28.09.2018 / Prawo
 

Absurdy RODO. Widmo kar powodem nadgorliwości i dezinformacji

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
 
Photo by rawpixel.com from Pexels
Photo by rawpixel.com from Pexels

Co zmieniło RODO? Obok lepszego zabezpieczenia naszych danych i kilkukrotnie większej liczby skarg na naruszenia, mamy także do czynienia z nadgorliwością i dezinformacją. Wynikają one z nadal niewystarczającej wiedzy społeczeństwa na temat ochrony danych osobowych. Dr Paweł Mielniczek z ODO 24 proponuje rozwiązania sytuacji, w których próby stosowania RODO z różnych powodów prowadzą do absurdów.

Prostym przykładem codziennej czynności, która w obliczu RODO staje się problemem jest robienie uczniom zdjęć klasowych i umieszczanie nagrań z wydarzeń w Internecie. Wymaga ono wyrażenia na to uprzedniej zgody. Może być ona wycofana w każdej chwili, więc nagle szkoła będzie zmuszona do odnalezienia wszystkich zdjęć z uczniem i wycięcia jego wizerunku.

Podobnie w przypadku firm, które umieszczają zdjęcia z konkursów i wydarzeń w mediach społecznościowych. W rozwiązaniu problemu może pomóc wykorzystanie przepisów prawa autorskiego, zgodnie z którymi nie trzeba zbierać zgód na rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości (np. publiczna impreza) – tłumaczy dr Paweł Mielniczek, ekspert ds. ochrony danych w ODO 24.

Trudniej jest uzyskać informacje o bliskich osobach

Dziecko ulega wypadkowi, trafia do szpitala. Jego opiekunowie nie mogą się jednak dowiedzieć, w jakiej placówce przebywa, ponieważ dyżurny nie ma pewności, czy kontaktują się rodzice, czy może ktoś nieupoważniony. Aby rozwiązać problem warto uświadomić sobie, że zgodnie z RODO podstawą udostępnienia informacji na rzecz osób bliskich będzie uzasadniony interes osoby, której dane dotyczą. Tożsamość weryfikujemy po to, aby pozbyć się wątpliwości z kim mamy do czynienia. Najlepiej, gdy pracodawca lub dyrektor szkoły prowadzi listę osób do kontaktu w nagłych przypadkach. W przypadku braku takiej listy, można wprowadzić procedurę zadawania dodatkowych pytań (np. o ubiór osoby w dniu wypadku, datę urodzenia, miejsce zamieszkania, PESEL, historię relacji). Wymóg osobistego stawiennictwa i wylegitymowania się dowodem osobistym powinien być ostatecznością.

Aby usunąć dane, należy najpierw je podać 

Złożenie przez stronę internetową żądania usunięcia informacji wymaga niekiedy przesłania kopii dowodu osobistego w celu weryfikacji. Rozwiązanie, podobnie jak powyżej przychodzi, gdy pozbędziemy się wątpliwości co do tożsamości osoby, która składa żądanie. Gdy żądanie pochodzi z tego samego adresu mailowego, jaki został wcześniej zweryfikowany – zwykle tych wątpliwości nie ma. Wymóg przesłania innych danych niż te, które do tej pory posiada administrator jest absurdalne.  Nie będzie on mógł ich bowiem z niczym porównać, aby zweryfikować tożsamość – mówi dr Paweł Mielniczek, ekspert ds. ochrony danych w ODO 24. 

Surfowanie po Internecie przerywane pytaniami o zgody, które nic nie zmieniają, a często nawet się nie zapisują 

Rozwiązanie problemu często jest prostsze niż nam się wydaje. Zgodnie z prawem telekomunikacyjnym zgodę na wykorzystanie plików cookie można wyrazić lub wycofać poprzez ustawienia przeglądarki. Obowiązek informacyjny można zaś spełnić poprzez widoczny link do polityki prywatności – wszystko bez wyskakujących okien, które trzeba tylko zamykać.

Większość mikroprzedsiębiorców musi żyć z ryzykiem kary 

Każdy musi dokonać analizy ryzyka i np. prowadzić rejestr incydentów. Za niespełnienie tego obowiązku grozi kara do 10 mln euro lub 2% obrotu. Ze niespełnienie obowiązku informacyjnego wobec każdego, kogo dane pozyskujemy grozi kara do 20 mln euro lub 4% obrotu. Jest to prawdopodobnie najczęściej łamany przepis w porównaniu do wysokości kary, jaką można otrzymać za naruszenie. Aby jednak zmniejszyć jej ryzyko, warto wykorzystać wzory klauzul informacyjnych, czy wzór rejestru incydentów. Można łatwo znaleźć je w Internecie. Na rynku coraz częściej pojawiają się także oferty aplikacji dostarczających narzędzia do wdrożenia RODO.

Duże firmy mogą przeprowadzać inspekcje u wielu innych przedsiębiorców

Firmy ubezpieczeniowe, banki i podmioty dostarczające karnety sportowe, zyskują wielkie uprawnienia kontrolne u pracodawców, którzy oferują swoim pracownikom ich usługi.  Zgodnie z dominującą w Polsce interpretacją, pracodawca, zgłaszając swoich pracowników do dodatkowych usług (karnety sportowe, pakiety zdrowotne) przetwarza dane w imieniu tych firm. W związku z czym jest podmiotem przetwarzającym. Zgodnie z RODO, każda umowa powierzenia przetwarzania musi umożliwiać administratorowi (a więc firmie ubezpieczeniowej, bankowi czy podmiotowi dostarczającemu karnety), przeprowadzanie inspekcji u podmiotu przetwarzającego. Firmy te mogą więc przeprowadzać inspekcje u wszystkich pracodawców, z którymi mają podpisane takie umowy.

 

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
wizytówki firm
szukasz klientów dla firmy?
  • NuOrder NuOrder

    Jesteśmy partnerem marek w zakresie kompleksowych działań interaktywnych i kampanii performance. Budujemy...

    Zobacz profil w katalogu firm
  • APLAN MEDIA APLAN MEDIA

    Wiedza pochodzi z doświadczenia, natomiast intuicja z serca. Od ponad 9 lat łączymy wiedzę z intuicją oraz...

    Zobacz profil w katalogu firm
  • grey tree sp. z o.o. grey tree sp. z o.o.

    Istniejemy na rynku reklamowym od 2007 r. Przez ten czas zbudowaliśmy nie tylko naszą markę, ale przede wszystkim...

    Zobacz profil w katalogu firm
Komentarze (1)
Marek
1. Marek, 148.81.24.*, 16.10.2018 / 14:23
"Każdy musi dokonać analizy ryzyka" - naprawdę? Można prosić o przytoczenie adekwatnego artykułu z RODO?
Trwa zapisywanie komentarza
Dodaj komentarz
Zaloguj się
Jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo
wymagane
 
obrazek nieczytelny
 
 
wyślij
wizytówki firm
szukasz klientów dla firmy?
NuOrder
 
Arrow
newsletter
Arrow
Loader
Up Down
ostatnie komentarze
 
Dołącz do społeczności interaktywnie.com
 
 
 
 
© 2018 interaktywnie.com. All rights reserved.