Natalia Groszyk, Autor w serwisie RodoRadar.pl

Kiedy należy wyznaczyć Inspektora Ochrony Danych?

Inspektor Ochrony Danych (IOD) to osoba, która pełni ważną rolę w organizacji. Administrator lub podmiot przetwarzający wyznacza Inspektora, aby ten wspierał go w przestrzeganiu przepisów dotyczących ochrony danych osobowych. IOD współpracuje z Urzędem Ochrony Danych Osobowych (UODO) oraz udziela niezbędnych informacji osobom, których dane są przetwarzane.

Kto może, a kto musi wyznaczyć IOD na podstawie RODO?

RODO określa obowiązek wyznaczenia Inspektora Ochrony Danych dla administratorów i podmiotów przetwarzających wówczas, gdy:

1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

Przez „organy i podmioty publiczne” obowiązane do wyznaczenia Inspektora Ochrony Danych, o których mowa powyżej, rozumie się jednostki sektora finansów publicznych, np. jednostki samorządu terytorialnego, uczelnie publiczne, instytuty badawcze oraz Narodowy Bank Polski.

2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;

„Główną działalnością” jest działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Do czynności zasadniczych powinny być zaliczane czynności realizowane przez administratora bądź podmiot przetwarzający, które stanowią podstawowy przedmiot ich działalności, natomiast za czynności poboczne można uznać te działania, które towarzyszą czynnościom zasadniczym. Dla przykładu, działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania Inspektora Ochrony Danych. Innym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w prywatnych centrach handlowych i przestrzeni publicznej. Działalnością główną spółki jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że taka spółka również powinna wyznaczyć Inspektora Ochrony Danych.

Pojęcie „regularnego i systematycznego monitorowania” obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Samo pojęcie nie jest jednak ograniczone jedynie do środowiska online i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą. Określenie „regularne” oznacza jedno lub więcej z następujących pojęć: stałe albo występujące w określonych odstępach czasu przez ustalony okres; cykliczne albo powtarzające się w określonym terminie; odbywające się stale lub okresowo. Sformułowanie „systematyczne” oznacza jedno lub więcej z następujących pojęć: występujące zgodnie z określonym systemem; zaaranżowane, zorganizowane lub metodyczne; odbywające się w ramach generalnego planu zbierania danych; przeprowadzone w ramach określonej strategii. „Monitorowanie osób” oznacza zaś prowadzenie obserwacji osób i może dotyczyć ich zachowań, zainteresowań czy preferencji. Wśród przykładów działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą można wymienić m.in.: świadczenie usług telekomunikacyjnych, profilowanie i ocenianie dla celów oceny ryzyka, na przykład dla celów oceny ryzyka kredytowego, śledzenie lokalizacji, na przykład przez aplikacje mobilne, programy lojalnościowe reklamę behawioralną oraz monitoring wizyjny.

Dla zaistnienia obowiązku wyznaczenia Inspektora Ochrony Danych nie wystarczy wystąpienie jednego ze wskazanych powyżej elementów, wszystkie trzy elementy (działalność główna; regularne i systematyczne monitorowanie osób; duża skala przetwarzania) powinny wystąpić łącznie. Nawet jeżeli występują dwa spośród wskazanych powyżej elementów, a trzeci nie występuje, to administrator lub podmiot przetwarzający nie ma obowiązku wyznaczenia Inspektora Ochrony Danych.

3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych;

Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Przy określaniu, czy przetwarzanie odbywa się na „dużą skalę” powinno się uwzględnić następujące czynniki:
liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
zakres przetwarzanych danych osobowych,
okres, przez jaki dane są przetwarzane,
zakres geograficzny przetwarzania danych osobowych.

Do przykładów „przetwarzania danych osobowych na dużą skalę” zaliczyć można m.in. przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności oraz przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich). W definicji przetwarzania na „dużą skalę” nie mieści się m.in. przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza oraz przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

„Szczególne kategorie danych” to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Administratorom i podmiotom przetwarzającym zaleca się udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia Inspektora Ochrony Danych. Ma to na celu wykazanie, że dany podmiot dokonał stosownej analizy i uwzględnił wymagania prawne w tym zakresie.

Jeśli dany podmiot nie ma obowiązku powołania IOD, a dobrowolnie się na wyznaczenie Inspektora decyduje, to wymagania wskazane w przepisach RODO dotyczące IOD stosuje się tak jak w przypadku tego obligatoryjnego powołania.

Zgodnie z RODO, do zadań Inspektora Ochrony Danych należy:

Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie.
Monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym np. szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.
Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania.
Współpraca z organem nadzorczym.
Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Osoba wyznaczana do pełnienia funkcji Inspektora Ochrony Danych powinna znać przepisy prawa dotyczące ochrony danych osobowych, a także mieć wiedzę z zakresu systemów informatycznych i zabezpieczeń tego rodzaju systemów, w zakresie, w jakim są one wykorzystywane w danej jednostce organizacyjnej. Posiadanie wykształcenia w tym zakresie może być potwierdzone różnego rodzaju dokumentami.

Określenie „wiedza fachowa” powinno być rozumiane jako wiedza specjalistyczna, przewyższająca znacznie poziom wiedzy osoby zatrudnionej przy przetwarzaniu danych i przeciętnego użytkownika systemów informatycznych.

Administrator lub podmiot przetwarzający mają obowiązek zapewnić, aby Inspektor nie otrzymywał instrukcji dotyczących wykonywania zadań. Oznacza to, że w ramach wypełniania zadań IOD nie może otrzymywać instrukcji dotyczących sposobu rozpoznania sprawy, środków jakie mają zostać podjęte czy celu jaki powinien zostać osiągnięty, czy też faktu, czy należy skontaktować się z organem nadzorczym. Nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów.

W ten sposób prawodawca unijny zapewnia IOD samodzielność, która ma być elementem niezależności Inspektora Ochrony Danych. Chodzi o to, aby IOD nie podlegał naciskom ze strony innych osób i mógł samodzielnie podejmować działania w ramach wykonywania swoich zadań.

Administrator lub podmiot przetwarzający zobowiązani są również do zapewnienia, by zadania i obowiązki Inspektora nie powodowały konfliktu interesów.

Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Z konfliktem interesów mamy do czynienia w sytuacji, gdy nie można pogodzić prawidłowej realizacji zadań IOD z wykonywaniem innych zadań, ponieważ między tymi zadaniami istnieje, bądź może istnieć, niezgodność, która uniemożliwia należyte ich wykonywanie.

Oznacza to, że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu. Co do zasady, za powodujące konflikt interesów uważane są stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Inspektor Ochrony Danych nie może zostać odwołany ani ukarany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Wymóg ten zwiększa niezależność IOD i zapewnia możliwość wykonywania zadań w niezależny i odpowiednio chroniony sposób.

Nawet jeśli organizacja nie jest zobligowana do powołania Inspektora Ochrony Danych, to powinna to rozważyć. Dzięki temu zapewni sobie stałe monitorowanie przestrzegania RODO, właściwe informowanie o obowiązkach związanych z ochroną przetwarzanych danych osobowych, bieżące doradztwo związane z zarządzaniem procesami przetwarzania danych. Należy pamiętać, ze właściwa ochrona danych osobowych to również poprawa procesów obsługi klientów, których dane są przetwarzane. Powołanie Inspektora jest też widocznym znakiem dla klientów, kontrahentów, pracowników i innych interesariuszy, że dana organizacja przykłada odpowiednią wagę do ochrony powierzanych jej danych osobowych.

Dane osobowe a marketing VR – czy metaverse da nowe możliwości?

Ludzie prowadzą swoje życie w wirtualnej, łączącej elementy świata realnego i fikcyjnego, barwnej rzeczywistości. Wyposażeni w specjalne okulary niemalże odcinające ich od prawdziwego świata, symulujące dotyk rękawice, owijające ciała kostiumy lub wielokierunkowe bieżnie, przemierzają bezkres transcendentalnego świata jako swoje spersonalizowane awatary. Wizja ta wydaje się być dzisiaj bardzo znajoma, ale nie jest rzeczą nową. Pojęcie metaverse zostało bowiem nakreślone w 1992 r. przez amerykańskiego autora Neala Stephensona na łamach powieści „Zamieć” (oryg. „Snow Crash”).

To, co 30 lat temu było całkowitą fikcją, w 2021 r. zostało wycenione na 21,83 mld USD (w Polsce – ok. 25 mln USD) z oczekiwaną roczną stopą wzrostu w latach 2022-2030 na poziomie 15,0%. Przyciągnęło również uwagę największych gigantów technologicznych, tj. Facebooka (obecnie – Mety), Microsoftu, Tencentu i NVIDIA, którzy stosują omawiane rozwiązania w projektach z zakresu m.in. architektury, produkcji, edukacji bądź medycyny. Powyższa tendencja została również dostrzeżona przez najbardziej kreatywne i otwarte działy marketingu. Narzędzia wirtualnej rzeczywistości (ang. virtual reality – VR) w ramach swojej promocji wykorzystują już dziś m.in. McDonald, IKEA, Adidas, New York Times, Volvo, Marrell, L’Oréal Paris, Walmart, Samsung, KFC czy nawet Londyńskie Muzeum Historii Naturalnej.

Niemniej, niemalże nieograniczone możliwości rodzą zawsze liczne problemy i wątpliwości. Przykładowo, jak charakter funkcjonowania metaverse i niezbędnych do tego narzędzi VR wpłynie na bezpieczeństwo danych osobowych ich użytkowników?

W tym artykule zarysuję podstawowe problemy, które w perspektywie postanowień RODO mogą napotkać wszyscy zainteresowani wdrożeniem rozwiązań marketingu VR w swoich przedsiębiorstwach.

Przetwarzanie danych o szczególnym charakterze („danych wrażliwych”)

Wbudowane w zestawy VR sensory, by umożliwić współdziałanie użytkownika z metaverse, korzystają z rozbudowanej sieci czujników pozwalających na zbieranie informacji o reakcjach fizycznego ciała ze światem zaprojektowanym. Należą do nich m.in. systemy rozpoznawania twarzy (jej mimiki, geometrii), śledzenia ruchów gałki ocznej, siatkówki oka, całego ciała (pozycji głowy oraz rąk, odcisków palców, itd.), innych fizjologicznych reakcji organizmu (temperatury, reakcji skóry, tętna, wysycenia krwi, aktywności elektrycznej mięśni – a wkrótce może – fal mózgowych) lub rejestrowania głosu.

Oczywiście, wskazane wycinki będą równocześnie postrzegane jako bezcenny wkład dla reklamodawców. Dzięki nim będą w stanie uczyć się, modelować, przewidywać i manipulować zachowaniem podmiotów danych w stopniu, który obecnie utożsamiamy ze światem zobrazowanym w filmie „Raporcie Mniejszości” i stosowanymi tam spersonalizowanymi reklamami.

W perspektywie prawnej, informacje te są uznawane za dane biometryczne (dane o szczególnym charakterze), tj. wynikające ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO).

Ich przetwarzanie objęte jest tym samym bardziej rygorystycznymi wymaganiami.

Po pierwsze i najważniejsze, co do zasady, jest zakazane. Poza enumeratywnie wymienionymi w RODO celami, np. ze względu na ważny interes publiczny (w tym w dziedzinie zdrowia publicznego), profilaktykę zdrowotną, medycynę pracy lub sprawowanie wymiaru sprawiedliwości przez sądy (por. art. 9 ust. 2 RODO), na dokonanie takich czynności konieczne jest uzyskanie stosownej zgody.

Po drugie, jak podkreśla polski Urząd Ochrony Danych Osobowych, budowa każdego systemu przetwarzania danych tego typu powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych (tzw. DPIA – art. 35 RODO), a ostateczna decyzja o jego zastosowaniu uwzględniać podstawowe zasady ochrony danych osobowych, takie jak niezbędność, celowość oraz proporcjonalność (art. 5 RODO).

Co więcej, w wytycznych europejskich organów nadzoru wskazuje się również na obowiązki administratora w zakresie klauzul informacyjnych (art. 13-14 RODO) oraz zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający potencjalnym ryzykom, np. szyfrowanie lub kontrola dostępu do bazy danych (art. 32 RODO).

Zgoda podmiotu danych

Zgoda podmiotu danych umożliwia podjęcie przetwarzania danych „wrażliwych” przez administratora. By można było uznać ją za wyrażoną poprawnie, musi spełniać kilka warunków, m.in. być dobrowolna, konkretna, świadoma i jednoznaczna (por. art. 7 RODO; Motywy 32-33 i 42-43 RODO). To właśnie tym warunkom musimy przyjrzeć się szczegółowo w perspektywie marketingu w VR.

Co ważne, zgoda powinna zostać udzielona przed rozpoczęciem przetwarzania danych osobowych. Musi zostać wyrażona wprost, określać osobę, która zgody udziela oraz której dane osobowe mają być udostępnione. Podmiot danych musi wiedzieć komu udziela zgody i znać jej zakres (m.in. okres przetwarzania, zakres danych i zamierzony cel).

Na potrzeby metaverse powyższe łączy się bezsprzecznie z trudnością w postawieniu granicy pomiędzy treściami niezbędnymi a tymi dodatkowymi. Dodatkowo, niezmiernie wymagającym zadaniem będzie określenie tego zakresu w treści zgody i klauzuli informacyjnej. Przykładem może być tutaj stworzenie całej platformy VR jako zabiegu marketingowego (treści marketingowe stanowią wówczas istotę rozwiązania) albo korzystanie z reklam wewnątrz innego, publicznie dostępnego świata wirtualnego.

W perspektywie art. 7 ust. 4 RODO pojawiają się również wątpliwości w zakresie możliwości swobodnego wyrażenia zgody w świecie VR. Szczególnie dotyczą one niezbędności przetwarzania danych biometrycznych w perspektywie technicznych aspektów funkcjonowania samego rozwiązania.

W omawianej materii, koniecznym jest również zwrócenie uwagi na tzw. zgody użytkowników końcowych („osoba, która nie udostępnia publicznych sieci łączności elektronicznej ani publicznie dostępnych usług łączności elektronicznej”) na wysyłanie komunikatów do celów marketingu bezpośredniego z wykorzystaniem usług łączności elektronicznej. Reguły ich uzyskiwania oraz ich zakres zostały określone w szeroko rozumianym prawie łączności elektronicznej, w szczególności prawie krajowym (w Polsce – Prawo Telekomunikacyjne), Dyrektywie UE o tzw. e-prywatności, a także jej planowanym następcy – Rozporządzeniu e-Privacy (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE).Wymaga się bowiem uzyskiwania zgody na wykorzystanie każdego z urządzeń końcowych odrębnie, tj. np. e-mail, telefon lub poszczególnych aplikacji. Tym samym, celem by zgodnie z prawem stosować marketing w świecie VR niezbędne jest również uzyskanie tego typu zgody. W omawianym przypadku będą mogły być objęte zarówno poszczególne platformy, w ramach których świadczona jest usługa VR, jak i samo wymagane urządzenie dostępowe (np. gogle VR).

Forma klauzul informacyjnych i zgód

Zastosowanie dokumentów w formie pisemnej czy elektronicznej (kwalifikowany podpis elektroniczny) na potrzeby VR już na pierwszy rzut oka nie wydaje się właściwe. Co do marketingu, zazwyczaj używa się ich wówczas bardzo wielu – są to np. formularze zgód, polityki prywatności, polityki cookies, regulaminy konkursów itd. Tym samym oznacza to, że niezbędne jest znalezienie dla nich odpowiedniego zastępstwa i dostosowanie do realiów metaverse.

Rozpocząć trzeba od podstaw czyli dostarczenia konfigurowalnych ustawień prywatności. Obejmować będą one np. to, ile danych „fizjologicznych” użytkownik chce dopuścić do stworzenia swojego awatara lub immersyjności świata VR. Opcje kontroli powinny obejmować ograniczenie dostępu do profilu, blokowanie i ukrywanie innych użytkowników/podmiotów trzecich oraz kontrolę dostępu. Na przykład mogłyby obejmować one intensywność interakcji w rzeczywistości wirtualnej i zakres włączenia biosygnałów w celu dostosowania prezentowanych treści. Wiem jednak, że zbyt głęboka ingerencja użytkownika w omawiane ustawienia mogłaby zagrozić głównej funkcji metaverse, jaką bezsprzecznie jest zapewnienie doświadczenia jak najbardziej rzeczywistego. W skutek działań użytkownika mogłoby z oczywistych przyczyn zniweczyć ten cel.

Jako otwarte zostawiam więc pytanie, czy i jakie elementy prywatności mogłyby podlegać modyfikacji, uwzględniać tzw. paradoks prywatności, a jednocześnie nie doprowadzić do katastrofy samego konceptu VR.

Dodatkowo, jednym z proponowanych przez naukowców rozwiązań mogłoby być wymaganie od użytkowników obejrzenia krótkiego filmu lub ilustracji i zaangażowania się w interaktywne ćwiczenia (np. quiz, wirtualny quest, tor przeszkód itd.). Edukowałyby one o możliwych konsekwencjach przetwarzania danych w rzeczywistości wirtualnej i testowały zrozumienie prezentowanego zagadnienia. Wówczas proces wyrażania zgody byłby poprzedzony interaktywnym procesem, a nie jednorazowym, teoretycznym, bezrefleksyjnym przeczytaniem (przewinięciem w „dół”) tekstowej polityki prywatności.

Uwzględniając powyższe, podmioty planujące rozpocząć swój marketing w VR powinny zadbać, by regulacje dotyczące prywatności w metaverse realnie uwzględniały motywacje użytkowników. Interaktywne platformy, w połączeniu z kontrolą ustawień prywatności, zmotywowałyby użytkowników do tego, by usiedli i przemyśleli konsekwencje swoich doświadczeń z wirtualną rzeczywistością w sposób, w jaki tekstowa polityka prywatności nie jest w stanie tego zrobić.

Co z danymi biometrycznymi może zrobić marketing?

Dlaczego dane biometryczne często uznawane są za Święty Graal marketingu personalizowanego?

Już w 2018 roku systemy komercyjne zazwyczaj śledziły ruchy ciała 90 razy na sekundę, aby odpowiednio wyświetlić scenę, a systemy wysokiej klasy rejestrowały 18 rodzajów akcji w obrębie głowy i rąk. W konsekwencji spędzenie 20 minut w symulacji VR pozostawiało niecałe 2 miliony unikalnych rekordów dotyczących ciała użytkownika. Mogą one przykładowo obejmować reakcję źrenic bezpośrednio mierzoną przez wiele metod eye-trackingu. Ona sama ujawnia w jakimś stopniu poziom zainteresowania (np. emocjonalnego) tym, na co ktoś patrzy. Wzrok staje się jeszcze bardziej znaczący w połączeniu z właściwościami, takimi jak fale mózgowe (ujawniające stany umysłu), galwaniczna reakcja skóry (niepokój, stres), czujniki pulsu i ciśnienia krwi (gniew, podniecenie), temperatury ciała, sposób poruszania się, gesty głowy i rąk (komunikacja niewerbalna).

Zaawansowane algorytmy AI na podstawie tych danych mogą jednoznacznie zidentyfikować użytkownika oraz jego reakcję. Czy przeszedł obojętnie, zastanawiał się, utrwalił przekazaną informację, czy szybko odwrócił wzrok lub nawet czy był zainteresowany, podekscytowany, zakłopotany lub znudzony?

Podmiot, który dysponuje takimi danymi, w połączeniu z informacjami dotyczącymi prawdziwej tożsamości podmiotu danych (np. nazwisko, nr karty kredytowej), w banalny sposób może dokonywać nieskończonej, perfekcyjnej reidentyfikacji. Oznacza to, że obecne próby podejmowane na podstawie narzędzi big data (np. programmatic) będzie znacznie tańsze i dokładniejsze.

