To ważne, szczególnie że wraz z rozwojem nowych technologii, z otwarciem europejskiego rynku – konsumenci bez ograniczeń mogą korzystać z usług różnych przedsiębiorców, w różnych krajach. Nowe przepisy powinny też zapewnić każdemu z nas większą kontrolę nad swoimi danymi osobowymi. W pracach legislacyjnych uczestniczy Komisja Europejska, Parlament Europejski i Rada Unii Europejskiej.
Każde państwo ma swoje przepisy
W zakresie ochrony danych osobowych czekają nas więc bardzo znaczące zmiany, i to zarówno z punktu widzenia konsumentów, jak i przedsiębiorców. Prawo w zakresie ochrony danych osobowych będzie ujednolicone dla wszystkich krajów Unii Europejskiej, i to jest istotna zmiana dla przedsiębiorców, na przykład dla sklepów internetowych, ale nie tylko.
– Jest to niezwykle ważne, ponieważ już wiele działalności biznesowych, jak choćby transgraniczny handel, przechodzi granice i przedsiębiorcy muszą znać przepisy obowiązujące w danym kraju, a w każdym są inne i dostosować się do nich. Przepisy są dodatkowo opatrzone różnymi sankcjami. Obecnie obowiązująca dyrektywa 95/46, która jest dla nas podstawą do implementacji, powstała już 20 lat temu – wyjaśnia gość radiowej Jedynki Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych.
A przez te 20 lat świat się zmienił, w 1995 nie było np. portali społecznościowych. Przez te lata zmieniły się też technologie, teraz jest np. cyfryzacja, rozwija się też e-commerce, i żeby dostosować się do przyszłych zmian niezbędne są nowe regulacje.
Gąszcz kosztownych przepisów
Czyli z jednej strony ochrona prawa do prywatności, w tym ochrona danych osobowych, a z drugiej chęć ułatwienia działania biznesowi.
– Przedsiębiorstwom, które działają na arenie międzynarodowej, które przekazują dane pomiędzy państwami Unii, ciężko się odnaleźć w gąszczu przepisów z zakresu danych osobowych – podkreśla gość Polskiego Radia 24 Łukasz Zegarek, audytor z Kancelarii Prawnej Lex Artist.
Wyrazistym tego przykładem są Niemcy, gdzie jest osobna ustawa o ochronie danych na poziomie federalnym, i osobna na poziomie każdego landu. – Czyli jeśli mamy jakąś korporację z Polski, która przekazuje dane do spółki–córki w Niemczech, to musi oddzielnie realizować federalną ustawę o ochronie danych, i oddzielnie na poziomie landów. Jest to bardzo kłopotliwe i uciążliwe, i generuje duże koszty – podkreśla Łukasz Zegarek.
GIODO ma tylko 14 inspektorów
Zgodnie z rozwiązaniami proponowanymi w projekcie unijnego rozporządzenia, dotyczącego ochrony danych osobowych, wszystkie sporne sprawy kierowane będą do odpowiedniego organu krajowego, w naszym wypadku do GIODO.
– Ale wzorem państw Starej Europy inspirujemy, żeby w każdym podmiocie, a szczególnie publicznym, gdzie będzie to obowiązkowe, a dzisiaj jest dobrowolne – był odpowiedni urzędnik ochrony danych osobowych. Dzisiaj nazywa się on Inspektor Ochrony Informacji (zgodnie z unijnym rozporządzeniem będzie to DPO: data protection officer). To będzie fachowiec od bezpieczeństwa, od przetwarzania. Są bowiem trzy ważne sfery: ochrona pracy, ochrona konsumenta, i ochrona danych, która jest kilkakrotnie większa, ale jest zazwyczaj symbolicznie obsadzona etatowo. Inspektor pracy ma 1700 inspektorów plus kilka tysięcy społecznych inspektorów pracy, a GIODO ma 14 inspektorów. Także jeśli chodzi o ochronę konsumenta, to są powiatowi i miejscy rzecznicy ochrony konsumentów. Dotąd nie mieliśmy możliwości dostosować się do poziomu Europy, ale teraz musimy – podkreśla Andrzej Lewiński.
Nowość, czyli kary finansowe dla przedsiębiorców
Wzmocniona zostanie też ochrona konsumentów, bo odstraszać będą kary finansowe, które zostaną wprowadzone, a kary mają być wysokie, m.in. do 5 proc. rocznych obrotów przedsiębiorstwa, albo do 100 mln euro, w zależności od tego, która z tych kar będzie dla danego przedsiębiorcy dotkliwsza. Teraz GIODO nie może nakładać takich kar.
– Dzisiaj nie może. Taki czyn, jak bezprawne udostępnienie danych jest sankcjonowany odpowiedzialnością karną, troszkę enigmatyczną. Nie dociera bowiem to do wyobraźni, że można mieć postępowanie karne, że to będzie sąd, wiele miesięcy postępowań. To nowe rozwiązanie będzie prostsze: „Naruszyłeś prywatność innej osoby – to zapłacisz” – tłumaczy gość Jedynki.
Komisja Europejska proponuje karę do 1 mln euro. Parlament Europejski podniósł tę kwotę do 100 mln euro, a Rada Europejska nie poruszyła tej kwestii.
Czy kary pomogą walczyć z kradzieżami tożsamości?
Są też już pierwsze sygnały stosowania takich kar finansowych. Np. w Londynie wypłynęły dane chorych na HIV i winny został ukarany karą w wysokości 500 mln funtów.
– Szczególnie jest to ważne w przypadku danych wrażliwych, dotyczących np. zdrowia i tych stanowiących podstawę do kradzieży tożsamości, a to zjawisko rośnie w zastraszającym tempie. I skutki mogą być bardzo bolesne dla konsumentów – przestrzega przedstawiciel GIODO.
Około 7 proc. Polaków padło ofiarą kradzieży tożsamości, a 40 proc. miało kłopoty związane z tym zjawiskiem, głównie dotyczy to sieci. – Ten procent będzie z roku na rok rósł. Dlatego pamiętajmy żeby chronić swoje dane osobowe – przypomina Łukasz Zegarek.
Był nawet taki przypadek samobójstwa starszego małżeństwa, do którego przyszedł komornik po dług, o którym oni w ogóle nie wiedzieli. Ktoś kradnąc im tożsamość zniszczył im życie. A nie jest to trudne.
– Ponieważ jesteśmy zbyt łatwowierni, udostępniamy więcej danych niż potrzeba. Od Facebooka rozpoczynając, przez inne podobne formy, ale i drogą wyłudzeń telefonicznych – dodaje Andrzej Lewiński.
Tak jest np. wówczas, gdy odpowiadamy na ofertę zakupu oferowaną przez telefon, towaru później nie otrzymujemy, ponieważ celem była tylko kradzież tożsamości. Podobnie niebezpieczne sytuacje mają miejsce, gdy jako zastaw jest wymagany dowód osobisty, choćby przy wypożyczaniu sprzętu sportowego.
Musi być wyraźna zgoda
W nowym rozporządzeniu, wymagana będzie też wyraźna zgoda konsumenta na przetwarzanie jego danych w celach marketingowych. Jak powinna ona wyglądać?
– Jest to tzw. zgoda niedorozumiana. Mamy z nią do czynienia wówczas, gdy np. wchodzimy na jakiś portal, i tam trzeba kliknąć określony znak zgody, aby wejść dalej. Natomiast przy wysyłaniu spamu, zgoda musi być zgodą uprzednią, nawet nie w chwili dzwonienia do nas. I to już jest regulowane przepisami europejskimi, i są określone kary za bezprawne wysyłanie spamu – zauważa gość radiowej Jedynki.
Dlatego np. marketing bezpośredni w Niemczech jest w zaniku, ponieważ konsumenci się buntują przeciw tej niekiedy nawet agresywnej formie. I budzącej wiele obaw o bezpieczeństwo podawanych informacji.
Bowiem ta nowa ustawa to nie tylko wykaz obowiązków, jakie administracja czy przedsiębiorcy muszą wdrożyć, ale to przede wszystkim zagwarantowanie każdemu obywatelowi podstawowych praw, w tym np. do informacji. – Każda osoba, której dane osobowe są przetwarzane, ma prawo wiedzieć, kto, dlaczego, w jakim celu, pozyskał jego dane osobowe. I jeżeli te dane zostały udostępnione bez jego zgody, to ma on prawo zgłoszenia takiej sprawy do prokuratury, i do GIODO – podkreśla gość Polskiego Radia 24.
Poszkodowany konsument łatwiej dostanie odszkodowanie
Będzie więc możliwość nakładania kar na przedsiębiorców za niezgodne z prawem wykorzystywanie danych. Z kolei konsument będzie mógł żądać odszkodowania za to, że jego dane były gromadzone i wykorzystywane niezgodnie z jego wolą.
