Przedsiębiorcy najczęściej nie mają świadomości, że gigantyczne kary grożą za – wydawałoby się – niegroźne przewinienia. Wprowadzone zaś przez RODO regulacje dotyczą nie tylko cyfrowej dokumentacji. Towarzyszące temu rozporządzeniu prawo do bycia zapomnianym nakazuje – na prośbę wyrażającego taką wolę – usunięcie wszystkich jego danych personalnych, zarówno z cyfrowych baz danych, jak i papierowych nośników typu wydruki e-maili, a nawet luźne notatki.
Prawo do bycia zapomnianym to rezultat sprawy wytoczonej przez Mario Costeja Gonzaleza hiszpańskiemu GIODO i hiszpańskiemu oddziałowi Google. Mario Costejo Gonzalez domagał się, aby z wyników wyszukiwania Google usunięte zostały linki do stron internetowych zawierających jego dane osobowe. Sprawa doszła aż do Trybunału Sprawiedliwości Unii Europejskiej, Sądu Najwyższego UE. Trybunał, rozpoznając sprawę, uznał Google za administratora danych osobowych i nakazał Google usunąć wyniki wyszukiwania. Prawo do bycia zapomnianym to takie uprawnienie, które pozwala na usunięcie informacji personalnych z baz danych zgromadzonych przez różne podmioty dysponujące danymi osobowymi.
Na bazie sprawy Mario Costeja Gonzaleza, w RODO wprowadzono art. 17 zatytułowany Prawo do usunięcia danych (prawo do bycia zapomnianym). Na mocy tego przepisu, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek, bez zbędnej zwłoki, je usunąć. Obowiązek ten powstaje, gdy zachodzi jedna z następujących sytuacji: dane te nie są już administratorowi niezbędne, została cofnięta zgoda na ich przetwarzanie, osoba, której dane dotyczą, wnosi sprzeciw co do ich przetwarzania bądź były one przetwarzane niezgodnie z prawem.
Usuwać trzeba także „analogowe” rekordy
Jedna z warszawskich firm w październiku 2017 roku organizuje dużą konferencję dla potencjalnych klientów. Aby zapewnić jak najwyższą frekwencję, stworzyła bazę danych potencjalnych gości, korzystając zarówno z własnych, jak i zewnętrznych baz danych. Jednym z zaproszonych gości jest pan X, który jak się okazuje, nie jest zainteresowany tematyką konferencji i żąda usunięcia danych z listy mailingowej. Dzisiaj wystarczy, że firma usunie go z bazy i tym samym spełni wymogi Ustawy o ochronie danych osobowych. Za rok to jednak nie wystarczy. Co więcej, organizacja może być narażona na gigantyczne kary. Dlaczego?
Zgodnie z zapisami RODO, firma musi na żądanie danej osoby usunąć jej dane. Mało kto jednak wie o tym, że dotyczy to wszystkich dokumentów, na których one widnieją. To więc nie tylko elektroniczne bazy danych, ale także pliki, e-maile, luźne wydruki, ankiety i dokumenty, które być może leżą spakowane w kartonach lub na półce. Jeżeli zawierają dane osobowe, to podlegają ochronie.
Przepisy nakazujące wykreślenie na żądanie danych osobowych z firmowych rejestrów, zawarte w Ustawie o ochronie danych osobowych, obowiązują już dzisiaj. Problem w tym, że nikt dotychczas nie analizował czy po cofnięciu zgody na ich dalsze gromadzenie i przetwarzanie przez daną osobę, zostały one usunięte ze skanów, plików tekstowych czy nagrań, które również stanowią „nośniki” informacji personalnych. Podobnie jak dokumenty w klasycznej, papierowej formie. W praktyce, zwykle nikt nie weryfikuje, czy na skanach bądź wydrukach znajdują się informacje klasyfikowane jako dane osobowe. W przypadku, gdy w jakikolwiek sposób „wypłyną” one poza organizację – niezależnie od tego, czy w formie cyfrowej, czy też papierowej – a zawierają dane osób, które skorzystały z prawa do bycia zapomnianym, mogą narazić firmę na wielomilionowe straty finansowe z tytułu kar przewidzianych w RODO.
Nazwisko czy dzień tygodnia?
Ręczna weryfikacja baz danych oraz dokumentów tekstowych, także tych w formie papierowej, pod kątem zlokalizowania na nich danych osobowych, byłaby niezwykle trudna i czasochłonna. Wystarczy wyobrazić sobie liczbę rekordów administrowanych przez firmy od wielu lat oraz dynamikę ich przyrostu każdego dnia. Dostosowanie się do wymogów RODO wymaga zatem zatrudnienia dodatkowych osób wspierających proces wdrażania wytycznych rozporządzenia. Bądź alternatywnie, inwestycji w odpowiednią technologię.
Z pomocą przychodzi automatyzacja, czyli rozwiązania pozwalające na detekcję przeskanowanych plików w świetle mogących się tam znajdować rekordów personalnych, jak m.in. imiona i nazwiska, adresy, e-maile czy loginy. Jednak w dokumentach przechowywanych przez przedsiębiorstwa zwykle nie występują one w ustrukturyzowanych zbiorach i często należy je wychwycić z plików tekstowych zawierających wiele innych informacji, niebędących danymi osobowymi.
Na rynku są dostępne narzędzia potrafiące wyszukać konkretne frazy, określane jako analizatory składniowe bądź tzw. persery. Niestety, ich funkcjonalność ogranicza się do reagowania na słowa klucze, co powoduje, że firma wcześniej musi wiedzieć, jakie dane wrażliwe może posiadać w swoich zbiorach. Co jednak w przypadku, gdy nie jest w stanie tego określić? Rozwiązanie może stanowić inteligentna platforma potrafiąca ‘czytać’ tekst ze zrozumieniem i rozpoznająca szerszy kontekst, w jakim użyto daną frazę. Dzięki złożonej analizie dokumentu potrafi ona ocenić, czy poszczególne wyrazy są danymi osobowymi i – w zależności od kontekstu – potraktować np. frazę „poniedziałek” jako dzień tygodnia, niestanowiący wrażliwej danej, bądź jako nazwisko, automatycznie klasyfikując ten element tekstu jako wrażliwa informacja, podlegająca ochronie.
Wyjątki od zapomnienia
Jeżeli dana osoba zgłasza żądanie dotyczące zapomnienia danych osobowych, to dotyczy to wszystkich powiązanych z nią informacji, niezależnie od sposobu ich przechowywania. Trzeba jednak wspomnieć, iż także tutaj znajdziemy wiele wyjątków od konieczności egzekwowania prawa do bycia zapomnianym.
Tym, co pozwala zatrzymać te dane do dalszego przetwarzania, jest prawnie uzasadniona potrzeba wynikająca z innych aktów, np. Prawa telekomunikacyjnego. Inny przykład mogą stanowić akta pracownicze, podlegające potrzebie gromadzenia przez 50 lat. Obowiązek ten wynika jednak zwykle z innych przepisów i tylko wtedy żądanie klienta może nie zostać spełnione.
Czasu coraz mniej
Niepokojący jest fakt, że świadomość przedsiębiorców dotycząca RODO wciąż jest niewielka. Według zeszłorocznego badania firmy Dell, ponad 80% ankietowanych przedstawicieli firm nic nie wie na temat nowego unijnego rozporządzenia lub ma o nim szczątkową wiedzę. Zaledwie 3% osób biorących udział w badaniu zadeklarowało, że ich firma ma stosowny plan oraz dysponuje procedurami spełnienia wytycznych RODO.
