również na administratorów inne obowiązki, w tym informowania osób, których dane osobowe zbierają.

Ale tak jest i dziś.

To prawda. RODO znacznie go rozbudowuje, a do tego informacje muszą być przekazane jasnym i prostym językiem.

Co więc np. pracownik recepcji będzie musiał przekazać gościom, meldującym się w hotelu?

Każdy gość, który podczas rejestracji przekazuje swoje dane, powinien otrzymać komunikat. Powinny znaleźć się w nim m.in. informacje identyfikujące administratora danych, podstawa prawna przetwarzania, wyjaśnienie, w jakim celu i jak długo dane będą wykorzystywane i jakie w związku z tym uprawnienia mu przysługują. Dziś najczęściej jest to bardzo lakoniczna informacja w formularzu.

Czy w każdym wypadku zarządzający np. hotelem czy galerią będzie musiał mieć zgodę osoby, której dane przetwarza?

Podobnie jak dziś, nie zawsze będzie ona potrzebna. Na przykład deweloper chce sprzedać lokal. Wówczas umowa z klientem będzie wystarczającą podstawą do przetwarzania danych kupującego w celu jej wykonania. Natomiast jeżeli zechce dane klientów wykorzystywać do innych celów, np. marketingowych, to już musi rozważyć potrzebę pozyskania ich zgody.

Podobne zasady jak w wypadku deweloperów będą obowiązywać np. w relacjach dostawca – centrum handlowe czy najemca – zarządca biurowca. I w tych wypadkach do wykonania umów nie będzie potrzebna zgoda. RODO zmieniają również zasady wyrażania tej zgody. Musi być ona wyrażona dobrowolnie, jednoznacznie i konkretnie. Dana osoba, zanim wyrazi zgodę, musi zostać poinformowana o prawie do jej wycofania w dowolnym momencie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Ale cofnięcie zgody będzie się wiązało z ogromnym ryzykiem. Sieć sklepów przygotuje kampanię lojalnościową dla swoich klientów, a potem część z nich się z niej wycofa i co wtedy?

Wycofanie zgody powoduje tylko skutek na przyszłość, powodujący brak możliwości przetwarzać danych. Natomiast nie odniesie to skutków wstecz, do działań prowadzonych przed cofnięciem. Dla przestrzegających tych zasad takiego ryzyka więc nie będzie.

Mimo że o RODO mówi się od dawna, wiele firm nie dostosowało się jeszcze do tych przepisów. Co im grozi?

Przede wszystkim za nieprzestrzeganie przepisów przewidziano bardzo wysokie kary administracyjne. Mogą one wynieść nawet równowartość 20 tys. euro albo do 4 proc. rocznych obrotów danego przedsiębiorcy. Kary będą nakładane decyzją administracyjną przez nowy organ państwowy – prezesa Urzędu Ochrony Danych (UOD).

Jak będzie kontrolowany sposób przestrzegania przepisów?

Kontrola administracyjna będzie przeprowadzana przez prezesa UOD, a szczegółowe rozwiązania w tym zakresie znajdą się w polskiej ustawie uzupełniającej RODO. Te ostatnie przewiduje, że również osoba fizyczna będzie mogła domagać się w sądzie realizacji jej praw w zakresie ochrony danych osobowych. Natomiast organizacje społeczne będą mogły uczestniczyć w postępowaniach administracyjnych, działając w interesie osoby, której dane dotyczą.

CV

Dr Grzegorz Sibiga jest adwokatem w Kancelarii Traple, Konarski, Podrecki i Wspólnicy oraz kierownikiem Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych Polskiej Akademii Nauk. Kieruje studiami podyplomowym dla inspektorów ochrony danych. Specjalizuje się w ochronie informacji i prawnych aspektów zastosowania technologii informacyjno-telekomunikacyjnych.

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL