Wielu administratorów nie zdaje sobie sprawy, że przepisy RODO zostały wdrożone nie tylko z myślą o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych, ale również aby chronić przedsiębiorców. I nie chodzi tylko o ochronę przed karami nakładanymi przez organy nadzorcze. 😉
RODO zastąpiło Dyrektywę 95/46/WE z 1995 roku. Już sam fakt zastąpienia dyrektywy rozporządzeniem powinien być pozytywnie odebrany przez przedsiębiorców. Zmiana ta miała bowiem na celu również wyeliminowanie pewnych drobnych różnic występujących w przepisach o ochronie danych osobowych obowiązujących w poszczególnych krajach Unii Europejskiej.
Ale cofnijmy się w czasie jeszcze bardziej. Otóż dyrektywa też już zawierała elementy, które świadomi administratorzy powinni byli przyjąć z zadowoleniem. Zwłaszcza, że nie zaproponowano w niej wprost kar pieniężnych jako środka przymuszającego do stosowania przepisów implementujących dyrektywę. Kraje członkowskie miały w tym zakresie dowolność. W Polsce od pewnego momentu funkcjonowała jedynie kara pieniężna za niewykonanie decyzji administracyjnej organu nadzorczego, czyli ówczesnego GIODO.
Cóż więc mogło skłonić przedsiębiorców, aby chętnie realizowali wymagania przepisów o ochronie danych osobowych? Pamiętajmy, że przed rozpoczęciem prac nad dyrektywą w latach 90-tych, czyli jeszcze 30 lat temu, takie przepisy w ogóle nie istniały. Nie było więc regulacji, które prewencyjnie chroniłyby prawa osób w związku z przetwarzaniem ich danych. Podkreślam słowo „prewencyjnie”, ponieważ każde praworządne państwo powinno zapewniać ochronę prawną swoim obywatelom.
Wcześniej była to jednak wyłącznie ochrona ich interesów, które w jakikolwiek sposób zostały naruszone. Coraz częściej dochodziło do nadmiernego lub nawet bezprawnego wykorzystywania danych osobowych, ingerując w prywatność ich właścicieli lub naruszając ich dobra osobiste. W takiej sytuacji obywatel mógł dochodzić swoich praw przed sądem, a czasem przed innym wyspecjalizowanym organem. Jeśli roszczenia były zasadne przedsiębiorca, który wyrządził szkodę klientowi, był zobowiązywany do zapłaty odszkodowania lub zadośćuczynienia. Zatem stworzenie przepisów, które dają administratorom mechanizmy do przeciwdziałania naruszeniom praw i wolności osób fizycznych należy postrzegać jako coś pożytecznego również dla nich.
Komunikacja
Jednym z takich mechanizmów jest właściwa komunikacja z podmiotami danych. Za wyjątkiem realizacji obowiązku informacyjnego, komunikacja ta jest inicjowana przez osobę, której dane dotyczą. Administrator powinien zatem właściwie zareagować i odpowiedzieć na każde żądanie podmiotu danych. RODO w art. 12 bardzo precyzyjnie definiuje, jak powinna wyglądać prawidłowa komunikacja. A w dalszej części Rozdziału III RODO przedstawiono jakie uprawnienia przysługują osobom fizycznym w związku z przetwarzaniem ich danych osobowych w różnych celach i w oparciu o różne podstawy przetwarzania.
Najczęściej wykorzystywanym uprawnieniem jest prawo do usunięcia danych, inaczej zwane „prawem do bycia zapomnianym”, które było bardzo mocno „reklamowane” od momentu uchwalenia RODO. W społeczeństwie jest dość niska świadomość pozostałych uprawnień. W przypadku otrzymania przez osobę niechcianego z jej pespektywy komunikatu (najczęściej emaila) od administratora, jeśli taka osoba w ogóle zechce zareagować, to prześle zazwyczaj żądanie usunięcia danych. Zwykle będzie ono w takim przypadku nieadekwatne lub co najwyżej usunięcie danych powinno być dopiero konsekwencją cofnięcia zgody lub wyrażenia sprzeciwu wobec przetwarzania.
Obsługa wniosków
Zdarzają się jednak sytuacje, gdy bezpośredni wniosek o usunięcie danych jest adekwatny i zostanie rozpatrzony pozytywnie. Tego typu żądania raczej nie są poprzedzone kampanią mailingową administratora. Z naszego doświadczenia opartego na współpracy z administratorami z kilku różnych branż, śmiało można powiedzieć, że takie zgłoszenia przesyłają głównie studenci wyższych uczelni. Oczywiście szkoły wyższe również wysyłają swoim studentom na dedykowane adresy różnego rodzaju mailingi informacyjne i wówczas żądań usunięcia danych jest najwięcej. Są one jednak bezzasadne i w odpowiedzi studenci otrzymują informację, dlaczego wniosek nie zostanie zrealizowany oraz jakie inne uprawnienia im przysługują.
Jednakże bardzo wiele jest także zgłoszeń wynikających z zakończenia pewnej dodatkowej relacji studenta z uczelnią. Wskazuje to na wyższą od średniej świadomość studentów w dziedzinie ich praw oraz istnienia zasady ograniczenia przechowywania danych przez okres realizacji celu. Najczęściej żądania usunięcia danych przesyłają studenci biorący udział w programie Erasmus lub dodatkowych kursach organizowanych przez uczelnie. Co ciekawe żądania wpływają zwykle dokładnie w tym momencie, w którym dane rzeczywiście powinny zostać usunięte. Można odnieść wrażenie, że studenci chcą mieć pewność, że uczelnia usunie ich dane, które są już niepotrzebne, w terminie wskazanym w klauzuli informacyjnej przy zbieraniu danych.
Korzyści organizacyjne
Gdyby nie funkcjonująca na uczelni procedura obsługi wniosków osób, których dane dotyczą, realizacja tego typu żądań byłaby utrudniona. Procedura systematyzuje proces potwierdzenia tożsamości wnioskodawcy, wyszukania jego danych osobowych i udzielenia adekwatnej odpowiedzi (pozytywnej lub negatywnej). W przypadku braku procedury każde takie zgłoszenie musiałoby być rozpatrywane indywidualnie przez inspektora ochrony danych. A przecież nie każda uczelnia musi wyznaczyć inspektora. Obowiązek mają jedynie uczelnie publiczne. Zatem możliwość wyznaczenia IOD-y przez podmioty niepubliczne również może być postrzegana jako pozytywny mechanizm dostarczony przez RODO, aby przeciwdziałać naruszeniom praw i wolności osób fizycznych.
Ktoś przekornie mógłby powiedzieć, że gdyby nie wymagania RODO oraz ustanowione w nim uprawnienia osób fizycznych, niepotrzebne byłyby żadne procedury związane z ich realizacją czy też inspektorzy ochrony danych. Oczywiście zależy to od punktu widzenia, a w szczególności od skali przetwarzania danych. Łatwo jednak wyobrazić sobie konflikt podmiotu danych i administratora, którzy nigdy nie zapoznali się RODO, ale do sporu doszło w wyniku nieuprawnionego przetwarzania danych osobowych lub w związku z brakiem przejrzystej komunikacji w tej sprawie. Konsument, który nie zna swoich uprawnień wynikających z RODO, zapewne od razu wystosowałby pozew sądowy. Z drugiej strony osoba, która je zna, ale nie mogłaby porozumieć się z administratorem, również prawdopodobnie skorzystałaby z drogi sądowej.
Niektóre firmy prewencyjnie przeznaczają część budżetu na wypłatę odszkodowań zasądzonych przez sądy cywilne lub na kary, które mogą nałożyć organy nadzorcze. Czy nie ma jednak lepszej strategii prowadzenia działalności gospodarczej?
Strategia prowadzenia biznesu
W latach 70-tych XX w. w USA wyewoluowała koncepcja, że celem prowadzenia biznesu jest zaspokajanie potrzeb klientów z poszanowaniem wartości i praw. A zysk jest niejako efektem ubocznym dostarczania dóbr zadowolonym klientom, którzy polecają kolejnych. Niestety w obecnych czasach wydaje się, że w pogoni za zyskiem, wielu amerykańskich gigantów rynku internetowego zapomniało, że jedną z istotnych wartości jest również prywatność użytkowników.
Na szczęście ta tzw. amerykańska etyka biznesu nie została zapomniana i przekształciła się w społeczną odpowiedzialność biznesu (z ang. Corporate Social Responsibility czyli CSR), która obejmuje jeszcze szerszy zakres czynników. Wiedzę na temat CSR uporządkowano w 2010 r. w postaci normy ISO 26000. Wśród obszarów wymienionych w normie znajdują się m.in. prawa człowieka (a więc też prawo do prywatności), stosunki pracy oraz relacje z konsumentami. W każdym z tych obszarów mechanizmy określone w RODO będą miały swoje zastosowanie. A więc dla przedsiębiorstwa, które chce funkcjonować zgodnie ze strategią CSR, przepisy te powinny być nieocenioną pomocą. Zdaniem zwolenników CSR firmy stosujące tę strategię mogą poprawić swoją reputację, a tym samym zwiększyć zyski. Można więc założyć, że uwzględnienie interesów różnych grup interesariuszy przy prowadzeniu biznesu jest nie tylko słuszne etycznie, ale może być też mniej kosztowne niż wypłacanie odszkodowań osobom poszkodowanym przez firmę.
Podsumowanie
Podsumowując można stwierdzić, że obecne społeczeństwo składa się z ludzi coraz bardziej świadomych swoich praw, a w związku z tym również bardziej roszczeniowych, zwłaszcza w środowisku osób młodych i wykształconych. Często to bardziej intuicja niż znajomość przepisów prawa podpowiada im jak usługodawcy powinni prawidłowo budować z nimi relacje. W sytuacji, gdy ta relacja odbiega od ich wyobrażeń, powoduje to bunt i sprzeciw. Oczywiście zasadność sprzeciwu w poszczególnych przypadkach będzie zależała od okoliczności wynikających m.in. z zasad ograniczenia celu i minimalizacji danych. Niemniej jednak zasady RODO w połączeniu z prawidłowo zrealizowanym obowiązkiem informacyjnym umożliwiają przedsiębiorcy właściwe budowanie relacji z klientami oraz pracownikami.