Nasze telefony i komputery wiedzą o nas niemal wszystko. Dane osobowe to ślad, który zostawiamy korzystając z ulubionych aplikacji, portali społecznościowych czy po prostu zawierając umowy z przedsiębiorcami. W dziedzinie ochrony danych osobowych wiele zmieni się 25 maja 2018 r. Zaczną wtedy obowiązywać nowe unijne przepisy – Ogólne Rozporządzenie o Ochronie Danych Osobowych, w skrócie „RODO”. Będzie ono dotyczyć wszystkich przedsiębiorców regularnie przetwarzających dane osobowe, bez względu na wielkość firmy. Nowe przepisy dają nam również kilka nowych uprawnień mających na celu skuteczniejszą ochronę naszej prywatności.
Poza zapewnieniem lepszej ochrony naszych danych osobowych i ujednoliceniem zasad ich przetwarzania na obszarze całej Unii Europejskiej, RODO dostosowuje przepisy do dynamicznego postępu technologicznego i realiów dzisiejszego, zdigitalizowanego świata. Nowe rozporządzanie zastąpi mającą ponad 20 lat dyrektywę 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Gdy stara dyretywa wchodziła w życie w 1995 r., świat informatyki ekscytował się nowym systemem operacyjnym – Windowsem 95, który miał zrewolucjonizować funkcjonowanie komputerów. Przyszły założyciel Facebooka – Mark Zuckerberg miał 11 lat, a smartfony po prostu nie istniały. Unijny ustawodawca dążył więc do stworzenia regulacji prawnych niezależnych od postępu technologicznego. Przepisy RODO są dość uniwersalne i elastyczne, co z jednej strony pomaga dostosować je do ciągłego rozwoju nowych technologii, a z drugiej powoduje pewne trudności interpretacyjne. RODO nie mówi przedsiębiorcom jak mają zabezpieczyć nasze dane osobowe i prawo do prywatności. Rozporządzenie określa zasady oraz wymagania i zobowiązuje przedsiębiorców do wprowadzenia odpowiednich „szytych na miarę” rozwiązań zapewniających bezpieczne przetwarzanie danych osobowych.
W Polsce unijne rozporządzenie zostanie wdrożone nową ustawą o ochronie danych – jej projekt jest dostępny na stronie Ministerstwa Cyfryzacji. RODO dotyczy nie tylko samych przedsiębiorców, ale nas wszystkich – klientów sklepów internetowych, użytkowników aplikacji czy portali społecznościowych. Nowe przepisy są istotne właściwie dla każdego, kto kiedykolwiek zgodził się na przetwarzanie swoich danych osobowych w banku, w sklepie internetowym czy u operatora sieci komórkowej. Ale co to właściwie znaczy? Jakie korzyści daje nam nowe prawo? I jak możemy to prawo wyegzekwować? Eksperci Trusted Shops, firmy oferującej gwarancję zwrotu pieniędzy klientom sklepów internetowych, przygotowali zestawienie najważniejszych praw, które dotyczą konsumentów i użytkowników portali internetowych.
Prawo przeniesienia danych
Każda osoba, której dane są przetwarzane będzie mogła żądać od administratora danych, aby przeniósł je do innego, wskazanego przez siebie administratora danych (np. przeniesienie zestawu ulubionych utworów muzycznych z jednego portalu muzycznego do drugiego lub w przypadku zmiany banku – wniosek o przeniesienie ustanowionych stałych zleceń przelewów i zdefiniowanych odbiorców). Dzięki temu zmiana usługodawcy na innego będzie dużo łatwiejsza. Takiego przeniesienia (przekazania) administrator będzie musiał dokonać w ustrukturyzowanym i powszechnie używanym formacie – tak aby dane te można było później odczytać i wykorzystać.
Wzmocnione prawo dostępu do danych
Każda osoba będzie mogła uzyskać informację od administratora danych, czy przetwarza on jej dane osobowe. Jeżeli dane są rzeczywiśćie przetwarzane, możemy wówczas żądać wielu informacji, np. o celu ich przetwarzania, odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione oraz o okresie przechowywania danych. Ponadto po rozpoczęciu stosowania przepisów RODO – w ramach prawa dostępu do danych, będzie można zwrócić się do administratora z żądaniem wydania kopii wszystkich naszych danych osobowych, jakie są przetwarzane przez tego administratora. Przekazanie pierwszej kopii musi odbywać się bezpłatnie. Za wszelkie kolejne kopie, administrator będzie miał prawo pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.
Prawo do bycia zapomnianym
To chyba największe udogodnienie wprowadzone w ramach RODO. Wywodzi się z dotychczasowego orzecznictwa sądowego. Mówiąc jaśniej, prawo do bycia zapomnianym to nic innego jak żądanie usunięcia danych osobowych. Będziemy mogli żądać usunięcia danych, na przetwarzanie których wyraziliśmy kiedyś dobrowolną zgodę, a teraz chcemy ją wycofać, a także we wszystkich przypadkach, gdy przetwarzanie naszych danych nie jest już niezbędne do celów, w których zostały one zebrane przez administratora danych. W takiej sytuacji – jeżeli wystąpimy ze stosowną prośbą, nasze dane będą musiały zostać niezwłocznie i w całości skasowanie z systemu administradora danych (danej firmy). Będzie to dotyczyć także kopii, linków, skanów czy papierowej dokumentacji (ksero, wydruki e-maili, skany). To świetne oręże do walki z natrętnymi telemarketerami, mailowymi „okazjami“, ale nawet z takimi gigantami jak Google czy Facebook.
