W kilka dni po wejściu w życie RODO, wiele firm musiało zmierzyć się z lawinowymi żądaniami dotyczącymi usunięcia danych osobowych, wykreślenia z list mailingowych oraz przekazania wszelkich kopii danych. Jak przedsiębiorstwa poradziły sobie z tym zjawiskiem? Czy nadal wpływa tak wiele żądań i wniosków? Tym bardziej, że żądanie usunięcia danych osobowych nie jest nowym zjawiskiem... Jedna z głównych obaw przedsiębiorców, wynikających z wejścia w życie RODO, dotyczyła możliwości zgłaszania przez klientów żądań dotyczących usuwania ich danych, w szczególności z baz marketingowych. Ściśle rzecz biorąc ani prawo do usunięcia danych, ani możliwość zgłoszenia sprzeciwu marketingowego, nie są nowościami wprowadzonymi przez unijną regulację. Istniały one w polskim prawie już na gruncie dotychczasowych przepisów. Pomimo to, wspomniane obawy nie okazały się jednak bezpodstawne. Po 25 maja żądania tego rodzaju okazują się jednymi z najczęściej realizowanych praw opisanych w RODO. W efekcie, przedsiębiorcy - w zależności od rozmiaru organizacji i poziomu jej skomplikowania, a także liczby otrzymywanych żądań - wdrażają nowe zadania, wprowadzają specjalne procedury wewnętrzne, a nawet modyfikują systemy IT. Z jakimi trudnościami musi zmierzyć się administrator? Praktycznych trudności związanych z realizacją otrzymanych żądań jest wiele: formalnych, organizacyjnych i ściśle merytorycznych. Trzeba bowiem nie tylko zarządzać korespondencją z podmiotem danych i dochować terminu przewidzianego w RODO na udzielenie odpowiedzi (jeden miesiąc, z możliwością przedłużenia do trzech), ale także podjąć działania faktycznie odpowiadające zgłoszonemu wnioskowi. 1. Czego klient sobie życzy? Po pokonaniu pierwszej trudności formalnej, jaką jest identyfikacja wnioskodawcy, administrator powinien ustalić czego klient sobie życzy. Wbrew pozorom, nie jest to proste zadanie. Żądania składane w oparciu o RODO bardzo rzadko wskazują precyzyjnie konkretny przepis, stanowiący podstawę wniosku. Najczęściej sformułowane są w sposób potoczny, nierzadko mało precyzyjny. Nie zawsze również na pierwszy rzut oka można rozpoznać, czy żądanie w ogóle dotyczy praw wynikających z RODO. 2. Co oznacza w praktyce realizacja żądania? Kolejna trudność do pokonania wiąże się z określeniem zakresu wniosku, jaki faktycznie zostanie zrealizowany, a zatem ustaleniem, co oznacza w praktyce realizacja żądania. Nie wystarczy bowiem wiedzieć, że klient zażyczył sobie realizacji konkretnego uprawnienia, np. wydania kopii danych osobowych. Administrator musi dodatkowo podjąć decyzję, które z posiadanych przez niego informacji są objęte danym żądaniem. Czy w ramach prawa do kopii należy wydać wszystkie wystawione na klienta faktury? Czy w ramach żądania usunięcia danych należy przeszukać także zasoby nieustrukturyzowane i kopie archiwalne? Na jakim poziomie szczegółowości formułować informację dotyczącą kategorii danych? W konsekwencji przedsiębiorca, w celu udzielenia odpowiedzi na pytanie wnioskodawcy, dokonuje najpierw interpretacji przepisu, a następnie konfrontuje je z uwarunkowaniami prowadzonej działalności i podejmuje decyzję – po części prawną, po części jednak biznesową – co do sposobu odpowiedzi osobie, której te dane dotyczą. 3. W jaki sposób zrealizować żądanie? Gdy administrator rozstrzygnie wreszcie, czego dotyczy żądanie oraz jakie działania powinny zostać podjęte, aby mu sprostać, powstaje jeszcze jedno trudne pytanie – w jaki sposób zrealizować żądanie. Odpowiedź na nie będzie się różnić w zależności od wielu czynników, przede wszystkim liczby żądań oraz charakteru działalności prowadzonej przez administratora. W przypadku żądania usunięcia danych od strony technicznej niezbędna jest weryfikacja przez administratora możliwości technicznych związanych z usuwaniem danych osobowych z systemów IT. Na etapie wdrożenia RODO w organizacji, niejeden podmiot został niewątpliwie niemiło zaskoczony faktem, że konkretny system informatyczny nie umożliwia usuwania danych, zwłaszcza na zasadzie ad hoc. Nierzadko również faktyczne usunięcie danych mogłoby negatywnie wpłynąć na integralność systemu. Szczęśliwie jednak - zamiast usuwania danych - RODO dopuszcza ich anonimizację tzn. przetworzenie danych w taki sposób, aby nie dało się ich już powiązać z osobą