Przekładając powyższe na konkretne działania marketingowe, metaverse będzie dawało możliwość wręcz bezbłędnego dopasowania treści do użytkownika. Ujawniane będą wyłącznie treści, które go interesują, nie tylko pod względem treści, lecz również kolorystyki, formy itd. Reklama naturalnie zsynchronizuje się więc z wyraźną bądź ukrytą dyrektywą emocjonalną, a w konsekwencji zmotywuje osobę ukrytą za awatarem do kupienia czegoś, zagłosowania za lub przeciw komuś, albo po prostu pozostania w domu. Perfekcyjnie zrealizuje tym samym zamierzony przez reklamodawcę cel.

Warstwowy obowiązek informacyjny

Jednym z podstawowych obowiązków administratora jest poinformowanie osoby, której dane pozyskuje o tym m.in. kto, po co i jak długo będzie te dane przetwarzał oraz jakie prawa przysługują ww. osobie[1].

Obowiązek ten powinien zostać zrealizowany przez administratora w sposób przejrzysty, tak by informacje były sformułowane jasnym i prostym językiem, zrozumiale dla odbiorcy[2]. RODO proponuje rozwiązanie polegające na połączeniu informacji ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania[3]. Zdawałoby się zatem, że ilość informacji wymaganych do wyczerpującego wypełnienia obowiązku z art. 13 i 14 RODO wymusi wypracowanie zwięzłej formy przekazu. Tymczasem, praktyka sprowadza się zwykle do przedstawienia zapisanej ciągłym tekstem strony A4 lub systemowego odsyłania do równie rozległego komunikatu. W konsekwencji, niewiele osób zapoznaje się z klauzulą w ogóle.

Problem przejrzystości w kontekście obowiązku informacyjnego dostrzegła również Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych) (dalej: GR29), wskazując: „W RODO istnieje pewien kontrast między, z jednej strony, wymogami przekazania osobom, których dane dotyczą, wyczerpujących informacji wymaganych na podstawie RODO, a z drugiej strony wymogami przekazania tych informacji w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie”.[4] Jednocześnie w swoich wytycznych GR29 zaproponowała rozwiązanie w postaci warstwowych klauzul informacyjnych.

Przy ich zastosowaniu obligatoryjne informacje zostają przekazywane sukcesywnie:

Pierwsza warstwa to zestaw informacji, z którymi osoba zapoznaje się w pierwszej kolejności.
Są to szczegóły na temat:

Tożsamości administratora.
Celów przetwarzania.
Opisu przysługujących osobie praw.[5]

Druga warstwa to zestaw pozostałych informacji, do których osoba ma dostęp za pośrednictwem innych środków, np. po kliknięciu w link, otrzymania w wiadomości e-mail lub pojawienia się we wskazanym miejscu.[6]

Warstwowe spełnianie obowiązku informacyjnego może być stosowane w różnych formach komunikacji, w tym cyfrowej, telefonicznej czy osobistej oraz przy różnych podstawach przetwarzania.

Nie jest to mechanizm nowy, lecz wciąż często pomijany. Jego prawidłowe wykorzystanie pozwala natomiast, zgodnie z założeniami GR29, wyeliminować przeładowanie informacyjne oraz zrównoważyć kwestie kompletności i zrozumienia. To z kolei niewątpliwie przyczynia się nie tylko do zapoznania się z klauzulą przez jej odbiorcę, lecz również do świadomego korzystania z przysługujących praw.

Dodatkowym aspektem przemawiającym za tym, aby zwracać uwagę na poprawne wypełnianie obowiązku informacyjnego jest czujność organu nadzorczego. Na przestrzeni ponad 4 lat obowiązywania RODO można już odnotować, że Prezes Urzędu Ochrony Danych Osobowych przygląda się tej kwestii. Za uchybienia w przedmiotowym zakresie, poza oczywistym nakazem do uzupełnienia klauzuli, w 2019 r. nałożona została na jeden z podmiotów kara finansowa w wysokości 943.470,00 PLN[7].

[1] Art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”)

[2] Art. 5 i motyw 39 RODO

[3] Motyw 60 RODO

[4] Pkt 34 wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679, zmienione i przyjęte w dniu 11 kwietnia 2018 r. (dalej: „Wytyczne”)

[5] Pkt 36 i 38 Wytycznych

[6] Pkt 38 Wytycznych

[7] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 marca 2019 r., sygn. ZSPR.421.3.2018

Wdrożenie RODO – oferta cenowa

Zewnętrzny Inspektor Ochrony Danych

Audyt RODO

Ochrona danych osobowych w HR – Rekrutacja i monitoring pracowniczy

Oto pierwszy webinar z serii Ochrona danych osobowych w HR! W ramach spotkania omówimy zagadnienia związane z procesem rekrutacji oraz prowadzeniem monitoringu pracowniczego.

Przedstawimy Państwu kompleksowe omówienie procesów zachodzących w ramach ww. czynności. Następnie wskażemy działania, które są konieczne do podjęcia, by zapewnić bezpieczne i spokojne gromadzenie danych osobowych.

AGENDA

Kodeks pracy – jakie dane osobowe możemy zbierać w ramach rekrutacji?
Rekrutacja wewnętrzna i system poleceń pracowniczych – czego wymaga poprawne wdrożenie procesu?
Rekrutacja zewnętrzna – jak zorganizować współpracę z agencją rekrutacyjną.
Rekrutacja ukryta, backscreening, portale społecznościowe i inne – czyli współczesne formy rekrutacji.
Monitoring pracowniczy – czym jest, kiedy i jak prowadzić go zgodnie z prawem.
Wykorzystanie danych pozyskanych z monitoringu. Czy są jakieś ograniczenia?

Data: Czwartek, 8 Grudnia 2022, godz.: 11:00 – 12:00

Link do rejestracji.

Zapraszamy!

Jak poprawnie złożyć skargę do UODO na niewłaściwe przetwarzanie danych osobowych i jakie są tego konsekwencje?

Polacy są coraz bardziej świadomi posiadanych przez nich praw związanych z ochroną danych osobowych.

Nie dość, że samo zagadnienie przestało być interesujące tylko dla garstki prawników, ponieważ w stechnicyzowanej rzeczywistości możemy zostać sprowadzeni do roli terabajtów danych przetwarzanych głównie w celach marketingowych, to na dodatek każdy na własnej skórze może odkryć, iż prywatność przestała być codziennością, a stała się przywilejem. Niechciany telefon od telemarketera sprzedającego garnki? Tysiące maili o promocjach przygotowanych „tylko dla ciebie”? Wyświetlające się na każdej odwiedzanej stronie internetowej reklamy sprofilowane pod gust użytkownika oceniony na podstawie ostatnio odwiedzanych witryn?

Powyższe przykłady to zaledwie ułamek spraw, z jakimi musimy się zmagać jako podmioty danych, o których informacje pędzą od jednego zaufanego partnera (czyt. głównie przedsiębiorstwa handlującego danymi) do drugiego. W związku z tym unijny ustawodawca wyszedł naprzeciw oczekiwaniom i w ramach rozporządzenia 2016/679, czyli RODO, skłonił państwa członkowskie do powołania nowoczesnych organów nadzorczych, do których zadań należy między innymi rozpatrywanie indywidualnych skarg osób fizycznych na naruszenia ich praw do ochrony danych osobowych.

Polacy piszą skargi

W roku 2018 powstał Urząd Ochrony Danych Osobowych, który był kontynuatorem działań podejmowanych przez Generalnego Inspektora Ochrony Danych Osobowych. Wraz z pojawieniem się nowego prawa lawinowo wzrosła liczba złożonych skarg – ze sprawozdania Prezesa UODO za rok 2019 wynika, iż w tamtym okresie wniesiono 9304 skargi do organu nadzorczego, podczas gdy rok wcześniej skarg było zaledwie 5565. Z kolei ze sprawozdania Prezesa UODO za rok 2021 wynika, iż we wskazanych dwunastu miesiącach Polacy wnieśli 8318 skarg.

Powyższa tendencja wskazuje, że Urząd był zasypany skargami w momencie, gdy RODO weszło w życie i jeszcze nie do końca było wdrożone przez liczne podmioty, aczkolwiek wzrost liczby wniesionych skarg po zatrzymaniu się kraju w trakcie covidowej pandemii wskazuje, że nadal ludzie nie są zadowoleni ze sposobu, w jaki ich dane osobowe są przetwarzane.

Kompetencje Prezesa Urzędu Ochrony Danych Osobowych

Zgodnie z art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa Urzędu. Jednocześnie art. 4 pkt 1 RODO stanowi, iż dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Z przytoczonych przepisów wynika, że Prezes UODO nie zajmuje się kwestiami niezwiązanymi z danymi osobowymi. Do danych osobowych nie można zatem zaliczyć nagrania z monitoringu jako fizycznego nośnika, tylko wizerunek uwieczniony na tym nagraniu; danymi osobowymi nie jest także dokument jako plik kartek, lecz uwieczniony na nim zapis umożliwiający identyfikację osoby fizycznej, do danych osobowych nie zalicza się także informacji dotyczącej spółki (np. liczby określającej wysokość przychodów w danym kwartale), ponieważ jak sama nazwa wskazuje, RODO dotyczy tylko osób fizycznych.

Co powinna zawierać skarga skierowana do Prezesa UODO?