Uregulowane profilowanie
Profilowanie to w pewnym uogólnieniu analizowanie danych osobowych konkretnego konsumenta lub użytkownika odwiedzającego portal internetowy, czy stronę e-sklepu i przypisywanie mu określonych właściwości, cech lub przewidywanie jego zachowań. Dotychczas, mimo dość powszechnego stosowania w marketingowej praktyce, profilowanie nie było objęte większymi ograniczeniami czy wymogami prawnymi. RODO zmieni ten stan rzeczy, wprowadzając do porządku prawnego definicję profilowania oraz obowiązek informowania o jego stosowaniu, już przed rozpoczęciem zbierania danych. Użytkownicy – np. klienci e-sklepów będą natomiast mogli wyrazić sprzeciw wobec profilowania. Ponadto przedsiębiorca wykorzystujący profilowanie w celach marketingowych zobowiązany będzie taki ewentualny sprzeciw i brak zgody na jego stosowanie uszanować i zaprzestać dalszego profilowania. To bardzo istotna zmiana, bo do tej pory profilowanie odbywało się bez wiedzy i kontroli osób, których dane były przetwarzane.
RODO wprowadza również nowe – bardziej rygorystyczne zasady w zakresie wykorzystywania profilowania do zautomatyzowanego podejmowania decyzji, wywołującej wobec konsumenta lub użytkownika skutki prawne (np. przyznanie kredytu lub odrzucenie wniosku). Zautomatyzowane podejmowanie decyzji, w tym profilowanie jest często wykorzystywane np. przez banki do oceny zdolności kredytowej oraz przez firmy ubezpieczeniowe do oceny ryzyka ubezpieczeniowego. RODO wprowadza zasadę, zgodnie z którą każdy człowiek otrzymuje prawo, by decyzje wobec niego nie były podejmowane wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie. Wyjątek będzie dotyczył sytuacji, gdy podjęcie zautomatyzowanej decyzji jest niezbędne do zawarcia umowy, opiera się na uprzednio udzielonej zgodzie lub jest dozwolone prawem państwa członkowskiego UE. Przepisy umożliwiają osobie, która podlega zautomatyzowanej decyzji, prawo do zakwestionowania wydanej w taki sposób decyzji, wyrażenia własnego stanowiska i uzyskania interwencji ludzkiej ze strony administratora danych.
Niechciane smsy, telefony – łatwiejsze egzekwowanie praw
Każdy z nas zetknął się z uciążliwymi i powtarzającymi się smsami czy telefonami call center firm oferujących zaproszenia na prezentacje produktów. Pomimo istniejących już obecnie odpowiednich regulacji prawnych, mało kto decydował się na walkę z tego typu praktykami.
Po rozpoczęciu stosowania przepisów RODO, zwykłemu Kowalskiemu łatwiej będzie walczyć z niechcianymi smsami i telefonami, na które nigdy nie wyraził swojej zgody. Przedsiębiorca – po pierwsze zobowiązany będzie uszanować nasze prawo do bycia zapomnianym (usunięcia danych), a jeżeli będziemy dociekliwi – zobowiązany będzie udzielić nam informacji o podstawie prawnej przetwarzania naszych danych oraz udowodnić, iż wszedł w ich posiadanie w sposób zgodny z obowiązującymi przepisami. W przeciwnym razie będzie się narażał na bardzo wysokie kary administracyjne – do 20 mln euro lub 4 proc. całkowitego rocznego obrotu z poprzedniego roku. Co istotne – po rozpoczęciu stosowania przepisów rozporządzenia, egzekwowanie tych kar będzie łatwiejsze i bardziej efektywne. Postępowania przed przyszłym organem nadzorczym – Prezesem Urzędu Ochrony Danych będą jednoinstancyjne, a kontrole zdecydowanie szybsze – mają trwać nie dłużej niż 30 dni. Ponadto projekt nowej ustawy o ochronie danych, zakłada nowy, niezależny od już istniejących, mechanizm kierowania roszczeń z tytułu naruszenia prawa ochrony danych osobowych do sądu powszechnego – z pominięciem konieczności złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
W efekcie znacznie łatwiej będzie nam egzekwować nasze prawa, a sankcje dla nieuczciwych administratorów danych za bezprawne wykorzystywanie danych osobowych będą realnym i dotkliwym zagrożeniem. Można przypuszczać, że realne ryzyko wysokich kar wraz z wzrastającą świadomością prawną osób, których dane są przetwarzane, skłoni wiele firm z branży call center do refleksji i wdrożenia odpowiednich środków i procedur zapewniających stosowne poszanowanie prywatności. Wprowadzenie zaostrzonych regulacji może mieć pozytywny wpływ na całą branżę call center oraz zwiększyć jakość obsługi klienta.