fizyczną. Zastosowanie takiego mechanizmu pozwala na zapewnienie integralności systemu przy jednoczesnym spełnieniu obowiązków wynikających z żądania. Co ze sprzeciwem marketingowym? Jednym z najczęstszych żądań, z reguły towarzyszących żądaniu usunięcia danych, jest zgłoszenie sprzeciwu wobec marketingu bezpośredniego lub też wycofania zgody na kontakt w celach marketingowych. Pozostawiając z boku subtelne rozróżniania prawne, efekt obu tych żądań jest taki sam – w przypadku ich zgłoszenia administrator nie jest już uprawniony do kierowania do podmiotu danych treści o charakterze marketingowym. Wymusza to na przedsiębiorcach potrzebę uporządkowania baz marketingowych, w sposób pozwalający na proste wygenerowanie rekordów klienckich, w zależności od zakresu dopuszczalnych względem nich czynności marketingowych, np. filtrowanie bazy poprzez kryterium kanału komunikacyjnego, jaki dopuszczalny jest w kontakcie marketingowym z klientem. Jakie wyzwania stoją przed IT? Typowe zlecenia IT, realizowane w ramach projektów wdrożenia RODO w organizacji, dotyczą takich rozwiązań jak: 1. Umożliwienia anonimizacji danych osobowych w systemie - do takiego stopnia, aby nie przetworzone dane nie pozwalały na identyfikację osoby fizycznej. 2. Wprowadzenia mechanizmu zapewniającego automatyczne okresowe usuwanie lub anonimizację danych osobowych w systemie, przy jednoczesnej możliwości ręcznego usunięcia danych w przypadku takiego żądania. 3. Budowę repozytoriów zgód lub innych podobnych baz, które służą do gromadzenia informacji o wyrażonych zgodach na kontakt marketingowy i umożliwiają łatwe oznaczenie sprzeciwu. Case study: usunięcie danych osobowych, a dostęp do zakupionych treści W praktyce obsługa żądań podmiotów danych nie jest zadaniem łatwym. Nawet najlepsza i najbardziej rozbudowana procedura wdrożona w organizacji może nie objąć wszystkich możliwych przypadków. Zawsze mogą zdarzyć się sytuacje, w których trzeba będzie podjąć decyzję, stawiając na szali z jednej strony interesy administratora, a z drugiej prawa i wolności podmiotów danych. Przykładowo, spółka prowadzi platformę do sprzedaży e-booków. Jeden z jej użytkowników wysyła wniosek o treści: Proszę o usunięcie wszystkich moich danych osobowych. Użytkownik ten posiada konto, na którym znajduje się kilkanaście zakupionych przez niego książek elektronicznych. Wyraził też zgodę na wysyłanie do niego newslettera z nowościami z rynku wydawniczego. Co w takiej sytuacji powinna zrobić spółka? W pierwszej kolejności powinna spróbować doprecyzować żądanie użytkownika, kontaktując się z nim. Często użytkownicy nie zdają sobie sprawy z konsekwencji zrealizowania wniosku o usunięcie wszystkich danych. W tym przypadku wiązałoby się to z usunięciem konta i uniemożliwieniem użytkownikowi korzystania z książek, za które zapłacił. Konsekwencje są więc dość istotne i być może ich uświadomienie użytkownikowi spowoduje, że ograniczy on swoje żądanie. Często jednak użytkownicy po wysłaniu żądania nie reagują na prośby o jego doprecyzowanie, a administrator musi podjąć decyzję. Co należy zrobić? Możliwości jest kilka: 1. Można uznać, że wniosek jest nieprecyzyjny, w związku z czym nie może być rozpatrzony. Brak reakcji ze strony administratora wiąże się jednak z dużym ryzykiem. Realizowanie uprawnień podmiotów danych jest jednym z podstawowych obowiązków wynikających z RODO i w pierwszej kolejności będzie sprawdzany przez organ nadzoru podczas kontroli. 2. Można usunąć wszystkie dane użytkownika (ewentualnie poza danymi, które są niezbędne dla dochodzenia roszczeń lub obrony przed roszczeniami użytkownika). W takim przypadku dojdzie jednak do zablokowania usługi, a użytkownik nie będzie mógł skorzystać z towarów lub usług, które wcześniej nabył, mimo że formalnie nie wypowiedział umowy. Takie działanie może zostać uznane za nadmiarowe i w istotny sposób naruszające prawa użytkownika. 