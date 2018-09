Prostym przykładem codziennej czynności, która w obliczu RODO staje się problemem jest robienie uczniom zdjęć klasowych i umieszczanie nagrań z wydarzeń w Internecie. Wymaga ono wyrażenia na to uprzedniej zgody. Może być ona wycofana w każdej chwili, więc nagle szkoła będzie zmuszona do odnalezienia wszystkich zdjęć z uczniem i wycięcia jego wizerunku.

Podobnie w przypadku firm, które umieszczają zdjęcia z konkursów i wydarzeń w mediach społecznościowych. W rozwiązaniu problemu może pomóc wykorzystanie przepisów prawa autorskiego, zgodnie z którymi nie trzeba zbierać zgód na rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości (np. publiczna impreza).

Trudniej jest uzyskać informacje o bliskich osobach

Dziecko ulega wypadkowi, trafia do szpitala. Jego opiekunowie nie mogą się jednak dowiedzieć, w jakiej placówce przebywa, ponieważ dyżurny nie ma pewności, czy kontaktują się rodzice, czy może ktoś nieupoważniony. Aby rozwiązać problem warto uświadomić sobie, że zgodnie z RODO podstawą udostępnienia informacji na rzecz osób bliskich będzie uzasadniony interes osoby, której dane dotyczą. Tożsamość weryfikujemy po to, aby pozbyć się wątpliwości z kim mamy do czynienia. Najlepiej, gdy pracodawca lub dyrektor szkoły prowadzi listę osób do kontaktu w nagłych przypadkach. W przypadku braku takiej listy, można wprowadzić procedurę zadawania dodatkowych pytań (np. o ubiór osoby w dniu wypadku, datę urodzenia, miejsce zamieszkania, PESEL, historię relacji). Wymóg osobistego stawiennictwa i wylegitymowania się dowodem osobistym powinien być ostatecznością.

Aby usunąć dane, należy najpierw je podać

Złożenie przez stronę internetową żądania usunięcia informacji wymaga niekiedy przesłania kopii dowodu osobistego w celu weryfikacji. Rozwiązanie, podobnie jak powyżej przychodzi, gdy pozbędziemy się wątpliwości co do tożsamości osoby, która składa żądanie. Gdy żądanie pochodzi z tego samego adresu mailowego, jaki został wcześniej zweryfikowany – zwykle tych wątpliwości nie ma. Wymóg przesłania innych danych niż te, które do tej pory posiada administrator jest absurdalne. Nie będzie on mógł ich bowiem z niczym porównać, aby zweryfikować tożsamość.

Surfowanie po Internecie przerywane pytaniami o zgody, które nic nie zmieniają, a często nawet się nie zapisują

Rozwiązanie problemu często jest prostsze niż nam się wydaje. Zgodnie z prawem telekomunikacyjnym zgodę na wykorzystanie plików cookie można wyrazić lub wycofać poprzez ustawienia przeglądarki. Obowiązek informacyjny można zaś spełnić poprzez widoczny link do polityki prywatności – wszystko bez wyskakujących okienek, które trzeba tylko zamykać.

Większość mikroprzedsiębiorców musi żyć z ryzykiem kary

Każdy musi dokonać analizy ryzyka i np. prowadzić rejestr incydentów. Za niespełnienie tego obowiązku grozi kara do 10 mln euro lub 2% obrotu. Zaś za niespełnienie obowiązku informacyjnego wobec każdego, kogo dane pozyskujemy grozi kara do 20 mln euro lub 4% obrotu. Jest to prawdopodobnie najczęściej łamany przepis w porównaniu do wysokości kary, jaką można otrzymać za naruszenie. Aby jednak zmniejszyć jej ryzyko, warto wykorzystać wzory klauzul informacyjnych, czy wzór rejestru incydentów. Można łatwo znaleźć je w Internecie. Na rynku coraz częściej pojawiają się także oferty aplikacji dostarczających narzędzia do wdrożenia RODO.

Duże firmy mogą przeprowadzać inspekcje u wielu innych przedsiębiorców

Firmy ubezpieczeniowe, banki i podmioty dostarczające karnety sportowe, zyskują wielkie uprawnienia kontrolne u pracodawców, którzy oferują swoim pracownikom ich usługi. Zgodnie z dominującą w Polsce interpretacją, pracodawca, zgłaszając swoich pracowników do dodatkowych usług (karnety sportowe, pakiety zdrowotne) przetwarza dane w imieniu tych firm. W związku z czym jest podmiotem przetwarzającym. Zgodnie z RODO, każda umowa powierzenia przetwarzania musi umożliwiać administratorowi (a więc firmie ubezpieczeniowej, bankom, podmiotom dostarczającym karnety), przeprowadzanie inspekcji u podmiotu przetwarzającego. Firmy te mogą więc przeprowadzać inspekcje u wszystkich pracodawców, z którymi mają podpisane takie umowy.

Autor: Dr Paweł Mielniczek, ODO24