Cele RODO a realia jego wdrażania

Ostatnio sporo słychać o RODO. Właściwie można mówić wręcz o paranoi.  Nowe prawo o danych osobowych stosuje się od dnia 25 maja 2018 r. Nie umniejszam znaczenia nowych reguł. Jednak spotykane czasami głosy o rewolucji w ochronie danych osobowych uważam za przesadzone.

Stare i nowe prawo

Od razu trzeba wyjaśnić, że sytuacja wiąże się ze zmianami w zakresie przetwarzania danych osobowych. Zmianami. Nie są wprowadzane całkowicie nowe regulacje.

Na marginesie wyjaśnię, że RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Aktowi temu towarzyszy polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Ustawa ta weszła w życie, podobnie jak RODO, w dniu 25 maja 2018 r.  Co ciekawe, polska ustawa została ogłoszona w Dzienniku Ustaw w ostatniej chwili, czyli w dniu 24 maja 2018 r. Ukazuje to zatem, że stan prawny był niepewny do samego końca. Zresztą, obowiązujące przepisy też nie są całkiem jasne, zatem stan prawny wciąż oczywisty nie jest.

Wracając jednak do sedna. Wskazana polska ustawa zastąpiła ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która z kolei implementowała unijną dyrektywę. Krótko mówiąc, RODO, to kontynuacja ochrony danych osobowych, a nie przełomowe wydarzenie. Co wynika już z samej nazwy starej ustawy – dane osobowe podlegały ochronie od bardzo dawna, co więcej, na dość podobnych zasadach jak pod reżimem RODO.

Szaleństwo na punkcie RODO

Ostatnia popularność tematyki ochrony danych osobowych przełożyła się na znaczne spłaszczenie tej problematyki. Najgorsze podejście wiąże się z takim ujęciem, że wystarczy się dostosować na dzień 25 maja 2018. W sensie, że trzeba do tego czasu „załatwić” pewne formalności i dokonać określonych czynności, a potem jest już „luz”.  W efekcie takiego rozumowania, cele, które przyświecały nowemu prawu mogą zostać „rozmyte” i w ostatecznym rozrachunku niezrealizowane.

Tymczasem dokonanie nawet kompleksowego wdrożenia RODO wcale nie oznacza ostatecznego załatwienia sprawy. Ochrona danych osobowych to ciągłe zadanie. O dane trzeba dbać cały czas, a nie tylko w dniu 25 maja 2018.

Nierzadko wdrożenie RODO polega na swoistym przerzuceniu problematycznych kwestii na tych kogo dane dotyczą. Wiąże się to z kwestią faktycznego wymuszenia „zgody”. Moim zdaniem RODO powinno w niedalekiej przyszłości zostać zmienione tak, aby nie istniała możliwość „załatwienia” problematycznych zagadnień poprzez uzyskanie „zgody”. Zgoda powinna być ostatecznością, a jej wyrażenie obostrzone koniecznością spełnienia szeregu warunków. Tak aby nie można było jej wymusić. Komercyjne biznesy zaś nie powinny już obecnie być projektowane w oparciu o założenie, że uzyska się zgodę na przetwarzania danych osobowych.

Paranoja wokół RODO może również spowodować powstanie swoistego formalizmu dotyczącego danych osobowych. Formalizmu restrykcyjnego, nierozumnego i właściwie niezwiązanego z ochroną danych. Przesadna ochrona danych osobowych może doprowadzić do niezawiązana, a nawet wstrzymania realizacji, wielu projektów informatycznych. Oczywiście, jestem za wysokimi standardami ochrony danych osobowych. Jeśli projekt godzi w taką ochronę, to nie powinien być realizowany. Jednak powierzchowne wdrożenia jakie często obserwuje, w tym często jako zwykły odbiorca maili informacyjnych kierowych do klientów przez różne sklepy i portale, w gruncie rzeczy niezbyt służy o ochronie danych osobowych. Często jest to robione właśnie w duchu spełniania jakiś formalnych wymogów, a nie ze świadomością konieczności poszanowania autonomii informacyjnej jednostki.

Internet Rzeczy – raport prawny

Jakiś czas temu pisałem o moim referacie konferencyjnym „Perspektywy Internetu Rzeczy w świetle regulacji prawnych” (Warszawa, 14.10.2015). Przypominam o możliwości ściągnięcia tutaj bezpłatnego raportu prawnego dotyczącego przedmiotowej kwestii.

podziekowania

Perspektywy Internetu Rzeczy

W dniu 14.10.2015 r. w Warszawie w czasie konferencji będę miał okazję powiedzieć kilka słów nt. perspektyw Internetu Rzeczy w świetle regulacji prawnych. Aby nie przeciążać swojego referatu informacjami prawnymi, ale też aby pozostało z niego coś konkretnego, przygotowałem z tej okazji pisemne opracowanie „Perspektywy Internetu Rzeczy :: Raport Prawny”.

Zachęcam zatem do pobrania bezpłatnego opracowania w postaci pliku PDF (kliknij w obrazek, aby otworzyć lub pobrać).

InternetRzeczy

Beacony – mały test praktyczny apki polskiej firmy

Na wstępie zaznaczę, że każda krajowa firma wykorzystująca beacony w relacjach z potencjalnymi klientami zasługuje na pochwałę i uznanie. Zwłaszcza jeśli jest to sklepem w galerii handlowej, ponieważ tym samym bierze on na swoje barki ciężar popularyzacji beaconów. Takie firmy w gruncie rzeczy są pionierami w tej dziedzinę – mają szanse na wybicie się, ale też ponoszą duże ryzyko porażki.

Miałem okazję wypróbować apkę polskiego sklepu wykorzystującego beacony. W mojej ocenie zastosowane rozwiązanie jest zbyt mało atrakcyjne dla klienta. Poza tym jest zbyt kłopotliwe. Trzeba być zalogowanym, a w sklepie ręcznie wyszukiwać apki na telefonie i ją uruchamiać. Jedyną korzyścią dla klienta jest rabat (zresztą niewielki), ale to zbyt mało aby zachęcić. Można założyć, że w tym konkretnym przypadku dla klienta zdecydowanego na zakup w tym sklepie, to czy sklep używa beaconów będzie bez znaczenia. Z kolei niezdecydowanego nie przekona – może nawet nie będzie mu się chciało odpalić apki.

W mojej ocenie w tym przypadku niepotrzebnie zdecydowano się, jak mniemam, na profilowanie konsumentów. Żadnych z tego korzyści, ponieważ zapewne mało kto korzysta z tego rozwiązania i po prostu  nie ma kogo profilować. Rodzi to natomiast jedynie problemy prawne z ochroną danych osobowych i być może zniechęca do korzystania z apki.

Dane osobowe a dobra osobiste

Często spotykam się z utożsamianiem pojęć „dane osobowe” i „dobra osobiste”. Nie jest to całkiem błędne biorąc pod uwagę praktyczne aspekty, ponieważ najczęściej naruszenie jednego, stanowić będzie również naruszenie drugiego. Jednak z punktu widzenia prawa są to dwie odrębne kategorie. Nie przekreśla tego ich nakładanie się.

Dane osobowe chronione są mocą ustawy o ochronie danych osobowych.

Z kolei dobra osobiste chronione są przepisami Kodeksu cywilnego.

Ochrona danych osobowych krzyżuje się nie tylko z ochroną dóbr osobistych, ale często z ochroną dobrego imienia i czci (chronioną przez przepisy Kodeksu karnego) i ochroną wizerunku (chronionym przez prawo autorskie). Wspomniane regulacje ochronne z zasady nie wykluczają się. Można zatem jednocześnie korzystać z różnych podstaw ochrony, ewentualnie wybrać jedną z nich według własnego uznania.

Kiedy stajemy się przedsiębiorcami?

Internet stwarza wiele możliwości zarobkowania. Uczynienie z niego stałego źródła dochodu może spowodować zakwalifikowanie danej osoby jako prowadzącą działalność gospodarczą, a zatem będącą przedsiębiorcą. Nie ma znaczenie wola lub brak woli co do zostania przedsiębiorcą. Jeśli aktywność danej osoby wypełnia cechy działalności gospodarczej jest ona przedsiębiorcą.

Działalność gospodarczą trzeba zarejestrować. Ale rejestracja jedynie potwierdza fakt bycia przedsiębiorcą. Nawet bez rejestracji można zostać potraktowanym przez organy publiczne jako przedsiębiorca, a dodatkowo ukaranym za brak zarejestrowania działalności.

Działalność gospodarcza ma trzy cechy:

  1. zarobkowość
  2. ciągłość
  3. zorganizowany charakter

Zarobkować jest rozumiana szeroko. Obejmuje rownież otrzymywanie wynagrodzenia z reklam. Ciągłość należy rozumieć przede wszystkim jako przeciwieństwo zajęć dorywczych. Ciągłość zakłada rownież nieprzerywany charakter tej działalności, jednak wszelkie zaplanowane przerwy nie wykluczają ciagłości. Miarodajne jest jedynie celowe i ostateczne przerwanie działalności (jednak chodzi o zamiar ostateczności w chwili zaprzestawania prowadzenia działaności, co nie wyklucza zmiany zdania w tym zakresie w późniejszym terminie).