3. Można również podjąć próbę znalezienia kompromisowego rozwiązania pomiędzy zupełnym brakiem reakcji, a podjęciem radykalnych środków. W analizowanym przykładzie spółka mogłaby podjąć następujące kroki: a) zaprzestać wysyłki newslettera (żądanie usunięcia wszystkich danych można uznać za sprzeciw marketingowy/wycofanie zgody); b) ograniczyć dostęp do konta, nie usuwając jednak trwale jego zawartości (np. poprzez stworzenie pełnej kopii konta z jego zawartością, która do momentu wyjaśnienia wątpliwości z użytkownikiem nie będzie dostępna z poziomu strony, ale będzie możliwe jej przywrócenie do systemu produkcyjnego), c) usunąć wszystkie inne dane przetwarzane w pobocznych celach, dla których nie ma podstawy prawnej (np. w celach analitycznych). Takie podejście nie wyklucza wprawdzie ryzyka naruszenia przepisów, ale istotnie je ograniczy. Decyzja, w jaki sposób podejść do konkretnego żądania, podejmowana jest zazwyczaj przez osoby odpowiedzialne za realizację procesu obsługi żądań, m.in. dział prawny, inspektora ochrony danych lub zarząd. Na etapie realizacji podjętej decyzji konieczne będzie jednak wsparcie IT. Jakie zadania czekają na IT przy obsłudze wniosków? Po pierwsze, konieczne będzie umożliwienie odnotowania w systemie faktu wycofania zgody. Wynika to nie tylko z obowiązku rzeczywistego zaprzestania wysyłania newslettera. RODO nakłada na administratora również wymóg „rozliczalności”, co oznacza, że powinien on być w stanie precyzyjnie wskazać, kiedy i o jakiej treści zgoda została wyrażona albo wycofana przez konkretnego użytkownika. Po drugie, systemy informatyczne wykorzystywane do świadczenia usług powinny uwzględniać możliwość tworzenia kopii konta użytkownika z całą jego zawartością. Przydaje się to zwłaszcza w przypadkach opisanych w powyższym przykładzie. Istnieje możliwość usunięcia konta z systemu produkcyjnego, a następnie, gdy zajdzie taka potrzeba, przywrócenia go. Zachowanie kopii stanowi również sposób zabezpieczenia danych przed ich utratą lub niepożądaną zmianą. Należy jednak pamiętać, aby usunąć kopie, gdy nie będzie już żadnych podstaw przetwarzania danych w nich zawartych. Po trzecie, konieczne będzie zmapowanie wszystkich systemów, gdzie dane o użytkowniku są gromadzone, niezależnie od celu ich wykorzystania. Aby ocenić, które dane należy usunąć, administrator musi w trybie pilnym ustalić, gdzie i jakie dane posiada oraz w jakim celu są one przetwarzane. Bez takiej wiedzy realizacja żądań podmiotów danych nie będzie możliwa. Jak się przygotować? Administrator musi być przygotowany na realizację żądań podmiotów danych. Wprawdzie, po pierwszej fali wniosków, która dotarła do administratorów po 25 maja, skala jest obecnie nieco mniejsza. Nie oznacza to jednak, że żądań nie ma. Są one również często nieprecyzyjne, co nie ułatwia administratorom zadania. Co w tej sytuacji należy zrobić? Działań, które administrator może podjąć w celu usprawnienia obsługi wniosków jest kilka. Może m.in. opracować odpowiednie procedury, przeprowadzić szkolenia dla osób odpowiedzialnych za realizację wniosków, ustalić przepływ danych w systemach informatycznych, zapewnić funkcyjność systemów, które umożliwiają realizacje żądań i odnotowywać konkretne działania na danych. Każdą sytuację trzeba jednak traktować indywidualnie, uwzględniając interesy wszystkich zaangażowanych stron. Małgorzata Kurowska, ekspert w dziedzinie prawa ochrony danych osobowych oraz prawa nowych technologii/IT i Paweł Tobiczyk, adwokat, Senior Associate w Praktyce Ochrony Prywatności w Kancelarii Maruta Wachta. Małgorzata Kurowska specjalizuje się w doradztwie z zakresu ochrony danych osobowych i bezpieczeństwa informacji dla branż energetycznej i handlu detalicznego. Prowadzi projekty wdrożenia RODO zarówno na rzecz spółek polskich, jak i międzynarodowych. Posiada doświadczenie w obszarze bieżącego wsparcia administratorów bezpieczeństwa informacji i Inspektorów Ochrony Danych w podmiotach korporacyjnych. Prowadzi także szkolenia z ochrony danych osobowych oraz RODO dla radców prawnych zrzeszonych w Okręgowej Izbie Radców Prawnych w Warszawie oraz dla Klientów z sektora prywatnego. Paweł Tobiczyk, ekspert w zakresie ochrony danych osobowych i informacji, prawa nowych technologii oraz handlu elektronicznego. Doradzał licznym polskim i zagranicznym klientom m.in. z branży ubezpieczeniowej, bankowej, telekomunikacyjnej, farmaceutycznej, IT, marketingowej oraz e-commerce w zakresie ochrony danych osobowych, prywatności oraz tajemnic prawnie chronionych. Koordynował oraz uczestniczył w wielu projektach wdrożenia RODO, m.in. odpowiadał za wdrożenie przepisów rozporządzenia w jednej z największych grup medialnych w kraju.