Hasło “Data Is The New Gold” pada w analizach ekonomicznych od kilku lat. Związane jest z ideą Industry 4.0– tą spowodowaną przez rozwój cyfryzacji i Internetu. Jednak nie od początku zastanawiano się nad rozwiązaniami prawnymi regulującymi wymianę informacji w Internecie. Uznawano wręcz, że nic nie stoi na przeszkodzie, aby reguły obowiązujące w świecie analogowym odpowiednio stosować w tym cyfrowym.
Tymczasem, coraz więcej wskazuje na to, że jednak nowe przepisy uwzględniające specyfikę Internetu i zmian technologicznych będą potrzebne. To jest jeden z głównych kierunków zmian prawnych, które czekają nas w najbliższej przyszłości. Poniżej przedstawiam zestawienie najbardziej “gorących” tematów z zakresu ochrony danych i wymiany informacji, na które warto zwrócić uwagę w kolejnym roku.
Rok 2018 pod znakiem RODO
Rok 2018 wprowadził niezwykle intensywne zmiany w podejściu do ochrony danych osobowych w przedsiębiorstwach. Przede wszystkim stało się to za sprawą ogólnego rozporządzenia o ochronie danych osobowych (RODO), które rozpoczęło obowiązywać od 25 maja 2018 r. W założeniu miało pozwolić na lepsze kontrolowanie danych osobowych oraz ujednolicić przepisy dla wszystkich krajów Unii Europejskiej. Jednak od samego początku wywoływało mnóstwo skrajnych emocji i dyskusji. Temperaturę podnosiła groźba, że naruszenie zasad RODO może skutkować wielomilionową karą. Dochodziło do sytuacji absurdalnych, gdy RODO stało się wymówką do odmowy udzielania potrzebnych informacji, np. przez szpitale. Sytuacja powoli się normalizuje. Rośnie świadomość co oznaczają nowe zasady, a wielu specjalistów słusznie wskazuje, że nie są one tak różne od tych, które powinny być przestrzegane już od czasów wprowadzenia ustawy o ochronie danych osobowych w 1997 r. Na pocieszenie można zauważyć, że również w innych krajach powstały RODO-mity. W niedawno wydanych wytycznych brytyjski urząd ochrony danych, ICO, cierpliwie wyjaśniał np., że „dzieci mogą zawieszać listy do Świętego Mikołaja na stojącej w centrum miasta choince, nawet bez zgody rodziców na przetwarzanie ich danych”.
Co wyjdzie z wyjścia Wielkiej Brytanii?
Zawirowania polityczne w nadchodzącym roku zapowiadają powrót tematu RODO. Tym razem, przepisy RODO mogą być intensywnie omawiane w kontekście wyjścia Wielkiej Brytanii z Unii Europejskiej i konsekwencji temu towarzyszących. Trwają rozważania co nastąpi w przypadku różnych scenariuszy Brexitu. Dla przedsiębiorców kluczowe jest jakie będą zasady przekazywania danych osobowych do Wielkiej Brytanii po jej wyjściu z UE. W wydanym w listopadzie komunikacie, Komisja Europejska stwierdziła, że przyjęcie decyzji w sprawie odpowiedniego poziomu ochrony danych (tzw. decyzji o adekwatności) nie jest częścią planowania awaryjnego. Planowanie awaryjne Komisji przewiduje środki, które będą konieczne do złagodzenia skutków wycofania się Zjednoczonego Królestwa z UE bez zawarcia konkretnej umowy o wycofaniu (scenariusz “no-deal”).
Często pomijanym aspektem wdrożeń RODO jest wykonywanie oceny skutków dla ochrony danych (DPIA). Jest to proces, który został zaprojektowany do systematycznego opisania przetwarzania danych oraz oceny konieczności i proporcjonalności tego przetwarzania, a zarazem do pomocy w zarządzaniu ryzykami związanymi z prawami i wolnościami osób fizycznych wynikającymi z przetwarzania ich danych osobowych. Unijny regulator nie zawarł jednoznacznych instrukcji jak należy przeprowadzić DPIA. Jest ono wymagane jedynie, gdy przetwarzanie z dużym prawdopodobieństem może powodować wysokie ryzyko naruszenia praw i wolności osób.
Brak takiej decyzji – w scenariuszu “no-deal” – oznacza, że po marcu 2019 r. Wielka Brytania stanie się dla państw członkowskich UE krajem trzecim. Nie będzie już możliwy swobodny przepływ danych z i do tego kraju. Przekazywanie danych osobowych do Wielkiej Brytanii będzie podlegać dosyć rygorystycznym zasadom RODO dotyczącym przekazywania ich poza obszar UE. To oznacza spore komplikacje.
Komisja stwierdziła, że decyzji o adekwatności nie będzie, a przedsiębiorstwa będą musiały polegać na innych rozwiązaniach dostępnych w ramach RODO. Takimi rozwiązaniami mogą być np. standardowe klauzule umowne, wiążące reguły korporacyjne, czy w ostateczności uzyskanie zgód osób, których dotyczą dane lub zgody urzędu. Dla przedsiębiorców z Polski będzie to oznaczać po pierwsze konieczność weryfikacji w jakim zakresie przekazują dane do Wielkiej Brytanii, np. do innych spółek z grupy, dostawców, centrów IT. Jeśli zidentyfikują taką sytuację, będą musiały wybrać rozwiązanie, aby móc nadal to robić zgodnie z prawem. Jeśli tego nie zrobią, mogą narazić się na kary przewidziane w RODO. Sytuacja jest szczególnie dotkliwa również dla przedsiębiorców angielskich. Liam Byrne, minister cyfryzacji z gabinetu cieni brytyjskiego rządu alarmował, że brak decyzji o adekwatności może narazić na niebezpieczeństwo 70% rynku eksportu usług z Wielkiej Brytanii. Brexit nie będzie jednak jedynym wyzwaniem stojącym przed przedsiębiorcami.
Kiedy należy dostosować się do DPIA?
Po gorącym okresie wiosennym, kiedy w przedsiębiorstwach trwały gorączkowe prace nad dostosowaniem do RODO, fala nieco opadła. Po zakończeniu z ulgą “projektu RODO”, wiele osób uważa, że sprawa ochrony danych jest już zamknięta, a nie jest to niestety prawdą. Nieco trywializując, wysłanie mailingu z informacją “przetwarzamy Twoje dane” do swoich klientów nie oznacza, że wszystkie działania RODO są już zakończone. RODO to nie tylko informacje dla użytkowników i dokumenty, ale również procedury i narzędzia IT. Dokumentacji RODO nie można kupić gotowej. Każda procedura musi być dopasowana pod działalność firmy.
Innym, często pomijanym aspektem wdrożeń RODO jest wykonywanie oceny skutków dla ochrony danych (DPIA). Jest to proces, który został zaprojektowany do systematycznego opisania przetwarzania danych oraz oceny konieczności i proporcjonalności tego przetwarzania, a zarazem do pomocy w zarządzaniu ryzykami związanymi z prawami i wolnościami osób fizycznych wynikającymi z przetwarzania ich danych osobowych. Unijny regulator nie zawarł jednoznacznych instrukcji jak należy przeprowadzić DPIA. Co istotne, przeprowadzenie tego działania nie jest jednak obowiązkowe dla każdej operacji przetwarzania danych. DPIA jest wymagane jedynie, gdy przetwarzanie z dużym prawdopodobieństem może powodować wysokie ryzyko naruszenia praw i wolności osób. Warto zweryfikować, czy faktycznie przedsiębiorstwo nie ma procesów które wymagają analizy DPIA, ponieważ Urząd Ochrony Danych Osobowych pracuje coraz prężniej, a w 2019 roku poza poradnikami mogą pojawić się pierwsze ostrzeżenia i śledztwa.
Nowelizacja kodeksu pracy i sektory regulowane
Do innych tematów, do których warto wrócić należy przetwarzanie danych pracowniczych oraz w celach rekrutacyjnych. Planowana jest ważna nowelizacja kodeksu pracy, zgodnie z która już niedługo dodatkowe dane, w tym te wrażliwe, można będzie przetwarzać za zgodą pracownika. Jednak nie wszystkie dane są traktowane równo, ponieważ danych dotyczących skazań karnych lub niekaralności nadal nie będzie można zbierać. Jaśniejsze przepisy w tym zakresie pozwolą pracodawcom na większą swobodę w prowadzeniu rekrutacji. Choć warto zauważyć, że polski Urząd Ochrony Danych Osobowych również w tym przypadku pozostaje krytyczny, a wydane niedawno wytyczne bardzo rygorystycznie podchodzą np. do ustalenia okresu retencji danych kandydatów.
Ostatnia wersja rozporządzenia o e-prywatności wprowadza nowe zasady ochrony danych przez komunikatory internetowe, ale też utrzymuje rygorystyczne zasady dotyczące wysyłania elektronicznych komunikatów zawierających reklamy do osób fizycznych. W takim wypadku będzie potrzebna zgoda. Jednak wygląda na to, że zgoda nie będzie konieczna, aby kierować do istniejących klientów mailem oferty podobnych produktów i usług. Możliwe jest również, że mniej restrykcyjnie traktowane mają być telefony marketingowe wykonywane przez człowieka. Kraje UE będą mogły ustalić, że takie telefony będą dozwolone.
Warto bacznie przyglądać się też całości działań legislacyjnych dostosowujących polskie przepisy do RODO. Sporo zmian szykuje się również w sektorach regulowanych, zmiany przewidziane są też w przepisach kompetencyjnych różnych organów, które mogą uzyskać wyraźniejsze podstawy do żądania informacji od przedsiębiorców. Pojawiają się również inne projekty, które mogą mieć wpływ na przetwarzanie danych w spółce. Do zmian, które warto śledzić należy nowelizacja przepisów o odpowiedzialności przedsiębiorców (w ramach tzw. podmiotów zbiorowych) za czyny zabronione, które kładą duży nacisk na przestrzeganie prawa w spółce, a jednocześnie wprowadzają regulacje dotyczące tzw. sygnalistów, które również oznaczają konieczność ochrony przekazanych przez nich informacji.
E-prywatność i inne tematy cyfrowe
Nad zmianami pracują też organy Unii Europejskiej. Nie wszyscy pamiętają, że początkowo zakładano, iż razem z zasadami ochrony danych osobowych ustalonymi w RODO, będą się zmieniać również zasady dotyczące prywatności w łączności elektronicznej, poprzez tzw. rozporządzenia o e-prywatności. Jednak projekty rozjechały się w czasie i w rezultacie nie mamy dostosowanych do RODO zasad dotyczących działania komunikatorów internetowych, prowadzenia reklamy bezpośredniej w Internecie czy też zbierania i wykorzystywania plików cookies. Przepisy te wynikają obecnie z dyrektyw i niestety są fragmentaryczne, różnie funkcjonują w zależności od tego jak zostały implementowane w danym kraju członkowskim. Powodują też dużo problemów w związku z brakiem spójności z zasadami RODO. Jednak ustalenie zasad dotyczycących danych w Internecie okazuje się sporym wyzwaniem.
Komisja stwierdziła, że decyzji o adekwatności nie będzie, a przedsiębiorstwa będą musiały polegać na innych rozwiązaniach dostępnych w ramach RODO. Takimi rozwiązaniami mogą być np. standardowe klauzule umowne, wiążące reguły korporacyjne, czy w ostateczności uzyskanie zgód osób, których dotyczą dane lub zgody urzędu. Dla przedsiębiorców z Polski będzie to oznaczać po pierwsze konieczność weryfikacji w jakim zakresie przekazują dane do Wielkiej Brytanii, np. do innych spółek z grupy, dostawców, centrów IT. Jeśli zidentyfikują taką sytuację, będą musiały wybrać rozwiązanie, aby móc nadal to robić zgodnie z prawem. Jeśli tego nie zrobią, mogą narazić się na kary przewidziane w RODO.
Kończąca się prezydencja austriacka pozostawia temat niezamknięty. Prace będzie kontynuować prezydencja rumuńska. Do czego zmierzają zmiany? Ostatnia wersja rozporządzenia o e-prywatności wprowadza nowe zasady ochrony danych przez komunikatory internetowe, ale też utrzymuje rygorystyczne zasady dotyczące wysyłania elektronicznych komunikatów zawierających reklamy do osób fizycznych – w takim wypadku będzie potrzebna zgoda. Jednak wygląda na to, że zgoda nie będzie konieczna, aby kierować do istniejących klientów mailem oferty podobnych produktów i usług. Możliwe jest również, że mniej restrykcyjnie traktowane mają być telefony marketingowe wykonywane przez człowieka. Kraje UE będą mogły ustalić, że takie telefony będą dozwolone, chyba że osoba wpisała się na listę sprzeciwów.
Do tematów, których regulacji podejmuje się Unia Europejska dołączają kolejne. Wśród nich są m.in. projekt rozporządzenia w sprawie zapobiegania rozpowszechnianiu w Internecie treści o charakterze terrorystycznym. Ma to być szczególny instrument, którego celem jest zobowiązanie platform cyfrowych do szybkiego – w ciągu godziny – usuwania z Internetu treści nawołujących do działań terrorystycznych. Trwają również dyskusje jakie działania należy podjąć, aby zapobiegać dezinformacji w Internecie.
Magdalena Kogut-Czarkowska, Counsel w Kancelarii Baker McKenzie
