Specyfiką regulacji dotyczących przetwarzania danych osobowych – zarówno na szczeblu unijnym, jak i krajowym jest wysoki poziom ogólności przepisów. Z jednej strony jest to korzystne, bo pozwala na dostosowanie różnych sposobów prowadzenia działalności do tych samych przepisów. Z drugiej strony pozostawia wątpliwość, czy zrealizowane działania są wystarczające i naraża przedsiębiorców na spieranie się w razie ewentualnych kontroli.

Szczególnie odczuwają to przedsiębiorcy działający na rynku nowych technologii, którzy wdrażają nowe, nierzadko innowacyjne rozwiązania, które wyprzedzają wyobraźnię legislatora. Żeby móc legalnie funkcjonować muszą nie tylko wychodzić poza literalną treść obowiązujących aktów prawnych, ale często również budować modele biznesowe w oparciu o własne doświadczenia i dostępne interpretacje podobnych przypadków. Powoduje to, że biznes musi zachować dużą czujność i monitorować zmieniające się regulacje, wytyczne oraz stanowiska, ponieważ mogą one istotnie wpłynąć na prowadzoną przez nich działalność. A jak wiadomo każde dostosowanie do nowych zasad kosztuje – pochłania czas i środki.

Czy wytyczne mogą zapewnić ochronę?

Od czasu wejście w życie RODO, na stronie internetowej www.uodo.gov.pl oraz w dedykowanym newsletterze Urzędu Ochrony Danych Osobowych dla Inspektorów Ochrony Danych Osobowych są publikowane informacje dotyczące istotnych z punktu widzenia tego organu zagadnień i zajmowanych stanowisk. W przestrzeni publicznej pojawia się jednak coraz więcej głosów o tym, że informacje te są zbyt ogólne lub skupione na problemach niszowych z punktu widzenia potrzeb biznesu. Mimo to, publikowane przez UODO stanowiska stanowią istotne źródło informacji o interpretacji prawnej, która może zostać zastosowana w przypadku ewentualnej kontroli. Niestety w zakresie przetwarzania danych osobowych ustawodawca nie przewidział trybu pozwalającego na zgłoszenie się przedsiębiorcy do UODO z wnioskiem o wydanie indywidualnej interpretacji przepisów. Tego typu interpretacja zapewniłaby przedsiębiorcy gwarancję ochrony prawnej, tak jak ma to miejsce w przypadku np. wątpliwości podatkowych. Forma, w jakiej UODO formułuje swoje stanowiska ma więc znaczenie. Zgodnie z art. 57 RODO do zadań UODO należy m.in.:

  1. upowszechnianie wiedzy o obowiązkach administratorów i podmiotów przetwarzających,
  2. wydawanie zgody na klauzule umowne przy transgranicznych przetwarzaniu i zatwierdzanie wiążących reguł korporacyjnych,
  3. ustanawianie i prowadzenie wykazu rodzajów operacji przetwarzania podlegających obowiązkowo DPIA,
  4. udzielanie konsultacji dotyczących przetwarzania o wysokim ryzyku.

W oparciu o tak sformułowane kompetencje UODO, przedsiębiorcy mogą próbować bronić się przed negatywnymi skutkami stosowania się do informacji wyczytanych na stronie internetowej, jednak wyraźnie widać, że przepisy odróżniają upowszechnianie wiedzy od zajmowania stanowiska w konkretnej sprawie (w formie zgody, konsultacji, zatwierdzenia lub wydania dokumentu określonego w przepisach).

Wyścig z czasem, czyli na ile przydatne mogą być stanowiska UODO dotyczące nowych technologii

UODO wykazuje znaczną aktywność w tematyce dotyczącej aplikacji mobilnych. Jest to ważna kwestia, ponieważ skala, na jaką wykorzystujemy tego typu rozwiązania z roku na rok lawinowo rośnie. Czy te wytyczne są przydatne? W drugiej połowie 2019 roku UODO zajął się kwestią praktycznego korzystania z aplikacji i opublikował[1] wykaz elementarnych kroków, które należy podjąć przed zainstalowaniem aplikacji na urządzeniu mobilnym. W publikacji zwrócono uwagę na zagrożenia, jakie mogą dotyczyć przetwarzania danych przez użytkowników aplikacji mobilnych. Mimo, że materiał nie dostarczył gotowych rozwiązań, pozwolił na zidentyfikowanie obszarów problemowych, takich jak:

