Prostym przykładem codziennej czynności, która w obliczu RODO staje się problemem jest robienie uczniom zdjęć klasowych i umieszczanie nagrań z wydarzeń w Internecie. Wymaga ono wyrażenia na to uprzedniej zgody. Może być ona wycofana w każdej chwili, więc nagle szkoła będzie zmuszona do odnalezienia wszystkich zdjęć z uczniem i wycięcia jego wizerunku.
Podobnie w przypadku firm, które umieszczają zdjęcia z konkursów i wydarzeń w mediach społecznościowych. W rozwiązaniu problemu może pomóc wykorzystanie przepisów prawa autorskiego, zgodnie z którymi nie trzeba zbierać zgód na rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości (np. publiczna impreza).
Trudniej jest uzyskać informacje o bliskich osobach
Dziecko ulega wypadkowi, trafia do szpitala. Jego opiekunowie nie mogą się jednak dowiedzieć, w jakiej placówce przebywa, ponieważ dyżurny nie ma pewności, czy kontaktują się rodzice, czy może ktoś nieupoważniony. Aby rozwiązać problem warto uświadomić sobie, że zgodnie z RODO podstawą udostępnienia informacji na rzecz osób bliskich będzie uzasadniony interes osoby, której dane dotyczą.
Tożsamość weryfikujemy po to, aby pozbyć się wątpliwości z kim mamy do czynienia. Najlepiej, gdy pracodawca lub dyrektor szkoły prowadzi listę osób do kontaktu w nagłych przypadkach. W przypadku braku takiej listy, można wprowadzić procedurę zadawania dodatkowych pytań (np.
o ubiór osoby w dniu wypadku, datę urodzenia, miejsce zamieszkania, PESEL, historię relacji). Wymóg osobistego stawiennictwa i wylegitymowania się dowodem osobistym powinien być ostatecznością.
Aby usunąć dane, należy najpierw je podać
Złożenie przez stronę internetową żądania usunięcia informacji wymaga niekiedy przesłania kopii dowodu osobistego w celu weryfikacji. Rozwiązanie, podobnie jak powyżej przychodzi, gdy pozbędziemy się wątpliwości co do tożsamości osoby, która składa żądanie. Gdy żądanie pochodzi z tego samego adresu mailowego, jaki został wcześniej zweryfikowany – zwykle tych wątpliwości nie ma. Wymóg przesłania innych danych niż te, które do tej pory posiada administrator jest absurdalne. Nie będzie on mógł ich bowiem z niczym porównać, aby zweryfikować tożsamość.
Surfowanie po Internecie przerywane pytaniami o zgody, które nic nie zmieniają, a często nawet się nie zapisują. Rozwiązanie problemu często jest prostsze niż nam się wydaje. Zgodnie z prawem telekomunikacyjnym zgodę na wykorzystanie plików cookie można wyrazić lub wycofać poprzez ustawienia przeglądarki. Obowiązek informacyjny można zaś spełnić poprzez widoczny link do polityki prywatności – wszystko bez wyskakujących okien, które trzeba tylko zamykać.
Większość przedsiębiorców musi żyć z ryzykiem kary
Każdy musi dokonać analizy ryzyka i np. prowadzić rejestr incydentów. Za niespełnienie tego obowiązku grozi kara do 10 mln euro lub 2 proc. obrotu. Ze niespełnienie obowiązku informacyjnego wobec każdego, kogo dane pozyskujemy grozi kara do 20 mln euro lub 4 proc. obrotu. Jest to prawdopodobnie najczęściej łamany przepis w porównaniu do wysokości kary, jaką można otrzymać za naruszenie. Aby jednak zmniejszyć jej ryzyko, warto wykorzystać wzory klauzul informacyjnych, czy wzór rejestru incydentów. Można łatwo znaleźć je w Internecie. Na rynku coraz częściej pojawiają się także oferty aplikacji dostarczających narzędzia do wdrożenia RODO.
Duże firmy mogą przeprowadzać inspekcje u wielu innych przedsiębiorców
Firmy ubezpieczeniowe, banki i podmioty dostarczające karnety sportowe, zyskują wielkie uprawnienia kontrolne u pracodawców, którzy oferują swoim pracownikom ich usługi. Zgodnie z dominującą w Polsce interpretacją, pracodawca, zgłaszając swoich pracowników do dodatkowych usług (karnety sportowe, pakiety zdrowotne) przetwarza dane w imieniu tych firm. W związku z czym jest podmiotem przetwarzającym. Zgodnie z RODO, każda umowa powierzenia przetwarzania musi umożliwiać administratorowi (a więc firmie ubezpieczeniowej, bankowi czy podmiotowi dostarczającemu karnety), przeprowadzanie inspekcji u podmiotu przetwarzającego. Firmy te mogą więc przeprowadzać inspekcje u wszystkich pracodawców, z którymi mają podpisane takie umowy.
Autor jest ekspertem ds. ochrony danych w ODO 24