Napisanie indywidualnej skargi na naruszenie prawa do ochrony danych osobowych jest proste, o ile będzie się pamiętać o kilku podstawowych kwestiach. Przede wszystkim pismo powinno musi być:

Określone co do tożsamości osoby skarżącej (w treści skargi musimy podać swoje imię, nazwisko oraz adres zamieszkania).
Określone co do podmiotu, na który składamy skargę (należy wskazać firmę (nazwę) i adres siedziby – określenia rodzaju „komisariat policji w Warszawie” są zbyt ogólne).
Wniesione za pośrednictwem elektronicznej skrzynki ePUAP lub pocztą tradycyjną (skargi wniesione za pomocą wiadomości mailowej Urząd pozostawia bez rozpoznania).
Podpisane w sposób adekwatny do formy wniesienia podania, tj. własnoręcznym podpisem w przypadku formy papierowej (ksero podpisanego pisma nie może być uznane za prawidłowo podpisane, gdyż nie jest oryginałem), lub kwalifikowanym podpisem elektronicznym w przypadku skargi wysłanej za pośrednictwem elektronicznej skrzynki ePUAP.
Wniesione przez osobę, której dane dotyczą (nie możemy pisać w imieniu innej osoby, chyba że jesteśmy jej pełnomocnikiem lub opiekunem prawnym osoby niepełnoletniej).
Określone co do rodzaju skarżonego naruszenia (trzeba napisać wprost, jaka czynność dokonana na danych osobowych stanowi według nas naruszenie, czyli np. nielegalne pozyskanie, lub udostępnienie bez podstawy prawnej).
Konkretnie określone co do danych osobowych, których dotyczy skarga (należy wprost wskazać, o jakich danych mowa – „moje dane identyfikacyjne” nie jest precyzyjnym określeniem).
Określone co do żądania, chyba że skarżoną czynnością jest samo udostępnienie (katalog praw podmiotów danych został określony w art. 12-22 RODO).

Jeżeli pismo ma braki formalne, wówczas Urząd wezwie do ich uzupełnienia w terminie siedmiu dni od doręczenia pisma pod rygorem pozostawienia pierwszego pisma bez rozpoznania. Jeżeli pismo nie ma braków formalnych, wówczas organ nadzorczy wszczyna postępowanie i wzywa podmiot, wobec którego została złożona skarga, o udzielenie wyjaśnień w sprawie.

Należy pamiętać, że Urząd nie występuje w imieniu żadnej ze stron. Wprawdzie postępowanie administracyjne jest wszczęte na podstawie złożonej skargi, niemniej osoba fizyczna nie jest w żaden sposób faworyzowana. Zgodnie z przepisami kodeksu postępowania administracyjnego, każda ze stron może na każdym etapie sprawy np. wnosić kolejne wyjaśnienia, a także zapoznawać się z aktami sprawy.

Ponadto organ jest związany treścią indywidualnej skargi. Oznacza to, że prowadzący sprawę urzędnik rozpatruje skargę tylko pod kątem tego, czy prawo do ochrony danych osobowych osoby, która złożyła skargę, zostało naruszone we wskazany przez tę osobę sposób. Innymi słowy, UODO w postępowaniu zainicjowanym skargą indywidualną nie bada, czy ogólnie dany podmiot narusza prawa osób trzecich, tylko czy to zrobił w konkretnym przypadku. Ponadto, jeżeli skarżący/skarżąca nie wskaże w treści skargi, iż np. naruszono wobec nich obowiązek informacyjny wskazany w art. 13 RODO, to UODO o ten aspekt sprawy pytać nie będzie, ponieważ w swoich działaniach nie może wykroczyć poza zakres skargi.

W związku z innymi często pojawiającymi się problemami związanymi ze składanymi skargami indywidualnymi warto przypomnieć, że w ramach postępowania wszczętego na podstawie skargi Prezes UODO nie bada zabezpieczeń danych osobowych, robi to tylko w postępowaniach wszczętych z urzędu. Jak bowiem wskazano w decyzji Prezesa UODO o sygn. akt ZSPU.440.131.2019 „kwestie te [badanie zabezpieczeń] nie mogą być przedmiotem indywidualnej skargi, z uwagi na charakter zawartych w takiej dokumentacji informacji. Dokumentację taką należy traktować jako dokumenty wewnętrzne udostępniane jedynie ograniczonemu kręgowi osób, tylko tym osobom, którym są niezbędne w związku z powierzonymi im zadaniami i tylko tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są uprawnione do jej uzyskania.

Kompleksowe badanie procedur przyjętych przez administratora danych osobowych w ww. zakresie może być tym samym dokonywane przez organ z urzędu, bowiem ma wpływ na przetwarzanie danych nieograniczonego kręgu osób, a ich ujawnienie może mieć szkodliwy wpływ na wykonywanie przez określony podmiot zadań w zakresie bezpieczeństwa przetwarzania danych. Udostępnienie polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych osobowych. Z tego też względu może mieć wpływ na skuteczność ochrony danych osobowych”.

Ponadto, organ nadzorczy nie nakłada kar administracyjnych na wniosek stron. W granicach kompetencji Prezesa UODO nie leży również rozpatrywanie skarg dotyczących przetwarzania danych osobowych w Kościele katolickim, ponieważ tym zajmuje się Kościelny Inspektor Ochrony Danych, a także skarg dotyczących przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości przez sądy. Ta kwestia została unormowana w art. 175db i 175dd ustawy Prawo o ustroju sądów powszechnych.

Jakie konsekwencje może ponieść administrator danych osobowych, na którego została złożona skarga?

Wszczęte przez Prezesa UODO postępowanie administracyjne może zakończyć się na trzy sposoby:

Umorzeniem postępowania, gdy organ uzna, iż postępowanie stało się bezprzedmiotowe
w całości lub części (może tak się stać np. w momencie, gdy organ stwierdzi po wszczęciu postępowania, iż nie posiada kompetencji do wydania decyzji w zakresie wskazanym
w skardze, lub że w ogóle dane osobowe osoby, która złożyła skargę, nie były przetwarzane przez podmiot, na który została złożona skarga).
Odmową uwzględnienia wniosku, gdy Prezes UODO uzna, iż dane osobowe były przetwarzane zgodnie z obowiązującymi przepisami.
Stwierdzeniem naruszenia prawa do ochrony danych osobowych, w związku z czym Prezes UODO, działając na podstawie art. 58 ust. 2 RODO, może m.in.:
1. Upomnieć administratora danych osobowych za naruszenie (nie jest to jednak możliwe, gdy postępowanie jest prowadzone na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – potocznie zwanej „dodo”).
2. Nakazać spełnienie żądania osoby, której dane dotyczą, wynikające z praw wskazanych w RODO.
3. Nakazać sprostowanie lub usunięcie danych osobowych.

Z powyższego wynika, iż przysługujące Prezesowi UODO uprawnienia naprawcze, z których korzysta przy wydawaniu decyzji w sprawach wszczętych skargami indywidualnymi, nie powinny być uciążliwe dla ukaranych administratorów danych osobowych. Oprócz bowiem nakazania spełnienia wobec osób fizycznych obowiązków wskazanych w RODO, administrator może zostać upomniany za dokonane naruszenia. W praktyce jednak nałożone upomnienie nie skutkuje dodatkowymi problemami, z którymi administrator miałby się mierzyć w przyszłości. Wraz z wydaniem decyzji administracyjnej, o ile żadna ze stron nie zwróci się do Wojewódzkiego Sądu Administracyjnego ze skargą na tę decyzję, kończy się kontakt organu nadzorczego z podmiotem, na który została złożona skarga.

Nie wolno lekceważyć skarg indywidualnych

Wskazane rozważania bynajmniej nie świadczą o tym, że administratorzy danych osobowych mogą lekceważąco podchodzić do skarg indywidualnych składanych na ich działalność w zakresie przetwarzania danych osobowych. O ile wymieniony katalog kar nie jest bardzo surowy, o tyle w ramach prowadzonego postępowania na światło dzienne mogą wyjść okoliczności, które zachęcą organ nadzorczy do wszczęcia z urzędu postępowania i przeprowadzenia kontroli u danego administratora.

Posłużmy się hipotetycznym przykładem: Skarżąca składa skargę na spółdzielnię mieszkaniową na naruszenie jej prawa do ochrony danych osobowych, polegające na udostępnieniu bez podstawy prawnej jej danych osobowych firmie zajmującej się księgowością. W ramach wszczętego postępowania administracyjnego Prezes UODO ustala, iż księgowi mają podpisaną stosowną umowę o świadczeniu usług ze spółdzielnią, ale nie ma w niej żadnego zapisu dotyczącego ochrony danych osobowych. Jednocześnie, mimo że spółdzielnia przetwarza dane osobowe bardzo wielu osób, nie powołała ona inspektora ochrony danych. Na domiar złego, przez dłuższy czas nie współpracowała z organem nadzorczym, za co została ukarana administracyjną karą pieniężną (na pisma urzędu należy bowiem odpowiadać w terminie siedmiu dni od daty ich doręczenia).

W związku z powyższym Prezes UODO w decyzji administracyjnej uznaje, że spółdzielnia naruszyła prawa Pani Skarżącej do ochrony danych osobowych, ponieważ udostępniła jej dane osobowe bez podstawy prawnej i nałoży za to na spółdzielnię upomnienie. Jednocześnie sprawa z Departamentu Skarg, w którym rozpatrywane są skargi osób fizycznych, zostaje przekazana do departamentu UODO zajmującego się kontrolami wszczynanymi z urzędu, ponieważ w trakcie postępowania prowadzonego na podstawie skargi indywidualnej wyszedł na jaw szereg nieprawidłowości po stronie administratora danych osobowych. Pretekstem do poważniejszego ukarania spółdzielni, czyli np. nałożenia administracyjnej kary pieniężnej, może być brak zawartej umowy powierzenia między nią a firmą księgową, o czym przekonał się niedawno Sułkowicki Ośrodek Kultury (o czym napisano na stronie internetowej UODO w komunikacie pod adresem Aktualności – UODO).

