Michał Czuryło - RODO: e-obowiązki to również szansa

Trwają prace nad dostosowaniem prawa polskiego do rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, znanego powszechnie jako RODO. Ich ostatnim efektem są opublikowane 12 września 2107 r. projekty ustawy o ochronie danych osobowych oraz przepisy go wprowadzające. Ten drugi projekt zawiera postanowienia bezpośrednio wpływające na prowadzenie działalności przez administratorów danych osobowych w poszczególnych sektorach gospodarki.

Znając założenia reformy, warto się pokusić o analizę korzyści, jakie przyniesie ona polskim przedsiębiorcom. Do tej pory bowiem duża część dostępnych analiz skupiała się na nowych zobowiązaniach lub na sankcjach za ich nieprzestrzeganie. Tymczasem RODO i jego wdrożenie to również ułatwienia dla dużej grupy podmiotów, a dla niektórych wręcz szansa na wejście na rynki, na których regulacje prawne do tej pory nie pozwalały na prowadzenie działalności w określony sposób. Warto zwrócić uwagę, że nowe przepisy regulować mają zagadnienia, które do tej pory nie doczekały się ram prawnych mimo zgłaszanych od lat postulatów (np. monitoring czy biometria).

Korzyści dla administratorów

Unijny prawodawca, pracując nad RODO, kierował się założeniem neutralności technologicznej tego aktu – powinien on pozostać aktualny niezależnie od zmian zachodzących w zakresie nauki i techniki. Również polski ustawodawca musiał w związku z tym zrezygnować ze sztywnych ram, jakie nakładał na administratorów, szczególnie w przepisach rozporządzeń do ustawy o ochronie danych osobowych. Takie wymogi jak obowiązek zmieniania hasła co 30 dni nie znalazły uznania również w oczach osób profesjonalnie zajmujących się bezpieczeństwem. Podkreślano, że mechaniczne stosowanie się do nich ma w wielu przypadkach skutek wręcz odwrotny do zamierzonego. Przedsiębiorcy nie będą musieli więc w sztuczny sposób dostosowywać się do jednakowych wymogów opracowanych z góry, lecz będą mogli sami decydować, jakie środki wdrożyć, przy uwzględnieniu stanu wiedzy, kosztów czy charakteru, zakresu, kontekstu i celów przetwarzania danych, a także stopnia ryzyka i wagi występujących zagrożeń. Pozwoli to na racjonalne podejście do posiadanego systemu ochrony danych osobowych, a po bardziej gruntownej jego analizie – na skierowanie wydatków na te jego części, których dofinansowanie da rzeczywiste i pozytywne skutki.

W tym samym duchu ocenić należy rezygnację z obowiązkowego rejestru zbiorów danych osobowych. Ogromną bolączką tego rejestru jest czas trwania postępowania rejestrowego, które trwa obecnie wiele miesięcy, a niekiedy nawet lat. Dla administratora chcącego zgodnie z przepisami przetwarzać np. dane wrażliwe jest to szczególnie uciążliwe ze względu na to, że dane takie co do zasady mogą być przetwarzane dopiero po zarejestrowaniu zbioru.

Zgoda przez internet

W RODO zrezygnowano z wymogu pisemnej formy zgody na przetwarzanie danych osobowych wrażliwych. Zgodnie z obowiązującą jeszcze definicją ustawową obejmują one m.in. pochodzenie rasowe, etniczne, poglądy polityczne czy dane o stanie zdrowia bądź dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych. Spośród danych wrażliwych niektóre mogą być bardzo cenne dla przedsiębiorców, np. dane o stanie zdrowia są niezbędne, by w ogóle dostarczać świadczenia medyczne. Bez nich nie da się też dostosować oferty w zakresie ubezpieczeń zdrowotnych i na życie. Dane o skazaniach mogą być zaś bardzo istotne dla przedsiębiorców weryfikujących potencjalnych pracowników, np. kierowców czy osoby mające mieć dostęp do ważnych danych klientów lub operacji finansowych. Obecnie, jeżeli przetwarzanie danych wrażliwych ma się odbywać na podstawie zgody, polskie przepisy wymagają dla niej formy pisemnej, czym ograniczano chociażby rozwój rynku ubezpieczeń zdrowotnych i na życie, nie pozwalając np. na przeprowadzenie ankiety medycznej w pełni za pośrednictwem środków komunikacji na odległość, w tym internetu. Usługi te w tym samym czasie rozwijały się w innych państwach Unii o bardziej liberalnych wymogach. Spowodowało to, że dystans do tych państw zamiast się zmniejszać, dodatkowo rósł.

