Nasze dane - nasza własność

25 maja 2018 roku wchodzi w życie unijne rozporządzenie dotyczące ochrony danych osobowych, czyli RODO (ang. GDPR). Wszystkie firmy działające na terenie Unii Europejskiej będą miały obowiązek przestrzegania nowych wytycznych dotyczących przepływu i przetwarzania danych osobowych osób fizycznych.

Kogo będzie dotyczyć? Każdego z nas. I to my – konsumenci mamy być lepiej chronieni we wszelkich kontaktach z przedsiębiorcami, gdy przekazujemy nasze dane osobowe, które są naszą własnością. 

A czym są dane osobowe? To każda informacja, która pozwala zidentyfikować konsumenta. To imię i nazwisko, ale także sam numer PESEL, adres zamieszkania, adres e-mail, dane o lokalizacji czy identyfikator internetowy (np. numer IP). Każdą z tych danych przedsiębiorca musi chronić przed dostępem osób trzecich. Wybór sposobu ochrony należy do niego. Powinien samodzielnie dokonać analizy zagrożeń i innych ryzyk związanych z przetwarzaniem danych osobowych i dobrać adekwatne środki ochrony.

Czym jest przetwarzanie danych? To każda operacja na danych – zbieranie, wykorzystywanie, dokonywanie analiz danych. Także automatyczne. Przetwarzającego rozporządzenie nazywa administratorem danych.

Kiedy można przetwarzać dane? Tylko wtedy, gdy pozwala na to prawo. W obrocie konsumenckim będzie to zwłaszcza sytuacja, gdy przetwarzanie danych jest konieczne do wykonania umowy. Na przykład zamawiając przez Internet towary, podajemy swoje dane do dostawy, wykonujemy przelew ze swojego konta (numer konta też jest daną osobową) lub płacimy kartą. Sklep zwykle zna też wówczas nasz adres e-mail i identyfikator internetowy.

Ważne – taki sklep może przetwarzać nasze dane tylko w celu wykonania umowy, chyba że zgodzimy się dodatkowo np. na otrzymywanie newslettera lub przekazywanie naszych danych (konkretnych, nie wszystkich) innemu podmiotowi. Na przykład takiemu, który prowadzi stronę z opiniami o sklepach.

Mając na uwadze rozwój portali społecznościowych, rozporządzenie wprowadziło zasadę, że w przypadku usług społeczeństwa informacyjnego dziecko poniżej 16. roku nie może samodzielnie wyrazić zgody na przetwarzanie, a przedsiębiorca musi podjąć rozsądne starania, aby zweryfikować wiek.

Zgoda musi być świadoma i jednoznaczna, a administrator danych musi wykazać, że ją posiada. Zgodę można bezpłatnie cofnąć.

Często dane są przetwarzane w ramach dużych zbiorów – baz danych. Bazy danych wykorzystywane są często do kierowania konkretnych ofert do wybranych osób za pośrednictwem różnych narzędzi komunikacji – maila, telefonicznie, na spersonalizowanej stronie internetowej itp. Oferta jest lepiej dopasowana do konkretnej osoby, gdy przedsiębiorca więcej wie o potencjalnym kliencie właśnie na podstawie zgromadzonych o nim danych, czyli informacji o konsumencie.

Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, można w dowolnym momencie wnieść sprzeciw wobec ich przetwarzania, w tym profilowania, w związku ze stosowaniem tej bezpośredniej formy komunikacji marketingowej z konsumentem.

Marketing bezpośredni to kierowanie bezpośrednich komunikatów o charakterze handlowym, reklamowym do wybranych, pojedynczych klientów. Może to być np. e-mail z propozycją zakupu lub zachętą do odwiedzenia sklepu internetowego.

 

Czym jest profilowanie?

To dowolna forma najczęściej zautomatyzowanego przetwarzania danych osobowych, pozwalająca wnioskować na podstawie posiadanych danych o innych cechach danej osoby. Na podstawie „pozostawionych śladów”, np. w postaci korzystania z kart w różnych sytuacjach, odwiedzania konkretnych stron internetowych, zawierania umów on-line i bardzo wielu innych sytuacji, analiza danych pozwala ocenić daną osobę np. pod kątem jej sytuacji ekonomicznej, zainteresowań, osobistych preferencji, zachowań czy lokalizacji i dostosować jak najlepiej sprofilowane działania marketingowe.  

Profilowanie jest dopuszczalne między innymi, gdy opiera się na wyraźnej zgodzie wyrażonej już na etapie zbierania danych osobowych i po spełnieniu obowiązków informacyjnych przez administratora danych lub jest niezbędne do zawarcia umowy z administratorem danych. Obowiązkiem administratora jest umożliwienie konsumentowi wniesienia sprzeciwu wobec przetwarzania oraz profilowania jego danych osobowych, przede wszystkim do celów marketingowych.

Artykuł 22 RODO stanowi, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Rozporządzenie nakazuje, aby w każdym wypadku administrator umożliwiał dostęp do uzyskania „interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.” Decyzja podejmowana przez automat (np. system komputerowy) opiera się na „suchych” danych. Nie uwzględnia szczególnych sytuacji, nie kieruje się ludzkimi odruchami, takimi chociażby jak empatia. Konsument tym samym ma prawo żądać, aby przy podejmowaniu decyzji uczestniczył człowiek, biorący pod uwagę także elementy spoza algorytmu komputerowego.

 

O czym musi poinformować przedsiębiorca/administrator?

Przedsiębiorca, który przetwarza dane, musi podać w szczególności następujące informacje:

  • swoją tożsamość i dane kontaktowe;
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego;
  • okres, przez który dane osobowe będą przechowywane;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Na przedsiębiorcy spoczywa ciężar wykazania spełnienia całego obowiązku informacyjnego.

 

Czym jest prawo do „bycia zapomnianym”?

Konsument ma prawo do żądania usunięcia danych. Administrator ma wówczas obowiązek nie tylko zaprzestania przetwarzania danych. Ma również obowiązek – jeżeli upublicznił te dane - poinformowania administratorów, którzy przetwarzają takie dane osobowe, o usunięciu wszelkich łączy do tych danych, ich kopii lub ich replikacji.

Obowiązek ten ogranicza się do podjęcia racjonalnych działań z uwzględnieniem dostępnych technologii i środków w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.

Ustanowienie tego prawa jest konsekwencją orzeczenia Trybunału Sprawiedliwości Unii Europejskiej z 13 maja 2014 roku (sprawa C-131/12) i dotyczyło zakresu odpowiedzialności wyszukiwarek internetowych za pokazywane dane. Trybunał uznał, że skoro istnieją techniczne możliwości, zainteresowany może domagać się usunięcia swoich danych osobowych z wyników wyszukiwania.

Żądanie usunięcia danych można zgłosić m.in. w przypadku, gdy:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie;
  • osoba, której dane dotyczą, wnosi sprzeciw związany z jej szczególną sytuacją lub dane były przetwarzane na potrzeby marketingu bezpośredniego;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego osobie, która jest dzieckiem.

 

Czy muszę godzić się na przetwarzanie moich danych do celów marketingowych w zamian za dostęp do bezpłatnych usług?

Dość często dostęp do bezpłatnych usług uwarunkowany jest zgodą na przetwarzanie danych osobowych. Upraszczając – płacimy zgodą na wykorzystywanie naszych danych w zamian za usługę.

Czy jest to legalne? Jeżeli spełnione są pewne warunki, to tak. Przede wszystkim, jeżeli przetwarzanie ma się odbywać na podstawie zgody, musi być ona dobrowolna i jednoznaczna. Wyrażenie zgody nie będzie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Tym samym wiele zależy od tego, jaka będzie alternatywa w sytuacji, gdy nie umożliwimy korzystania z naszych danych. Jeżeli spowoduje to pobieranie opłaty za usługę w rozsądnej wysokości, najprawdopodobniej będzie to dopuszczalne.

Przykład – dostawca usługi poczty elektronicznej udostępnia ją bezpłatnie po wyrażeniu zgody na działania marketingowe. Brak zgody spowoduje naliczanie opłaty w wysokości 15 złotych rocznie.

Nie będzie natomiast dopuszczalne wykonanie umowy (np. sprzedaży towaru przez sklep internetowy) uzależnione od wyrażenia zgody na przetwarzanie naszych danych osobowych do celów marketingowych.

 

Jakie są zatem główne prawa konsumenta w RODO?

Podsumowując, konsument zgodnie z RODO ma prawo do:

  • żądania dostępu do swoich danych osobowych,
  • żądania korekty swoich danych osobowych,
  • żądania usunięcia swoich danych osobowych,
  • żądania ograniczenia przetwarzania swoich danych osobowych,
  • żądania przenoszenia danych,
  • wniesienia sprzeciwu wobec przetwarzania danych osobowych,
  • wycofania zgody i wniesienia skargi do organu nadzoru.

 

Pełna nazwa RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 


infotekafundacjafk
Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce internetowej. zamknijzamknij