Niezwykle istotne jest, by administrator w każdym momencie był w stanie udowodnić, że wszystkie procesy przetwarzania danych osobowych zachodzące w jego organizacji spełniają warunki określone w art. 5 RODO, a także że ich przetwarzanie znajduje oparcie w podstawie prawnej wskazanej w art. 6 lub art. 9 RODO. W przeciwnym razie „zwyczajna” skarga złożona w błahej sprawie, a na dodatek jeszcze zlekceważona, może sprawić, iż organ nadzorczy dowie się o znacznie większej liczbie zaniedbań i z urzędu przeprowadzi kontrolę, co może skutkować dotkliwą karą administracyjną.

Art. 83 ust. 4 i ust. 5 RODO stanowi, iż w zależności od rodzaju naruszenia na administratora może zostać nałożona kara nawet w wysokości dwudziestu milionów euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Prawo do składania skarg przez osoby fizyczne spełnia niezwykle istotną rolę. Dzięki nim UODO może kompleksowo zapoznawać się ze stanem wdrożenia RODO u administratorów danych, na które składane są skargi. Niezadowolony klient może sprawić, że podmiot biznesowy stanie w obliczu współpracy z organem nadzorczym przeprowadzającym w organizacji gruntowną kontrolę.

Dlatego właśnie administrator na każdym etapie swojego funkcjonowania musi być w stanie wykazać, że przetwarza dane osobowe zgodnie z prawem, przejrzyście, rzetelnie i prawidłowo, a także stosuje się do zasad minimalizacji danych, ograniczenia przechowywania oraz integralności i poufności (art. 5 RODO). Powołanie inspektora ochrony danych, przeprowadzanie corocznych audytów oraz testowanie zabezpieczeń IT to ułamek czynności, jakie administrator może podjąć w celu spełnienia zasady rozliczalności, bez czego nie jest możliwe uniknięcie nałożonej przez UODO kary za niewłaściwe przetwarzanie danych osobowych.

Problem ochrony danych osobowych w reklamie programatycznej

System reklamy programatycznej (ang. „programmatic”) polega na sprzedaży reklam w Internecie, która odbywa się w czasie rzeczywistym, na zasadzie aukcji ofert, pojawiających się na dostępnych powierzchniach reklamowych stron wydawców. Transakcja sprzedaży reklam odbywa się w mgnieniu oka.

Strona podażowa (SSP) komunikuje się ze strona popytową (DSP), po czym dochodzi do transakcji i wyświetlenia reklamy na stronie wydawcy. Dzięki technologii programmatic reklamodawca ma pewność, że jego reklama wyświetli się osobie, należącej do jego „grupy docelowej” w określonym miejscu w Internecie.

Jednym z kluczowych elementów w systemie reklamy programatycznej jest ustalenie tzw. „grupy docelowej”, tj. użytkowników Internetu (korzystających zarówno z komputerów stacjonarnych, jak i urządzeń mobilnych). Grupę docelową stanowią więc osoby fizyczne (podmioty danych), które mogą być narażone na utratę prywatności.

Informacje, takie jak adres IP użytkownika, czas dostępu do strony, długość trwania sesji, rodzaj używanego oprogramowania, lokalizacja urządzenia, w połączeniu z dodatkowymi danymi pozwalają na stworzenie cech osobowości użytkownika, jego przyzwyczajeń, indywidualnego trybu życia, a nawet ingerujące dużo głębiej w jego prywatność (rejestrujące np. stan zdrowia lub poglądy polityczne).

O tym, czy stosowanie reklam programatycznych może wiązać się z naruszeniem prywatności podmiotów danych oraz, czy tak do końca wiadomo, kto naprawdę nimi administruje będzie mowa na webinarium, na które serdecznie zapraszamy.

Data: Środa, 16 Listopada 2022, godz.: 11:00 – 12:00

Link do rejestracji.

Zapraszamy!

Dopuszczalność cold calling i cold mailing na gruncie RODO

Dopuszczalność cold mailing i cold calling w świetle przepisów o ochronie danych osobowych przysparza wielu problemów, a tym samym ryzyk związanych z prowadzoną działalnością gospodarczą. Artykuł określa przesłanki dopuszczalności takiego działania oraz wskazuje jak realizować marketing zgodnie z prawem.

Cold mailing i cold calling

Terminy cold mailing i cold calling stosowane są dla określenia metody sprzedażowej w ramach której nawiązywany jest kontakt marketingowy z klientem, który nie miał wcześniej kontaktu ze sprzedającym i nie wyrażał zainteresowania jego usługami czy produktami. Celem takiego kontaktu jest właśnie zainteresowanie potencjalnego klienta i przedstawienie mu oferty.

Praktyki takie wiążą się z masowym wykorzystywaniem pozyskanych numerów telefonów czy adresów poczty e-mail do przekazywania niezamówionej informacji handlowej. W przypadku e-maili na tego typu komunikaty przejęło się określenie spam – wiadomości masowo wysyłanej do szerokiego lub wręcz przypadkowego kręgu odbiorców.

Dla ukrócenia takich praktyk i ochrony prywatności osób przed niezamówionymi informacjami handlowymi, organy Unii Europejskiej w przyjętej Dyrektywie 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) – w tzw. dyrektywie e-privacy – zakazały wykorzystywania urządzeń telekomunikacyjnych do kierowania informacji handlowej bez uprzedniej zgody odbiorcy.

Dyrektywa została implementowana do polskiego porządku prawnego w dwóch aktach prawnych – ustawie prawo telekomunikacyjne oraz ustawie o świadczeniu usług drogą elektroniczną.

Polskie przepisy telekomunikacyjne

Zgodnie z art. 172 prawa telekomunikacyjnego zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Zgodnie z art. 174 do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Oświadczenie powinno być zatem świadome, jednoznaczne konkretne i dobrowolne. Drugą konsekwencją jest, jak się wydaje, stosowanie wytycznych dotyczycących takiej zgody, opracowanych na gruncie rozporządzenia 2016/679 (dalej RODO).

Aby w pełni rozumieć zakres przepisu należy wskazać czym jest:

Telekomunikacyjne urządzenie końcowe – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (np. telefon, smartfon, laptop).
Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego (IP), który może być przypisany do numeru lub nazwy abonenta.

Prawo telekomunikacyjne nie różnicuje osobowości abonentów (dotyczy również np. osób prawnych), więc z punktu widzenia przepisów zgoda jest wymagana zarówno w przypadku marketingu skierowanego do osób fizycznych, jak i innych podmiotów – inaczej niż w przypadku RODO, które chroni wyłącznie osoby fizyczne.

Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Zgodnie z ust. 2 wspomnianej wyżej ustawy informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

W związku z implementacją dyrektywy i zmian w przepisach telekomunikacyjnych, cold mailing czy cold calling zaczęły być zatem również rozumiane jako forma komunikacji z potencjalnym klientem, w sytuacji gdy nadawca komunikatu nie posiada zgody wymaganej prawem telekomunikacyjnym lub ustawą o świadczeniu usług drogą elektroniczną na kontakt marketingowy, a sama komunikacja ma na celu jej pozyskanie.

Przepisy o ochronie danych osobowych

Przetwarzanie danych osobowych osób fizycznych w celach marketingowych z punktu widzenia RODO nie zawsze wymaga zgody, o której mowa w tym akcie i może być oparte na prawnie uzasadnionym interesie administratora (ang. legitimate interests). Podstawą do takiego twierdzenia jest treść motywu 47 RODO, w którym zostało wskazane, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Różnica między zgodą jako podstawą prawną przetwarzania a prawnie uzasadnionym interesem jest zasadnicza, ponieważ działanie na podstawie prawnie uzasadnionego interesu administratora nie wymaga uprzedniej zgody osoby do której marketing jest kierowany. Jeśli więc marketing dotyczyłby np. wysyłki pocztą tradycyjną to po spełnieniu pewnych wymogów marketing może zostać przekazany bez uprzedniej zgody. W przypadku cold callingu możliwość zastosowania prawnie uzasadnionego interesu będzie kluczowa dla całego procesu, a nie tylko dla jego etapu, jakim jest przedstawienie informacji handlowej.

Test prawnie uzasadnionego interesu

Prawnie uzasadniony interes może być podstawą przetwarzania, ale dla jego potwierdzenia należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (motyw 47 RODO).

Oceniając zatem możliwość oparcia przetwarzania na prawnie uzasadnionym interesie, należy również uwzględnić okoliczności pozyskania danych i świadomość danej osoby o potencjalnym ich wykorzystaniu. Prawnie uzasadniony interes nie może być również działaniem sprzecznym z prawem. Nie jest zatem możliwe przyjęcie tej przesłanki jeśli nie są spełnione wymogi innych regulacji – np. nie ma zgody na kontakt marketingowy, o której mowa w art. 174 ustawy prawo telekomunikacyjne.

Dla kwestii dopuszczalności cold callingu, czy mailingu istotnym jest fakt zgodności z przepisami, ponieważ jeśli nie można oprzeć się na przesłance prawnie uzasadnionego interesu administratora, to konieczna jest uprzednia zgoda odbiorcy na przetwarzanie jego danych – a zatem już na wybranie numeru, czy wysłanie e-mail (o ile oczywiście jego zgromadzenie było legalne). Nie można więc wykonać połączenia i zapytać o zgodę, ponieważ następuje przetwarzanie danych konkretnego celu – zanim zostało wystosowane zapytanie.

Stanowiska organów nadzorczych

Kwestia dopuszczalności pozyskiwania zgód z wykorzystaniem środków porozumiewania się na odległość była przedmiotem szeregu decyzji organów regulacyjnych. Stanowiska te zasadniczo różnią się co do dopuszczalności stosowania cold callingu i cold mailingu.

W decyzji Prezesa Urzędu Komunikacji Elektronicznej z 18 czerwca 2019 r. (DK.WPA.46.197.2018.15) marketing bezpośredni jest definiowany jako działalność polegająca na dostarczaniu bezpośrednio klientom informacji lub propozycji dotyczących sprzedaży towarów lub usług, promujących konkretną działalność gospodarczą.

Z decyzji płynie również konkluzja, iż komunikacja pocztą elektroniczną i sms mniej ingeruje w prywatność odbiorcy, jest mniej uciążliwa (a zatem jak można przypuszczać, wiąże się z mniejszym ryzykiem naruszenia praw podmiotu danych).

