Licznik uśmiechów a PbD i DPIA – o czym pamiętać przed wdrożeniem nowinek technologicznych?

  • 19.11.2019

  • Autor: Michał Rogoziński

  • analizy

Prawo a technologia

Liczba dostępnych dziś technologii informacyjnych, które można wykorzystywać przy przetwarzaniu danych osobowych jest ogromna. Co roku powstają nowatorskie aplikacje, a te stworzone wcześniej rozwijane są o nowe funkcje i możliwości. Przepisy prawa starające się dogonić postęp technologiczny skazane są z góry na niepowodzenie. Fakt ten został odzwierciedlony w przepisach RODO, które nie próbują ścigać się z technologią i wybór konkretnych sposobów na zapewnienie zgodności projektu oraz ochrony danych osobowych pozostawiają ich administratorom.

Burza w Internecie

Pod koniec września 2019 roku polskie media obiegła informacja o tym, że bank PKO BP wdrożył w swoich oddziałach system, który liczy uśmiechy pracowników i klientów banku. W oddziałach banku zostały zainstalowane sensory, które umożliwiają w czasie rzeczywistym określenie emocji pracownika lub klienta, a każdy odnotowany uśmiech zasila konto zbiórki pieniędzy na cel charytatywny. Jak zapewniali przedstawiciele banku, celem wdrożenia systemu jest zachęcenie pracowników i klientów oddziałów banku do dzielenia się uśmiechem i przy okazji wspierać szczytny cel.

Niedługo po pierwszych publikacjach pojawiły się pierwsze głosy poddające pod wątpliwość zgodność tego systemu z przepisami RODO, czy wręcz zarzucające złamanie jego przepisów. Wskazywano m.in. na zbytnią ingerencję w prawo do prywatności klientów odwiedzających oddziały banku oraz na nierówną relację pracownik – bank, w odniesieniu do dobrowolności udziału pracowników w projekcie. Fala krytyki obiegła Internet ale czy była uzasadniona? Czy komentatorzy tego pomysłu mieli możliwość zapoznania się z jego szczegółami i zasadami działania?

Odpowiedzi na te pytania możemy się tylko domyślać, ponieważ nie znamy kulis pracy wykonanej przez PKO BP przy wdrażaniu systemu. Możemy natomiast wyciągnąć wnioski z doświadczeń PKO BP.

Co zatem zrobić aby uniknąć podobnego przypadku we własnej firmie?

PbD i DPIA na ratunek

W celu uniknięcia z jednej strony niepewności związanej z zapewnieniem zgodności projektu z przepisami, a z drugiej całkowitego jego zablokowania, przepisy RODO zawierają dwa mechanizmy, które pozwalają zminimalizować ryzyko.

Pierwszym mechanizmem jest tandem Privacy by Desing oraz Privacy by Default. Prawidłowo i skutecznie wdrożone zapewniają, że na etapie koncepcyjnym projekt będzie uwzględniał przepisy RODO. Dzięki nim firma uniknie trudnej sytuacji, w której np. po uruchomieniu projektu okazuje się, że zakres zbieranych danych jest zbyt szeroki w stosunku do realizacji celu biznesowego lub uruchomiony system informatyczny do zbierania zgód marketingowych nie posiada funkcji pozwalającej odwołać wcześniej wyrażoną zgodę.

Drugi to Data Privacy Impact Assessment (w języku polskim: Ocena skutków dla ochrony danych). Pogłębiona analiza ryzyka – wykonywana w określonych przypadkach – pozwala ocenić czy wdrażany sposób przetwarzania danych osobowych zapewni odpowiedni poziom bezpieczeństwa i nie wpłynie negatywnie na prawa i wolności osób, których dane osobowe będą przetwarzane. DPIA dodatkowo przewiduje konsultacje z Prezesem Urzędu Ochrony Danych Osobowych.

Korzystanie z obu powyższych elementów jest wymogiem nałożonym na każdego administratora, jednak warto nie traktować ich jako przykrego obowiązku. Zgodność z RODO jest dziś wartością dodaną, która może stanowić przewagę biznesową na konkurencyjnym rynku.

Podsumowanie

Celem RODO nie jest hamowanie biznesu czy spowalnianie rozwoju technologicznego. Oczywistym jest, że oba obszary w dużej mierze wykorzystują nasze dane osobowe i trudno sobie wyobrazić, abyśmy mogli wrócić do czasów, kiedy o danych osobowych nikt nawet nie wspominał. Dane osobowe są i będą nadal wykorzystywane, ale projektując nowe rozwiązania, warto zadbać o balans pomiędzy wzrostem firmy a prawami osób, których danymi dysponujemy. Pozwoli to uniknąć zarówno poważnych strat wizerunkowych, jak również wysokiej kary finansowej.

Ekspert w dziedzinie ochrony danych

Autor

Michał Rogoziński

Specjalista w dziedzinie ochrony danych osobowych - Inspektor Ochrony Danych (Data Protection Officer), doświadczony praktyk. Doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu.