Absurdy RODO – widmo kar powodem nadgorliwości i dezinformacji

28-09-2018, 23:00

Co zmieniło RODO? Obok lepszego zabezpieczenia naszych danych i kilkukrotnie większej liczby skarg na naruszenia, mamy także do czynienia z nadgorliwością i dezinformacją. Wynikają one z nadal niewystarczającej wiedzy społeczeństwa na temat ochrony danych osobowych.

Prostym przykładem codziennej czynności, która w obliczu RODO staje się problemem jest robienie uczniom zdjęć klasowych i umieszczanie nagrań z wydarzeń w Internecie. Wymaga ono wyrażenia na to uprzedniej zgody. Może być ona wycofana w każdej chwili, więc nagle szkoła będzie zmuszona do odnalezienia wszystkich zdjęć z uczniem i wycięcia jego wizerunku.

Podobnie w przypadku firm, które umieszczają zdjęcia z konkursów i wydarzeń w mediach społecznościowych. W rozwiązaniu problemu może pomóc wykorzystanie przepisów prawa autorskiego, zgodnie z którymi nie trzeba zbierać zgód na rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości (np. publiczna impreza).

Trudniej jest uzyskać informacje o bliskich osobach

Dziecko ulega wypadkowi, trafia do szpitala. Jego opiekunowie nie mogą się jednak dowiedzieć, w jakiej placówce przebywa, ponieważ dyżurny nie ma pewności, czy kontaktują się rodzice, czy może ktoś nieupoważniony. Aby rozwiązać problem warto uświadomić sobie, że zgodnie z RODO podstawą udostępnienia informacji na rzecz osób bliskich będzie uzasadniony interes osoby, której dane dotyczą. Tożsamość weryfikujemy po to, aby pozbyć się wątpliwości, z kim mamy do czynienia. Najlepiej, gdy pracodawca lub dyrektor szkoły prowadzi listę osób do kontaktu w nagłych przypadkach. W przypadku braku takiej listy, można wprowadzić procedurę zadawania dodatkowych pytań (np. o ubiór osoby w dniu wypadku, datę urodzenia, miejsce zamieszkania, PESEL, historię relacji). Wymóg osobistego stawiennictwa i wylegitymowania się dowodem osobistym powinien być ostatecznością.

 

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>

 

Aby usunąć dane, należy najpierw je podać

Złożenie przez stronę internetową żądania usunięcia informacji wymaga niekiedy przesłania kopii dowodu osobistego w celu weryfikacji. Rozwiązanie, podobnie jak powyżej, przychodzi, gdy pozbędziemy się wątpliwości co do tożsamości osoby, która składa żądanie. Gdy żądanie pochodzi z tego samego adresu mailowego, jaki został wcześniej zweryfikowany – zwykle tych wątpliwości nie ma. Wymóg przesłania innych danych niż te, które do tej pory posiada administrator, jest absurdalne. Nie będzie on mógł ich bowiem z niczym porównać, aby zweryfikować tożsamość.

Surfowanie po Internecie przerywane pytaniami o zgody

Surfowanie po Internecie przerywane jest pytaniami o zgody, które nic nie zmieniają, a często nawet się nie zapisują. Rozwiązanie problemu często jest prostsze niż nam się wydaje. Zgodnie z prawem telekomunikacyjnym zgodę na wykorzystanie plików cookie można wyrazić lub wycofać poprzez ustawienia przeglądarki. Obowiązek informacyjny można zaś spełnić poprzez widoczny link do polityki prywatności – wszystko bez wyskakujących okienek, które trzeba tylko zamykać.

Większość mikroprzedsiębiorców musi żyć z ryzykiem kary

Każdy musi dokonać analizy ryzyka i np. prowadzić rejestr incydentów. Za niespełnienie tego obowiązku grozi kara do 10 mln euro lub 2% obrotu. Zaś za niespełnienie obowiązku informacyjnego wobec każdego, kogo dane pozyskujemy grozi kara do 20 mln euro lub 4% obrotu. Jest to prawdopodobnie najczęściej łamany przepis w porównaniu do wysokości kary, jaką można otrzymać za naruszenie. Aby jednak zmniejszyć jej ryzyko, warto wykorzystać wzory klauzul informacyjnych, czy wzór rejestru incydentów. Można łatwo znaleźć je w Internecie. Na rynku coraz częściej pojawiają się także oferty aplikacji dostarczających narzędzia do wdrożenia RODO.

Duże firmy mogą przeprowadzać inspekcje u wielu innych przedsiębiorców

Firmy ubezpieczeniowe, banki i podmioty dostarczające karnety sportowe, zyskują wielkie uprawnienia kontrolne u pracodawców, którzy oferują swoim pracownikom ich usługi. Zgodnie z dominującą w Polsce interpretacją, pracodawca, zgłaszając swoich pracowników do dodatkowych usług (karnety sportowe, pakiety zdrowotne) przetwarza dane w imieniu tych firm. W związku z czym jest podmiotem przetwarzającym. Zgodnie z RODO, każda umowa powierzenia przetwarzania musi umożliwiać administratorowi (a więc firmie ubezpieczeniowej, bankom, podmiotom dostarczającym karnety), przeprowadzanie inspekcji u podmiotu przetwarzającego. Firmy te mogą więc przeprowadzać inspekcje u wszystkich pracodawców, z którymi mają podpisane takie umowy.

Autor: dr Paweł Mielniczek, ODO24


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2018»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.