W tym kontekście treść art. 172 prawa telekomunikacyjnego (zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę) można wykładać w ten sposób, iż nie ogranicza on jakichkolwiek połączeń kierowanych do klientów, a jedynie taką komunikację, która za przedmiot ma informację o produktach lub ofertę. Zgoda musi być udzielona przed dostarczeniem komunikatów marketingowych. Wymóg utrwalenia zgody obciąża podmiot zobowiązany do jej uzyskania.

Podobne konkluzje płynął z decyzji z 31 października 2019 r. (DK.WPA.46.8.2019.11), w której Prezes UKE zdaje się dopuszczać wprost możliwość zapytana o zgodę po wykonaniu połączenia pod warunkiem jej utrwalenia i niezawierania treści o charakterze marketingowym do czasu uzyskania zgody. Podkreślenia wymaga fakt konieczności dochowania wysokiej staranności w formułowaniu komunikatów, tak aby w interpretacji organu nie zawierały informacji handlowej.

Stanowisko Urzędu Ochrony Konkurencji i Konsumentów

Przez marketing w decyzji UOKIK (RPZ 14/2018) określa się działania przedsiębiorców dotyczące sprzedaży, dystrybucji, reklamy, planowania, produkcji, badań rynku. Przez marketing definiuje się również sztukę zdobywania, utrzymywania, rozwijania klienta poprzez tworzenie, dawanie, komunikowanie mu wartości, które mają dla niego największe znaczenie. Działania te mają także na celu poznanie potrzeb konsumentów, ustalenie wielkości produkcji oraz metod dystrybucji, sprzedaży i reklamy towarów lub usług. Bezpośredniość zaś oznacza skierowanie komunikatu do konkretnej osoby (choćby nadawca nie dysponował jej danymi), celem uzyskania bezpośredniej reakcji (odpowiedzi). Z uwagi na to, że cechą działań podejmowanych w celach marketingu bezpośredniego jest nakierowanie na osiągnięcie efektu handlowego, najczęściej w postaci zwiększenia popytu na towary lub usługi przedsiębiorcy, marketing bezpośredni obejmuje nie tylko działania o charakterze sprzedażowym, ale również jakiekolwiek działania, które służą dostarczaniu informacji, jeśli ich końcowym efektem jest zainteresowanie adresata ofertą przedsiębiorcy.

W ocenie Prezesa Urzędu, konsument winien mieć możliwość wpływania na to jakie podmioty i w jakich okolicznościach mogą się z nim bezpośrednio kontaktować w celach handlowych, tym bardziej, że w konsekwencji takiego kontaktu, zagrożone mogą być bezpośrednio ekonomiczne interesy konsumentów. W kontekście przyjętego modelu ochrony konsumentów równie ważne jest szeroko rozumiane zabezpieczenie konsumenta przed niechcianą ingerencją w jego prywatność. Wskazane założenia znajdują swoje odzwierciedlenie w przyjętej na gruncie art. 172 ust. 1 u.p.t. konstrukcji wyrażania zgód marketingowych w tzw. modelu opt – in, który zakłada konieczność uzyskania uprzedniej zgody abonenta lub użytkownika końcowego na kontakt w celach marketingowych. W związku z powyższym, w ocenie Prezesa UOKiK, uzyskanie uprzedniej zgody na kontakt marketingowy oznacza, że działanie przedsiębiorcy w celu pozyskania takiej zgody konsumenta powinno poprzedzać zarówno sam kontakt marketingowy, jak również wykorzystanie danego telekomunikacyjnego urządzenia końcowego lub automatycznego systemu wywołującego dla celów marketingu bezpośredniego.

Cold calling i cold mailing na gruncie przepisów o ochronie danych osobowych

Jak zostało wskazane, marketing bezpośredni na gruncie Rozporządzenia może mieć oparcie o przesłankę prawnie uzasadnionego interesu administratora i takie stanowisko potwierdza również UODO. Z punktu widzenia RODO, warto zwrócić uwagę przede wszystkim na treść motywu 47 – podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Przystępując do analizy dopuszczalności przetwarzania w oparciu o prawnie uzasadniony interes administratora, nie można pomijać kwestii legalności pozyskania danych osobowych – bazy numerów telefonów, czy adresów e-mail. Źródło danych będzie mieć istotne znaczenie przy ocenie, czy nie dojdzie do naruszenia istotnych interesów osoby, której dane dotyczą.

Jeśli baza danych jest udostępniana przez innego administratora, warto dokładnie przeanalizować legalność przetwarzanych w niej danych oraz jej udostępnienia – w szczególności, jeśli podstawą udostępnienia bazy jest zgoda podmiotu danych, jej treści oraz rozliczalności wyrażenia, ponieważ będzie to istotna okoliczność przy ocenie dopuszczalności dalszego przetwarzania.

Skuteczny Cold Calling – Podsumowanie

W oparciu o przedstawione decyzje dopuszczalne jest przyjęcie dwóch głównych stanowisk – stanowiska UOKIK, które co do zasady nie zezwala na cold coling i cold mailing skierowany do konsumentów oraz stanowiska UKE – bardziej liberalnego, pozwalającego na wykonanie kontaktu, ale przedstawienie informacji handlowej jest dopuszczalne dopiero po pozyskaniu zgody.

Przyjęcie jednej z tych koncepcji będzie mieć również wpływ na dopuszczalność przetwarzania danych kontaktowych odbiorcy na gruncie RODO, ponieważ jeśli przyjmiemy stanowisko UOKiK, cold calling czy cold mailing będzie niedopuszczalny, a zatem nie będziemy mogli wykorzystać prawnie uzasadnionego interesu jako podstawy prawnej do nawiązania połączenia i zapytania o zgodę marketingową.

Administrator musi jednak, jak w każdym przypadku przetwarzania w oparciu o prawnie uzasadniony interes dokonać dokładnej analizy, czy w konkretnych okolicznościach ta podstawa może mieć zastosowanie, a przetwarzanie danych osobowych nie naruszy nadrzędnych interesów lub podstawowych praw i wolności osoby, której dane dotyczą. W wielu przypadkach wymagana będzie zgoda podmiotu danych na nawiązanie kontaktu, niezależnie od tego czy zostaną mu przekazane informacje handlowe, czy też nie.

Programmatic a RODO

Dane osobowe w systemie zarządzania powierzchniami reklamowymi

„Dane osobowe” zostały zdefiniowane w art. 4 pkt 1 RODO. Zgodnie z treścią tego przepisu „są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

Przepis ten wskazuje, że „możliwa do zidentyfikowania osoba fizyczna” to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takich identyfikatorów jak:

Imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy.
Jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Zgodnie z motywem 26 RODO, „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”. Ponadto, „aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych i postęp technologiczny.”

W/ w definicja wskazuje, iż identyfikatory internetowe mogą stanowić dane osobowe. Rozszerzenie i doprecyzowanie powyższego znajduje się w motywie 30 RODO, z którego wynika, iż „przypisywanie osobom fizycznym identyfikatorów internetowych – takich jak adresy IP, identyfikatory plików cookie – generowanych przez ich urządzenia, aplikacje, narzędzia i protokoły, może skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery, mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.”

Także TSUE, w sprawie C-582/ 14 Breyer, uznał, że skoro w konkretnych okolicznościach nawet zmienny adres IP pozwala na pośrednią identyfikację użytkownika strony, to stanowi on element danych osobowych. Wyrok ten przesądził o tym, że adres IP, który usługodawca rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe już wtedy, gdy osoba trzecia (tu: dostawca dostępu) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby; samo bowiem zarejestrowanie adresu IP przez usługodawcę, może być gromadzeniem danych osobowych, jeżeli usługodawca będzie w stanie zidentyfikować posługującego się nim internautę, czyli podmiot danych.

W podobnym tonie wypowiedział się także Wojewódzki Sąd Administracyjny w wyroku z dnia 11 lipca 2022 r. (sygn. akt II SA/ Wa 3993/ 21) uchylając decyzję Prezesa UODO w przedmiocie przetwarzania danych osobowych. Sąd stanął więc na stanowisku, iż identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies mogą stanowić dane osobowe wyłącznie jeśli w świetle kryteriów oceny danego sposobu identyfikacji jako „rozsądnie prawdopodobnego do wykorzystania” (ang. „all the means reasonably likely to be used”) w celu identyfikacji osoby fizycznej, weźmie się pod uwagę „wszelkie obiektywne czynniki” (ang. „of all objective factors”) jak koszt i czas potrzebne do zidentyfikowania, dostępne środki techniczne, czy możliwości prawne (motyw 26 RODO).

Celem, opracowanego w 2018 r. przez Międzynarodowe Stowarzyszenie Biznesowe Branży Reklamy Internetowej (Interactive Advertising Bureau, IAB) „Transparency and Consent Framework” (TCF) jest standaryzacja uzyskiwania zgód na pliki cookie oraz dostarczanie informacji o zgodzie użytkownika w trakcie wyświetlania reklam cyfrowych, niezbędnych dla legalnego docierania z reklamami do użytkowników końcowych. TCF 2.0 stanowi narzędzie do zarządzania zgodami (menadżer zgody, CMP). IAB definiuje więc TCF 2.0 jako platformę, za pomocą której firmy reklamowe centralizują i zarządzają zgodami oraz sprzeciwami użytkowników końcowych.

W TCF 2.0 występują trzy strony, tj.:

Wydawcy (dostawca sieci, np. domy mediowe, SSP).
Dostawcy (reklamodawcy, ustawiają pliki cookies w przeglądarkach użytkowników, przez co mają możliwość wykonywania tzw. „spersonalizowanych reklam”, DSP).
Dostawcy zarządzania zgodami (CMP, podmioty udostępniające technologię).

Status zgody użytkownika jest przechowywany w postaci pliku cookie wydawcy, a następnie udostępniany w łańcuchu informacji (TC String) o reklamodawcach. Po dokonaniu wyboru zgody przez odwiedzającego witrynę użytkownika końcowego, współpracujący dostawcy reklam mają dostęp do przetwarzania danych osobowych tegoż użytkownika w postaci pliku „TC String”, który jest definiowany jako „łańcuch sygnałów cyfrowych umożliwiających zapamiętywanie i propagowanie wyborów użytkowników dotyczących wykorzystania jego danych osobowych do celów związanych z reklamą, treścią i pomiarem oglądalności”. Plik ten jest udostępniany wszystkim uczestnikom systemu „Real Time Bidding” (RTB), czyli metody sprzedaży i kupna zasobów reklamowych w czasie rzeczywistym, opartej na aukcji. RTB jest aktualnie jednym z głównych narzędzi reklamy programatycznej (programmatic advertising).

W TCF 2.0 główny nacisk położono na przetwarzanie danych w oparciu o tzw. „prawnie uzasadniony interes administratora” (art. 6 ust. 1 lit. f RODO). Dzięki temu dostawcy (będący – zgodnie z założeniami twórców systemu faktycznymi administratorami danych osobowych) mogą powoływać się na prawnie uzasadniony interes w indywidualnych celach. Użytkownik zaś wciąż posiada możliwość złożenia sprzeciwu opartego na art. 21 RODO.

W systemie tym wyróżniono 10 możliwych celów wykorzystania i analizy danych śledzenia oraz dwa – tzw. cele specjalne (służące zapewnieniu bezpieczeństwa serwisu, wobec których użytkownikowi serwisu nie przysługują uprawnienia z art. 21 RODO).

RODO ściśle wskazuje wymagania odnoszące się do sposobu przetwarzania danych osobowych. Zarządzanie zgodami będzie zgodne z prawem, gdy:

Administrator poinformuje użytkownika, jakie dane są przetwarzane i w jakim celu.
Użytkownik ma możliwość rzeczywistego wyboru (nieważne i niezgodne z prawem będzie zmuszanie użytkownika do akceptowania plików cookie w celu korzystania ze strony).
Zgoda na przetwarzanie danych osobowych jest wyrażona poprzez jednoznaczną czynność faktyczną, dokonaną najpóźniej przed pierwszym przetwarzaniem danych lub ustawieniem pierwszego pliku cookie.
Użytkownik ma możliwość cofnięcia raz udzielonej zgody.

2 lutego 2022 r. Belgijski Urząd Ochrony Danych Osobowych (l’Autorité de Protection des Données, DPA) ukarał IAB Europe karą w wysokości 250.000,00 €, uznając, że TCF, odpowiedzialny za śledzenie internautów i personalizowanie reklam, oparty na tzw. „internetowej giełdzie reklam”, jest niezgodny z RODO (sprawa DOS-2019-01377).

Przede wszystkim organ stwierdził, że to IAB Europe (a nie dostawca) jest administratorem danych przetwarzanych w systemie TCF 2.0 i dlatego powinien on realizować w tym zakresie wymagania RODO. Zgodnie z decyzją urzędu IAB, jako administrator:

Nie zapewnia bezpieczeństwa danych (naruszenie zasady poufności).
Nie zbiera zgody i polega na niedopuszczalnej podstawie prawnej, tj. prawnie uzasadnionym interesie administratora (naruszenie zasady legalności przez brak podstawy prawnej do przetwarzania danych osobowych).
Nie informuje osób, co dokładnie się dzieje z ich danymi (naruszenie zasady przejrzystości).
Nie wdraża środków technicznych i organizacyjnych, które powinien wdrożyć, aby przetwarzanie było zgodne z prawem.
Nie zaprojektował swoich systemów tak, by chroniły dane osobowe (naruszenie zasady „privacy by design”).

Organ belgijski uznał, że system TCF 2.0 narusza podstawowe prawa i wolności osób poprzez śledzenie ich aktywności przez firmy reklamowe.

IAB Europe nie zgodził się ze stanowiskiem belgijskiego regulatora, iż jest administratorem danych osobowych użytkowników oraz informacji o ich preferencjach, a co za tym idzie powinien odpowiadać między innymi za stosowanie właściwej podstawy prawnej przetwarzania tych informacji. IAB Europe wskazał w skardze, iż jest wyłącznie organizatorem systemu TCF 2.0, a informacje te we własnym zakresie wykorzystują podmioty uczestniczące w łańcuchu reklamy internetowej (wydawcy, dostawcy platform SSP, DSP oraz DMP).

IAB Europe wskazał, iż jedynie dostarcza rozwiązanie technologiczne, same zaś decyzje o wykorzystaniu danych znajdujących się w TCF 2.0 podejmują wyłącznie podmioty korzystające z tego rozwiązania, one więc określają cele i działania związane z przetwarzaniem danych osobowych, co czyni z nich administratorów.

IAB Europe w dniu 4 marca 2022 r. złożyło skargę na decyzję belgijskiego organu.

W dniu 7 września 2022 r. Belgijski Sąd Gospodarczy wydał tymczasowe orzeczenie oraz skierował to TSUE wniosek o wydanie w tej sprawie orzeczenia prejudycjalnego.

Pytania Sądu do TSUE dotyczą odpowiednio:

Czy TC String – ciąg cyfrowy zawierający wybory użytkownika dotyczące przetwarzania jego danych osobowych do celów TCF – stanowi dane osobowe w rozumieniu RODO?
Czy IAB Europe należy uznać za administratora danych osobowych przetwarzanych w ramach TCF (zarówno w odniesieniu do TC String oraz w związku z dalszym przetwarzaniem, na przykład w odniesieniu do ukierunkowanych reklam internetowych wydawców i dostawców)?

Skierowanie sprawy do TSUE oznacza wydłużenie czasu oczekiwania na prawomocny wyrok w tej sprawie od 12 do 18 miesięcy.

Zakaz używania systemu TCF w obecnej formie nie musi wcale oznaczać końca reklamy targetowanej, ale może istotnie wpłynąć na sposób zbierania oraz wykorzystywania danych osobowych użytkowników Internetu. Wydanie przez Sąd w Belgii wyroku w tej sprawie będzie więc miało doniosłe znaczenie dla całej branży reklamowej, korzystającej z technologii opartej na RTB/ programmatic.

Technologia rozpoznawania twarzy w świetle Wytycznych EROD 05/2022 dotyczących korzystania z rozpoznawania twarzy

Technologia rozpoznawania twarzy rozwija się dynamicznie, a potencjalne zastosowania rozbudzają wyobraźnię inwestorów, którzy chętnie dołączają aktywa z tego obszaru do swojego portfolio. Podmioty sektora prywatnego wprowadzają i udoskonalają w szerokim zakresie technologię rozpoznawania twarzy, służącą do uwierzytelnienia użytkowników urządzeń elektronicznych, dokonywania bezgotówkowych płatności, ale i tagowania zdjęć na portalach społecznościowych, rozpoznawania nastroju i dostosowania materiałów marketingowych.

Chińskie organy ścigania, nieskrępowane europejskim prawem ochrony danych osobowych, dzięki wprowadzonemu w dużych aglomeracjach monitoringowi korzystającemu z algorytmów rozpoznających twarze uzyskują tak spektakularne sukcesy, jak rozpoznanie poszukiwanego przestępcy w 60-tysięcznym tłumie zgromadzonym na koncercie. Pomimo potencjalnych korzyści, jakie jej wykorzystanie może przynieść zarówno w sektorze prywatnym, jak i publicznym, europejskie organy zajmujące się ochroną danych osobowych przejawiają tendencję do wydawania opinii i wytycznych limitujących scenariusze jej zastosowania (Wspólna opinia EROD i EIOD nr 5/2021 dotycząca unijnego projektu rozporządzenia ws. sztucznej inteligencji, omawiane w niniejszym artykule Wytyczne EROD). Zwraca się uwagę na szczególny charakter danych przetwarzanych przez systemy rozpoznawania twarzy (są one danymi biometrycznymi w rozumieniu art. 4 pkt 14 RODO), a tym samym konieczność stosowania adekwatnych środków ochrony i powstrzymania się od przetwarzania, jeśli nie jest ono konieczne.

Wytyczne Europejskiej Rady Ochrony Danych Osobowych 05/2022 dotyczące korzystania z rozpoznawania twarzy (dalej: Wytyczne) zostały 12. maja 2022 roku przyjęte do konsultacji społecznych. Organ porusza w nich problematykę korzystania z omawianej technologii w kontekście czynności podejmowanych przez organy ścigania. Należy w tym miejscu zaznaczyć, że Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (dalej: Dyrektywa Policyjna) wyznaczyła ramy przetwarzania danych biometrycznych dla organów ścigania państw członkowskich. W Wytycznych podkreślono konieczność uprzedniej konsultacji z organem nadzorczym do spraw danych osobowych zamiaru włączenia technologii rozpoznawania twarzy w katalog czynności organu ścigania.

Europejska Rada Ochrony Danych Osobowych podtrzymuje w Wytycznych również wyrażone we Wspólnej opinii EROD i EIOD nr 5/2021 dotyczącej unijnego projektu rozporządzenia ws. Sztucznej inteligencji stanowisko swoje i Europejskiego Inspektora Ochrony Danych w sprawie wezwania do zakazania rodzajów przetwarzania takich jak:

Zdalna identyfikacja biometryczna podmiotów w przestrzeni publicznej.
Kategoryzacja przez systemy rozpoznawania twarzy w oparciu o dane biometryczne podmiotów w zbiory danych ze względu na grupę etniczną, płeć, a także poglądy polityczne bądź orientację seksualną lub inne podstawy do dyskryminacji oparte o sztuczną inteligencję.
Użycie technologii rozpoznawania twarzy lub podobnej do identyfikacji emocji osoby fizycznej.
Przetwarzanie danych osobowych w kontekście wymiaru sprawiedliwości, oparte o bazę danych, która byłaby uzupełniana poprzez zbieranie danych na dużą skalę o charakterze masowym, na przykład gromadzenia zdjęć twarzy dostępnych online.