– Dzisiaj teoretycznie można też dochodzić roszczenia za naruszenie dóbr osobistych z art. 24 Kodeksu cywilnego, ale to długotrwały proces. Natomiast w art. 77 rozporządzenia UE będzie taka możliwość, a procedura będzie prostsza, w myśl reguły: „Przetwarzasz moje dane bez podstawy prawnej, i ja poniosłem materialną lub osobową szkodę, to będę mógł wyjść z roszczeniem” – wyjaśnia Andrzej Lewiński.
To także przestroga dla tych, którzy handlują danymi i myślą że są bezkarni.
Niechciane oferty przez telefon
Konsument może wyrazić sprzeciw wobec przetwarzania danych osobowych do celów marketingowych, np. do oferowania nowych produktów czy usług przez telefon. Jeżeli jednak taki sprzeciw zgłasza, to sam nie powinien robić tego przez telefon.
– Nawet jeśli taka rozmowa jest nagrywana, to znalezienie jej może być bardzo utrudnione, gdyż np. bank nie będzie sam szkodził swoim interesom. Czyli albo sprzeciw wysyłamy drogą e-mailową, albo pisemną, listem poleconym. I dopiero po nieuwzględnieniu takiego sprzeciwu, można sprawę skierować np. do GIODO lub też do sądu – tłumaczy Łukasz Zegarek .
Firmy już liczą dodatkowe koszty
Przedsiębiorcy obawiają się kosztów tych zmian, chociażby związanych z obowiązkami dokumentacyjnymi.
– Z naszej perspektywy ważne jest to, aby wzmocnić zaufanie klientów do tego, że te dane są chronione, ale trzeba też pamiętać, że ta ochrona danych nie odbywa się na papierze. Trzeba tu powiedzieć, że te wersje nowego rozporządzenia, które są negocjowane, są bardzo różne. Wersja Parlamentu Europejskiego, jeśli przeanalizujemy obowiązki dokumentacyjne jakie trzeba będzie dodatkowo zrealizować, spowoduje wzrost kosztów zapewnienia zgodności z tymi przepisami, w ciągu 2 lat działania średniej firmy, która nie przetwarza danych na skalę masową dziewięciokrotnie. To oznacza, że za samą obsługę prawną firma będzie musiała zapłacić ponad 60 tys. zł. Co jest barierą, a nie gwarantuje, że przełoży się to na realną ochronę danych. Dlatego podejście Rady Europejskiej jest bardziej racjonalne, ponieważ mówi ona o stopniowalności tych obowiązków, w zależności od tego, jakie ryzyko może się wiązać z przetwarzaniem danych osobowych, i to nam się bardziej podoba – ocenia Magdalena Piech z Konfederacji Lewiatan.
Zdaniem Andrzeja Lewińskiego, te nowe przepisy unijne mogą wydawać się dla przeciętnego biznesmena rewolucyjne, ale tylko dlatego, że 7 lat przespaliśmy.
– Mówiliśmy bardzo dużo, ale GIODO nie dostał narzędzi do realizacji – komentuje zastępca Generalnego Inspektora Ochrony Danych Osobowych.
Do końca roku nastąpi ogłoszenie tego rozporządzenia i są 2 lata na wprowadzenie go w życie. Ale GIODO już chce wystąpić o nowelizację przepisów i wprowadzenie kar, w zamian za niektóre odpowiedzialności karne.
Zmienimy tylko 250 aktów prawnych… i będziemy lepiej chronieni
Musimy więc dostosować swoje procesy legislacyjne, swoje prawo do tego nowego prawa unijnego. Czy czeka nas w związku z tym wiele poprawek?
– Polska będzie musiała zaadaptować bezpośrednio to prawo i nasza ustawa o ochronie danych osobowych będzie mogła wylądować na śmietniku. Jakkolwiek pewne przepisy, regulujące np. pracę GIODO i tych lokalnych organów ochrony danych osobowych, w polskiej ustawie pozostaną – zauważa Łukasz Zegarek.
Jak wyliczyli eksperci, nowelizacja rozporządzenia wymagać będzie aktualizacji ok. 250 aktów prawnych.
Nowością np. z punktu widzenia polskiego prawa będzie obowiązek zgłaszania incydentów bezpieczeństwa, czyli przypadków związanych np. ze zniszczeniem lub wyciekiem danych osobowych. dzisiaj istnieje on tylko w prawie telekomunikacyjnym, po wejściu w życie unijnego rozporządzenia obejmie wszystkie sektory gospodarki.
Sylwia Zadrożna, Grażyna Raszkowska, Elżbieta Szczerbak, Małgorzata Byrska