Takie same ograniczenia dotykają również rynku usług telemedycyny. Wiele podmiotów z dużym zadowoleniem powinno więc przyjąć złagodzenie w RODO wymogów co do zgody na przetwarzanie szczególnych kategorii danych – ma ona mieć charakter wyraźny, ale już nie formę pisemną. Oznacza to chociażby możliwość wyrażenia takiej zgody przez internet, w połączeniu telefonicznym czy w trakcie wideorozmowy.

Przedsiębiorcy z sektora ubezpieczeniowego są podmiotami, które szczególnie mogą zyskać na wejściu RODO i zmianach przepisów prawa krajowego wynikających z projektowanych przepisów przejściowych. Wspomniane zniesienie pisemnej zgody otwiera chociażby drogę do zawierania umów ubezpieczenia na życie w całości z wyłączeniem osobistego kontaktu z konsultantem. Udostępnienie danych o zdrowiu ubezpieczycielowi przez samego klienta czy też uzyskanie danych o stanie zdrowia tegoż klienta od podmiotów wykonujących działalność leczniczą będzie mogło następować na podstawie zgody wyrażonej przez niego ustnie czy w trakcie połączenia przez internet.

Co więcej, przepisy te przewidują też umożliwienie przedsiębiorcom z sektora ubezpieczeniowego podejmowanie decyzji na podstawie zautomatyzowanego przetwarzania danych, w tym profilowania – w celu oceny ryzyka ubezpieczeniowego. Tak ukształtowane uprawnienia zakładów ubezpieczeń otwierają przed nimi cały wachlarz nowych możliwości. W szczególności w zakresie wykorzystania w komunikacji z obecnymi i potencjalnymi klientami kanałów do tej pory przedsiębiorcom niedostępnych, przy jednoczesnym utrzymaniu poziomu ochrony interesów klientów i samego ubezpieczyciela.

Dane biometryczne

Nowe możliwości reforma otwiera również przed bankami i SKOK. Wprawdzie dla usług świadczonych przez te podmioty dane wrażliwe mają mniejsze znaczenie, zaś biometria już od jakiegoś czasu jest przez nie wdrażana, jednak przepisy przejściowe i dla bankowców niosą pewne ułatwienia. Nowelizacja prawa bankowego ma im dać np. prawo do przetwarzania danych osobowych w sposób zautomatyzowany, w tym poprzez profilowanie, w celu oceny zdolności kredytowej, a także w celu wykonania obowiązku zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Co więcej, uprawnienia banków i SKOK do przetwarzania danych biometrycznych będą dokładniej uregulowane – zarówno dla pracowników, kandydatów do pracy, jak i klientów. W tym ostatnim przypadku przepisy wyraźnie mają dopuszczać przetwarzanie danych z dokumentów tożsamości oraz dane biometryczne w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej, a także uwierzytelnienia czynności dokonywanej przez osobę fizyczną.

Autorzy projektów ustaw wychodzą jeszcze dalej naprzeciw potrzebom sektora bankowego i przewidują możliwość utworzenia na poziomie międzybankowym podmiotu, któremu przekazywane będą dane biometryczne. Do tej pory takiego centralnego rejestru wzorców dla porównywania danych biometrycznych w celu weryfikacji klientów brakowało. Brakowało również podstawy prawnej do przekazywania danych takiemu podmiotowi bez wymogu uzyskiwania zgody osób, których dane osobowe dotyczą. Wskazane przeszkody wobec upowszechnienia stosowania biometrii jako metody potwierdzania tożsamości klientów banków w niedalekiej przyszłości mogą zniknąć.

Podobne uprawnienia jak opisane powyżej oprócz banków i SKOK uzyskać mają również instytucje płatnicze oraz instytucje pieniądza elektronicznego. Do celów prowadzenia działalności w zakresie świadczenia usług płatniczych instytucje te będą mogły przetwarzać dane pobrane z dowodów osobistych czy dane biometryczne. ?