Przesłanka zorganizowania jest najciekawsza z punktu widzenia działalność internetowej. Organizacja biura lub innego zakładu pracy (nawet przeznaczonego tylko dla jednej osoby) niewątpliwie świadczy o zorganizowanym charakterze. W działalności internetowej jednak zazwyczaj nie ma biura i temu podobnych rozwiązań instytucjonych. Nie wyklucza to jednak zorganizowanego charakteru działalności, ponieważ można mówić rowniez o zorganizowani działaności jako posegregowaniu dokumentacji na dysku komputera.

Zdaje siebie sprawę, że powyższa analiza nie odpowieda na wszelkie wątpliwości. Cechy działalności gospodarczej są z zasady płynne i nie ma jasno określonych granic, kiedy zaczyna się wypełniać określoną przesłankę.

Podstawa przetwarzania danych osobowych w Internecie Rzeczy

W  przypadku Internetu Rzeczy aktualne są te same podstawy przetwarzania danych osobowych co w każdym innym przypadku. Dla Internetu Rzeczy nie ma  szczególnych regulacji w tym zakresie. W oparciu o art. 23 ust. 1 ustawy o ochronie danych osobowych można wskazać kilka sytuacji (tzw. podstaw przetwarzania), w których dopuszczalne jest przetwarzanie danych osobowych:

  1. Przetwarzanie za zgodą osoby, której dotycząca dane, przy czym:
    • zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania,
    • wyjątkiem jest usunięcie danych – wtedy nie trzeba zgody,
    • bez zgody można przetwarzać (do czasu, gdy uzyskanie zgody będzie możliwe) również kiedy przetwarzanie to jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe,
  2. Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (obecnie jednak nie sposób wskazać jakiegoś miarodajnego przepisu prawa),
  3. Przetwarzanie jest konieczne do realizacji umowy lub do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (dotyczy to zatem jedynie zawiązania stosunku prawnego),
  4. Przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (trudno to sobie wyobrazić w przypadku mobilnych apek),
  5. Przetwarzanie jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności:
  • marketing bezpośredni własnych produktów lub usług administratora danych;
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Specyficzna wymogi dotyczą danych wrażliwych, o czym pisałem w poprzednich wpisach.
Mając powyższe na uwadze najbardziej adekwatną podstawą do przetwarzania danych osobowych w przypadku Internetu Rzeczy jest zgoda osoby, które dane dotyczą. Nie można jednak wykluczyć rownież powołania sie na prawnie usprawiedliwione cele.

Z Endomondo na Facebooka

We wpisie „Aplikacje do biegania a dane osobowe” poruszyłem kilka kwestii dotyczących prawnych aspektów aplikacji mobilnych wspierających biegaczy.

Wskazałem tam, że jest różnica prawna czy zebrane informacje o biegu i biegaczu są tylko w telefonie, czy też trafiają na zewnętrzny serwer właściciela danej apki.

A co zatem z sytuacjami, kiedy biegacz wrzuca na Facebooka wyniki swojego biegu (ewentualnie również inne dane). Jeśli traktować te dane jako dane wrażliwe, to w takiej sytuacji dopuszczalne może być przetwarzanie tych informacji, nawet bez zgody, w oparciu o art. 27 ust. 2 pkt 8 ustawy o ochronie danych osobowych. Zgodnie z tym przypisem przetwarzanie wrażliwych danych osobowych jest dopuszczalne, jeżeli przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Takim podaniem do publicznej wiadomości jest właśnie zamieszczenia informacji na Facebooku. Trudno o dalej posunięte podanie do publicznej wiadomości.

Dwa kluczowe problemy Internetu Rzeczy

Gdyby chcieć krótko odpowiedzieć na pytanie:

Dlaczego Internet Rzeczy jest taki problematyczny z punktu widzenia prawa?

to wskazać należy dwa powody, które przewijają się w większości opracowań dotyczących Internetu Rzeczy:

po pierwsze,

W Internecie Rzeczy kontaktują się pomiędzy sobą nie ludzie, lecz maszyny.

a po drugie,

W Internecie Rzeczy dane osobowe pełnią rolę danych technicznych.