  • zbyt szeroki jak na potrzeby konkretnego przetwarzania dostęp do zasobów urządzenia mobilnego oraz jego funkcji (np. połączenia sieciowe, pamięć wewnętrzna, kontakty, etc.), czyli zarządzanie uprawnieniami dostępu do danych,
  • niezapoznanie się użytkowników z informacjami dotyczącymi rzeczywistego przetwarzania danych udostępnionych przez podmiot oferujący aplikację, czyli problem z wykonaniem i udokumentowaniem obowiązków informacyjnych,
  • niewłaściwa realizacja obowiązków związanych z zasadami minimalizacji danych przez podmioty oferujące aplikację tzn. przetwarzania wyłącznie danych niezbędnych i nie gromadzenia danych nadmiarowych,
  • niewłaściwe stosowanie przez podmioty oferujące aplikacje zasady ochrony danych w fazie projektowania i domyślnej ochrony danych.

Przytoczony przykład dobitnie pokazuje, że informacje podawane przez UODO zawsze trzeba czytać szerzej i uzupełniać pytaniami związanymi ze specyfiką własnych problemów. Biorąc pod uwagę, że publikacje w większości mają charakter informacyjny, w razie powoływania się na nie kluczowe jest zapewnienie porównywalności stanu faktycznego i założeń przyjętych w publikowanej informacji.

Wiele z publikacji UODO koncentruje się na sytuacji osób, których dane dotyczą, co nie znaczy, że UODO całkowicie pomija obowiązki administratorów czy procesorów. Z obu informacji można jednak wyciągnąć właściwe wnioski. W przypadku instalowania aplikacji mobilnej, widać nacisk na świadomość sposobu działania aplikacji na urządzeniu i jej pełnej funkcjonalności, która jest warunkiem wyrażenia chęci korzystania z aplikacji na swoim urządzeniu.

Innym przykładem analizy elektronicznego przetwarzania danych jest przykład aplikacji do rozliczania przejazdów[2]. UODO wziął na warsztat taką aplikację wskazując szereg zagrożeń dla jej użytkowników końcowych. Wyniki analizy pozwalają zidentyfikować problemy, na które twórcy aplikacji powinni szczególnie mocno zwracać uwagę, takie jak::

  • zbyt szeroki zakres przetwarzanych danych i zbyt szeroki krąg odbiorców danych, naruszającą zasadę minimalizacji danych,
  • nieprzejrzyste i niewłaściwe informowanie użytkowników końcowych, które narusza zasadę przejrzystości,
  • nieprzeprowadzenie oceny skutków dla ochrony danych (DPIA) w sytuacji, w której ze względu na możliwe ograniczenie prawa prywatności osób, których dane dotyczą taka ocena powinna zostać przeprowadzona.

UODO zanalizował[3] również zagrożenia mogące powstawać przy korzystaniu z darmowych aplikacji. Część uwag była skierowana do użytkowników – w szczególności uwagi dotyczące darmowych rozwiązań proponowanych na rynku, które często okazują się jednak płatne. Sprytnie ułożone okresy darmowego korzystania z aplikacji w pierwszych dniach od instalacji przekładają się na samoistne pobieranie środków z kart płatniczych podpiętych do kont użytkowników. Ważnym wnioskiem dla twórców aplikacji powinna być jasność przekazu do użytkownika. Środki zapłacone za używanie aplikacji, co prawda ciężko użytkownikowi odzyskać, jeżeli dostawcy aplikacji zasłaniają się akceptacją warunków korzystania z aplikacji przez jej użytkownika. Działanie twórców aplikacji nie chroni ich jednak przed zarzutem naruszenia obowiązków wynikających z art. 12 RODO, to znaczy niejasnych zapisów dotyczących pobierania danych na potrzeby płatności, dobrowolność instalacji już nie chroni. Umiejętne czytanie publikowanych informacji, pozwala na uporządkowanie problemów, na które może natknąć się administrator czy procesor w trakcie układania i prowadzenia przetwarzania danych.

Krajowo vs na europejskim poziomie

Poza UODO, organem, którego rolą jest interpretowanie przepisów w zmieniających się realiach jest Europejska Rada Ochrony Danych (EROD). Zgodnie z art. 70 ust. 1 RODO, organ ten wydaje szereg wytycznych i zaleceń, a także określa najlepsze praktyki związane z RODO. Stanowiska UODO nie powinny być sprzeczne ze stanowiskami EROD, jednak jak pokazały wydarzenia związane z epidemią COVID-19, różni je czasem poziom szczegółowości lub kontekst. Co to oznacza dla przedsiębiorcy? Że stanowisko EROD jest solidniej umocowane, jednak trudniej do jego szczebla dotrzeć w razie sporu, bo kontrole i kary wymierzają w zasadzie organy krajowe.