Jako ryzyka związane z zastosowaniem technologii rozpoznawania twarzy wymieniono między innymi problemy z rzetelnością i adekwatnością. Agencja Praw Podstawowych Unii Europejskiej podniosła w swoim raporcie nt. stanu praw podstawowych z 2019 r., że szczególnie w przypadku miejsc publicznych odwiedzanych przez miliony osób nawet relatywnie mały odsetek błędnych oznaczeń oznacza dużą ilość podmiotów, których prawa mogą zostać naruszone. Nie bez znaczenia pozostaje fakt, że określone cechy wyglądu wpływają na niezawodność systemów tego typu. Europejska Rada Ochrony Danych powołując się na badania w tym zakresie podnosi, że istnieje dysproporcja pomiędzy ilością zwracanych przez systemy fałszywych wyników w zależności od koloru skóry i płci, co może implikować stygmatyzację i dyskryminację grup osób, prowadząc do bezpodstawnych przeszukań i aresztowań.

Nie są to jedyne obawy organu w odniesieniu do przetwarzania danych biometrycznych na potrzeby wymiaru sprawiedliwości. Oprócz argumentów o nieadekwatności proporcji skali przetwarzania danych do planowanych celów czy kwestionowanej niezbędności przetwarzania na gruncie RODO, pojawiają się również odwołania do najbardziej fundamentalnych praw jednostki wymienionych w Karcie Praw Podstawowych Unii Europejskiej, takich, jak godność człowieka, wolność przemieszczania się i wolność zgromadzeń.

Europejska Rada Ochrony Danych nie zaprzecza w Wytycznych użyteczności technologii dla organów ścigania, podkreśla jednak, że wymienione wyżej prawa winny mieć prymat nad potencjalnymi korzyściami. Oznacza to, że mimo konserwatywnego podejścia do implementacji nowych technologii w obszarze przetwarzania danych biometrycznych, nie jest ona całkowicie wykluczona. Na zasadzie case study kilku scenariuszy organ wskazuje, w jakich przypadkach stosowanie systemu identyfikacji twarzy byłoby w jego opinii dopuszczalne. Europejska Rada Ochrony Danych stoi na stanowisku, iż użycie technologii rozpoznawania twarzy w sytuacjach takich, jak porwanie dziecka lub automatyzacja kontroli granicznej byłoby dopuszczalne przy określonych założeniach. Nie wyczerpują one katalogu możliwych zastosowań, mają stanowić raczej praktyczny przewodnik dla wymiaru sprawiedliwości i organów nadzorczych.

Mając na uwadze postulaty sformułowane przez organy Unii Europejskiej, można dojść do wniosku, że sektor prywatny napotkać może duże trudności z implementacją systemów rozpoznawania twarzy w szerokim zakresie. Skoro organy ścigania, działające w interesie publicznym, nie powinny swobodnie korzystać z tego typu rozwiązań, wydaje się zasadną teza, iż potencjalne zyski z ich implementacji tym bardziej nie będą w opinii właściwego organu do spraw ochrony danych osobowych dostatecznym uzasadnieniem. Ostrożność w użyciu technologii opartej o biometrię powinno natomiast pozwolić na odpowiednie zbalansowanie interesu publicznego lub interesu administratora danych z prawami i wolnościami osób, których dane dotyczą. Etyczne i rozważne jej używanie ma szansę przynosić wymierne korzyści bez naruszenia zasad stojących u podstaw demokratycznego społeczeństwa.

Źródła:

fra.europa.eu/

edpb.europa.eu/our-work-tools/

edpb.europa.eu/system/

gov.legalis.pl/

www.alfatronik.com.pl/info/

businessinsider.com.pl/

Dane byłego pracownika – co z nimi zrobić, aby być w zgodzie z RODO?

Samo rozwiązanie umowy o pracę nie powoduje, że administrator danych (pracodawca) przestaje przetwarzać dane osobowe byłego pracownika, albowiem prowadzenie dokumentacji pracowniczej (akta osobowe) zarówno zatrudnionego pracownika, jak i byłego pracownika regulują przepisy prawa pracy. A to, w jaki sposób i jak długo należy przetwarzać dane osobowe pracowników oraz przechowywać dokumenty wchodzące w skład zasobu kadrowego, określają przepisy sektorowe. Trzeba pamiętać, że z ich uwzględnieniem należy stosować zasady, o których mowa w ogólnym rozporządzeniu o ochronie danych. Dane osobowe wchodzące w skład dokumentacji pracowniczej nie muszą być usuwane z akt osobowych pracownika, jeżeli zostały zebrane zgodnie z przepisami obowiązującymi w chwili ich pozyskania.

Mając powyższe na względzie, pamiętajmy, że od 1 stycznia 2019 r. obowiązują nowe przepisy dotyczące dokumentacji pracowniczej, tj. rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Mają one zastosowanie do dokumentacji pracowników, których stosunek pracy został nawiązany od 1 stycznia 2019 r. Do dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników, pozostających w dniu wejścia w życie ww. rozporządzenia w stosunku pracy, zgromadzonych przed tym dniem, odnośnie do zakresu przetwarzanych danych stosuje się przepisy obowiązujące przed dniem wejścia w życie niniejszego rozporządzenia, tj. przepisy obowiązujące w dniu pozyskania danych. Od 1 stycznia 2019 r. obowiązują również przepisy ustawy z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją, które przewidują skrócenie w zależności od tego, kiedy pracownik został zatrudniony) dotychczas obowiązujących terminów przechowywania dokumentacji pracowniczej.

I tak, dane zawarte w aktach osobowych pracownika są przechowywane przez:

10 lat dla pracowników zatrudnionych od 1 stycznia 2019 r.
50 lat dla pracowników zatrudnionych od 1 stycznia 1999 r. do 31 grudnia 2018 r., jeśli nie spełniono warunku złożenia raportów informacyjnych do ZUS (wtedy 10 lat od końca roku kalendarzowego, w którym złożono raport).
50 lat dla pracowników zatrudnionych przed 1 stycznia 1999 r. licząc od dnia zakończenia pracy przez danego pracownika.

Powyższe terminy, dotyczą także danych pracowników zawartych w listach płac, kartach wynagrodzeń albo innych dowodach, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty. Częstym problemem jest imienny adres mail służbowy byłego pracownika, czy dane osobowe w postaci imienia i nazwiska, wizerunku na stronie internetowej pracodawcy. Administratorzy nie wiedzą czy usuwać czy zostawić, na jakiej podstawie prawnej to zrobić, aby być zgodnym z RODO.

Imienny adres e-mail zawiera dane z zakresu danych zwykłych, których przetwarzanie regulowane jest w art. 6 ust. 1 RODO. Oznacza to, że przetwarzanie takich danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Jeżeli administrator danych (pracodawca) posiada aktywny adres poczty elektronicznej byłego pracownika, który był przypisany do niego w trakcie stosunku pracy, to pozostaje nadal administratorem tych danych. W takiej sytuacji podstawą przetwarzania danych byłego pracownika zawartych w adresie mailowym może być realizacja prawnie uzasadnionego interesu administratora.

Trzeba pamiętać, że w RODO ujęte są zasady przetwarzania danych, do których zalicza się m.in. ograniczenie celu przetwarzania lub minimalizacja przetwarzanych danych. Zasady te wymagają, by proces przetwarzania był ukierunkowany na konkretny, wyraźny i prawnie uzasadniony cel, a także by zakres danych osobowych przetwarzanych na rzecz określonego celu był ograniczony do jak najmniejszego.

Jeśli byłego pracownika łączyła z pracodawcą umowa, zgodnie z którą był odpowiedzialny m.in. za kontakt z kontrahentami, to po zakończeniu współpracy pracodawca może chcieć nadal wykorzystywać ten adres mailowy, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami. Można to zrobić np. poprzez automatyczną odpowiedź kierowaną do klientów lub kontrahentów. Jeśli komunikat obejmuje informację o tym, że dany pracownik nie jest już zatrudniony oraz wskazanie, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami danego podmiotu, to zgodnie ze stanowiskiem Prezesa UODO tego rodzaju działanie można potraktować jako prawnie uzasadniony interes administratora danych (stanowisko z dnia 17.01.2020 r. pod tytułem „Czy pracodawca może używać imiennego adres e-mail byłego pracownika?”).

Należy pamiętać, że prawnie uzasadniony interes może stanowić podstawę do przetwarzania danych osobowych tylko w sytuacji, w której mają one nadrzędny charakter w stosunku do interesów lub podstawowych praw i wolności osób, której dane dotyczą. Dane byłego pracownika mogą być używane przez pracodawcę jedynie w sytuacjach, gdy klient podejmuje próbę kontaktu i jedynie w celu wskazania aktualnych danych kontaktowych. Adres mailowy zawierający imię i nazwisko byłego pracownika nie może być aktywnie wykorzystywany przez administratora, np. do pozyskiwania nowych klientów.

Administrator danych powinien także w omawianym przypadku:

Określić okres przechowywania informacji zawartych w skrzynce mailowej byłego pracownika (ograniczenie czasowe przetwarzania danych).
Analizować, czy cała zawartość poczty elektronicznej byłego pracownika powinna zostać zarchiwizowana (minimalizacja danych).
Ograniczyć dostęp do takiej poczty (poufność danych) np. rozważenie, czy kopia takiej poczty elektronicznej byłego pracownika powinna znajdować się na komputerze bezpośredniego przełożonego lub pracownika, który go zastępuje.

Należy także pamiętać, aby usunąć na stronie internetowej administratora danych (pracodawcy) wizerunek, imię i nazwisko, byłego pracownika – jeśli tego rodzaju dane osobowe były tam umieszczone, albowiem w chwili ustania stosunku pracy, pracodawca nie legitymuje się już podstawą prawną do przetwarzania tych danych na swojej stronie internetowej.