Zgodnie z zapowiedzią zamieszczamy odpowiedź na kolejne kwestie, związane z wejściem w życie przepisów o RODO, o które zapytaliśmy pracowników biura prasowego GIODO. Nasz cykl tekstów o tej materii zawiera jeszcze kilka wskazówek dla warsztatów i sklepów z częściami samochodowymi. Czytając go, z każdym tygodniem staniecie się bogatsi w cenną wiedzę. Pamiętajcie jednak, że kolejne teksty o RODO na łamach MotoFocus, oznaczają coraz mniej czasu do przygotowania na przyszłoroczne zmiany.

Już 25 maja 2018 roku wejdą w życie nowe, unijne przepisy dotyczące ochrony danych osobowych – RODO. Duże korporacje z pewnością poradzą sobie ze zmianami szybko, o wiele trudniej mogą mieć małe i średnie przedsiębiorstwa, w tym warsztaty samochodowe.  Czy nasze obawy są uzasadnione?

Dużym przedsiębiorstwom może być o tyle łatwiej, że albo już zatrudniają, albo – gdy okaże się to konieczne – będzie ich stać na zatrudnienie fachowców, wspierających we wprowadzaniu zmian wynikających z reformy prawa ochrony danych osobowych. Trzeba jednak pamiętać, że w dużym przedsiębiorstwie może to być bardzo złożony i wieloaspektowy proces.

Zmian może wymagać wiele dokumentów czy stosowanych formularzy, a do nowych obowiązków i procedur trzeba przygotować liczny personel. Poza tym część dużych podmiotów będzie musiała spełnić bardziej rygorystyczne wymagania, choćby te związane z przeprowadzaniem tzw. oceny skutków dla ochrony danych.

Z kolei małym podmiotom, mimo iż zazwyczaj przetwarzają mniej danych osobowych i w mało skomplikowany sposób, bez odpowiedniej wiedzy i fachowego wsparcia może być trudniej sprostać nowym wymaganiom, zwłaszcza w zakresie zabezpieczania danych osobowych.

Zatem wszyscy z równą troską powinni podejść do sprostania nowym wymaganiom wynikającym z rozporządzenia, zwłaszcza że do rozpoczęcia ich stosowania jest coraz bliżej – już niecały rok.

W nowych przepisach, jak czytamy, zabezpieczono bardziej interesy obywateli – jak zatem zmieni się proces legalnego pozyskiwania danych. Jeśli np. warsztat chce pozyskać informacje od klienta, by wysłać mu newsletter dotyczący oferty?

Jeśli chodzi o pozyskiwanie danych osobowych klientów, to podstawowe zasady w tym zakresie pozostają aktualne również pod rządami ogólnego rozporządzenia o ochronie danych. Co do zasady – tak jak i obecnie – aby legalnie przetwarzać, a więc i pozyskiwać, dane osobowe, trzeba będzie się wykazać spełnieniem przesłanki, która do tego uprawnia. Są one wskazane w art. 6 rozporządzenia.

Odnosząc się jednak to zmian, to w tym kontekście warto wspomnieć o tych związanych z dopełnianiem tzw. obowiązku informacyjnego.

Już obecnie obowiązujące przepisy obligują podmioty pozyskujące dane osobowe do przekazywania osobom, których te dane dotyczą, takich informacji, jak: adres i siedziba administratora danych, cel zbierania danych czy źródło tych danych.

Ogólne rozporządzenie o ochronie danych podkreśla jeszcze bardziej konieczność realizacji obowiązku informacyjnego. Od wszystkich administratorów danych wymagać się będzie, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, były zwięzłe i zrozumiałe.

Ważną zmianą, jaką wprowadzi rozporządzenie, jest zwiększenie zakresu informacji, które należy przekazać. Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach, czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony.

Już teraz warto więc zapoznać się z art. 13 i art. 14 rozporządzenia oraz dokonać przeglądu stosowanych obecnie klauzul informacyjnych i analizy, jakie treści należy zmienić, a jakie uzupełnić – tak by odpowiednio wcześnie zaplanować wszelkie niezbędne zmiany w spełnianiu obowiązku informacyjnego zgodnie z wymogami rozporządzenia.

Innym zagadnieniem, na które warto zwrócić uwagę w kontekście pozyskiwania danych osobowych jest kwestia wyrażania zgody na przetwarzanie danych osobowych. Zgoda ta od 25 maja 2018 r. będzie musiała odpowiadać warunkom rozporządzenia. Jeśli faktycznie tak będzie, to – jak stanowi motyw 171 rozporządzenia – nie będzie potrzeby ponownego jej wyrażania przez podmiot danych.

Zaznaczyć przy tym należy, że w porównaniu z obecnym stanem prawnym zmianie ulegnie charakter prawny zgody. Zwykłą zgodę wyraźną w rozumieniu ustawy o ochronie danych osobowych zastąpi zgoda jednoznaczna. Wyraźne oświadczenie woli zastąpi więc jednoznaczne, niepozostawiające wątpliwości przyzwolenie osoby w formie oświadczenia lub działania potwierdzającego.

Nie będzie też potrzeby udzielania zgody na piśmie na przetwarzanie danych wrażliwych – od maja 2018 r. w tych sytuacjach wystarczy już zgoda wyraźna. Wobec tego „poluzowania” charakteru prawnego zgód, wydaje się, że większość pozyskanych dotychczas zachowa ważność także pod rządami rozporządzenia. Pod warunkiem że poinformowano osobę, której dane dotyczą, o możliwości wycofania zgody w dowolnym momencie, a jej wycofanie jest równie łatwe jak jej wyrażenie.

Kwestia tego, czy trzeba będzie ponownie pozyskiwać zgodę wobec braku uprzedniego poinformowania podmiotu danych o możliwości jej wycofania jest obecnie przedmiotem dyskusji m.in. na forum Grupy Roboczej Art. 29 (niezależnego europejskiego organu doradczego Komisji Europejskiej, której GIODO jest członkiem), pracującymi nad nowymi wytycznymi Grupy dotyczącymi zgody. Należy więc oczekiwać spójnego stanowiska wszystkich unijnych organów ochrony danych osobowych w tej sprawie.

Jeśli zaś chodzi o kwestię wysyłania newsletterów, to rozpatrywać ją trzeba z uwzględnieniem ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Rozdział 2 tej ustawy zawiera obowiązki usługodawcy, a jednym z najważniejszych w kwestii wysyłki, jest art. 10. Zgodnie z nim zakazane jest przesyłanie niezamówionej informacji handlowej, skierowanej do oznaczonego odbiorcy – osoby fizycznej, za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

Informację handlową uważa się jednak za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Jak stanowi art. 4 ustawy o świadczeniu usług drogą elektroniczną, zgoda na przesyłanie informacji handlowej nie może być domniemana z oświadczenia woli o innej treści i może być w każdym czasie odwołana.

Warto też pamiętać, że zgoda na otrzymywanie informacji marketingowych i handlowych za pomocą środków komunikacji elektronicznej powinna być wyrażana odrębnie, a nie np. łącznie ze zgodą na przetwarzanie danych osobowych w celach marketingowych.

Na kolejną dawkę informacji o nadchodzących zmianach zapraszamy w przyszłym tygodniu