EROD kładzie duży nacisk na podnoszenie świadomość użytkowników o działaniu aplikacji Ostatnie komunikaty[4] EROD były kierowane w szczególności do podmiotów wdrażających rozwiązania cyfrowe mające na celu przeciwdziałanie rozprzestrzeniania się COVID-19. EROD zwróciło uwagę w szczególności na:

  • zakres przetwarzanych danych geolokalizacyjnych,
  • dobrowolność ściągania aplikacji przez użytkowników,
  • cele przetwarzania, które nie powinny sprzyjać nadmiernemu gromadzeniu danych.

Bez wątpienia, publikowanie tego typu wytycznych należy ocenić pozytywnie ze względu na szerzenie świadomości nie tylko użytkowników końcowych aplikacji, ale także przedsiębiorców projektujących i wdrażających aplikacje. Wytyczne i opinie EROD mogą być solidną podstawą do budowania argumentów w razie ewentualnego sporu z organami krajowymi.

Jak nie utonąć w natłoku informacji

Ułożenie procesu przetwarzania danych osobowych nie jest proste. To w jaki sposób zostaną zaplanowane działania dotyczące przetwarzania danych osobowych, rzutuje później na skuteczność i koszty prowadzenie działalności gospodarczej. Przedsiębiorcy, którzy są na etapie projektowania nowych procesów przetwarzania danych osobowych lub zmian w dotychczasowych (zwłaszcza ich elektronizacji), powinni prowadzić stały monitoring kryteriów zgodności prowadzonej działalności z przepisami o ochronie danych osobowych. Dlatego? Bo im się to opłaca. Co prawda, dopóki nie zostanie wymierzona, możliwa kara jest tylko wartością potencjalnej straty, to jednak może zmaterializować się boleśnie jako ryzyko finansowe.

Monitorowane pod kątem zmian prawnych, wytycznych i nowych stanowisk powinny być obszary, które są bezpośrednio związane z prowadzoną działalnością. Podstawą do ich określenia powinny być prowadzone rejestry przetwarzania. Selekcja i śledzenie informacji, która jest skupiona wokół prowadzonej działalności gospodarczej pozwoli precyzyjnie wyfiltrować kluczowe informacje, które mogą okazać się przydatne i stanowić wskazówkę, co do interpretacji przepisów prawa. Szybkie wykrywanie zmian w interpretacji przepisów pozwala nie tylko uniknąć ewentualnej kary, ale również rozłożyć w czasie dostosowanie procesu przetwarzania.

Monitorowanie publikowanych informacji ze strony UODO oraz organów działających na szczeblu unijnym powinno opierać się na selekcji prowadzonej w oparciu o przedmiot prowadzonej działalności. Odpowiednio wyselekcjonowane informacje mogą wpłynąć pozytywnie na dostosowanie procesów przetwarzania danych osobowych w ramach prowadzonej działalności gospodarczej. Sytuacja ta powinna znaleźć się w kręgu zainteresowania zwłaszcza w przypadku przedsiębiorców działających w branżach innowacyjnych, które często działają w warunkach niedoregulowania legislacyjnego. Szybka reakcja przedsiębiorców na pojawiające się stanowiska może pozwolić na przygotowanie się do ewentualnej kontroli i uniknięcie negatywnych konsekwencji zarzutów dotyczących przetwarzania w tak newralgicznych obszarach jak legalne pozyskiwanie i minimalizacja danych, realizacja obowiązków informacyjnych, stosowanie właściwych zabezpieczeń. Projektowanie aplikacji mobilnych, wdrażanie innowacyjnych systemów i rozwiązań, niezależnie od tego, czy są one dedykowane dla branż nowych technologii, transportowych, czy innych segmentów rynku w większości przypadków wiąże się z przetwarzaniem danych osobowych. Stanowiska UODO zwracają uwagę na elementarne zagadnienia w dziedzinie przetwarzania danych osobowych, których uwzględnienie w ramach projektowania tego typu rozwiązań może okazać się punktem wyjścia dla ułożenia prawidłowego procesu przetwarzania danych osobowych i zapewnienia zgodności z obowiązującymi przepisami prawa.

[1] Dostęp 25 stycznia 2021 r., https://uodo.gov.pl/pl/138/1122

[2] Dostęp 25 stycznia 2021 r., https://uodo.gov.pl/pl/138/1232

[3] Dostęp 25 stycznia 2021 r., https://uodo.gov.pl/pl/138/1576

[4] Dostęp 25 stycznia 2021 r., https://uodo.gov.pl/pl/138/1570