Raport RODO: 10 najważniejszych skutków dla branży internetowej

Informacja Prasowa - 15.11.2019
203

Raport RODO: 10 najważniejszych skutków dla branży internetowej - Xawery Konarski, adwokat, Traple Konarski Podrecki i Wspólnicy

Przepisy RODO istotnie zmieniły sposób funkcjonowania firm internetowych i realizowanych przez nie procesów biznesowych. Dotyczy to również wykorzystywanych przez nie platform technologicznych oraz architektury danych, poprzez które zbierane, przechowywane i zarządzane są dane osobowe.

Poniżej przedstawiona została lista 10 najważniejszych skutków obowiązywania RODO z punktu widzenia branży reklamy internetowej.

Po pierwsze, przedmiotowy zakres zastosowania przepisów RODO jest szerszy niż miało to miejsce w poprzednim stanie prawnym. Za dane osobowe uznane zostały bowiem wszystkie identyfikatory internetowe, takie jak adresy IP czy identyfikatory plików cookie (art. 4, motyw 30 RODO). To samo dotyczy innych identyfikatorów, takich jak np. znaczniki (tagi) RFID (Radio Frequency Identification). W konsekwencji przepisami RODO objęte zostało szereg podmiotów, w stosunku do których nie stosowało się wcześniej przepisów o ochronie danych osobowych. Przykładem są firmy działające na rynku reklamy programmatic. Uznanie za dane osobowe znaczników RFID oznacza z kolei stosowanie się Rozporządzenia do szeregu projektów Internetu Rzeczy (Internet of Things, w skrócie IoT), w szczególności wówczas gdy w ich ramach dochodzi do przetwarzania danych osobowych zebranych w ten sposób.

Po drugie, terytorialny zakres obowiązywania RODO jest szerszy niż poprzednio. Rozporządzenie znajduje bowiem zastosowanie do szeregu podmiotów niemających swoich jednostek organizacyjnych w Unii Europejskiej (np. siedziby, oddziału czy przedstawicielstwa). Będzie tak w szczególności wówczas, gdy przetwarzanie dotyczyć będzie danych osobowych osób przebywających w Unii, a czynności przetwarzania wiązać się będą z oferowaniem towarów lub usług takim oso-bom lub monitorowaniem ich zachowania (art. 3 ust. 2 RODO). Takie rozwiązanie jest wynikiem przyjętej w RODOkoncepcji „długiego ramienia” ochrony na podstawie przepisów Rozporządzenia, obejmującego w pewnych sytuacjach również przetwarzanie dokonywane poza terytorium Unii Europejskiej. W związku z tym RODO stosuje się do szeregu firm internetowych mających swoje jednostki organizacyjne i przetwarzających dane osobowe poza Unią Europejską (UE). Przykładem są sklepy internetowe, serwisy społecznościowe, czy wyszukiwarki internetowe administrowane przez podmioty spoza UE, ale przetwarzające dane „osób przebywających w Unii”.

Po trzecie, w RODO wprowadzono nowe kategorie podmiotów przetwarzających dane osobowe. W szczególności chodzi o współadministratorów danych, a więc podmioty, które wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO) oraz „inne podmioty przetwarzające” (art. 28 ust. 2 i 4 RODO), tj. podwykonawców (procesorów) realizujących część powierzonych im operacji na danych osobowych. W zależności od rodzaju usługi oraz konkretnego sposobu jej świadczenia, obie te kategorie podmiotów przetwarzających dane osobowe mogą występować na rynku reklamy internetowej.

Po czwarte, istotnemu poszerzeniu uległ zakres informacji (art. 13-14 RODO), które powinny zostać przekazane podmiotowi danych (np. informacje o okresie, przez który dane osobowe będą przecho-wywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu). Prawidłowe spełnienie tego obowiązku stanowi, z uwagi na różne formy reklamy internetowej, wyzwanie dla administratorów danych. Powszechnie stosowanym rozwiązaniem stało się „warstwowe” podawanie informacji (layerapproach), tzn. przekazywanie bezpośrednio podmiotowi danych jedynie podstawowych informacji(np. w formularzu rejestracyjnym na stronie internetowej), natomiast pozostałych informacji w kolejnych „warstwach” (np. dostępnych po naciśnięciu linku prowadzącego do rozbudowanej klauzuli informacyjnej). Tego rodzaju praktyka została usankcjonowana przez Grupę Roboczą Art. 29.

Po piąte, częściowo inaczej – niż dotychczas – określono przesłanki legalności przetwarzania danych osobowych. Z punktu widzenia reklamy internetowej znaczenie ma w szczególności nowe ujęcie konstrukcji prawnej zgody i warunków jej wyrażania przez podmioty danych (art. 4 pkt 11, art. 6 ust. 1 pkt a, art. 7-8 RODO), a także prawnie uzasadnionego interesu administratora danych (art. 6 ust. 1 pkt f). Istotnym novum jest w szczególności możliwość wyrażenia zgody nie tylko poprzez oświadczenie woli, ale również działanie konkludentne (np. zaznaczenie okna wyboru podczas przeglądania strony internetowej). Istotną zmianą jest również wprowadzenie możliwości, w przypadku danych wrażliwych (np. danych o stanie zdrowia), udzielenia zgody w sposób „wyraźny” (art. 9 ust. 2 a RODO), a nie – jak to było do tej pory – w formie pisemnej. Pozwala to na skuteczne zbieranie tego rodzaju zgód również w środowisku cyfrowym. Z uwagi na szczególną ochronę małoletnich w przepisach RODO wprowadzono także zasadę, że jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem (art. 8 RODO). W przypadku prawnie uzasadnionego interesu (opt-out) zwraca uwagę możliwość powołania się na tę przesłankę – w pewnych sytuacjach – również przy przetwarzaniu danych osobowych na „cudzy” cel marketingowy (art. 21 ust. 2 i 3, motywy 47-48 RODO). Administrator powinien przy tym wykonać tzw. test równowagi, a więc przeprowadzić ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Po szóste, w RODO wprowadzono szczególną regulację dotycząca jednej z operacji na danych, tj. profilowania rozumianego jako „dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”(art. 4 pkt 4 RODO). Z punktu widzenia branży reklamy internetowej kluczowe jest rozróżnienie „profilowania” zwykłego, wykonywanego na potrzeby marketingu bezpośredniego (art. 21 ust. 2-3 RODO) oraz profilowania „kwalifikowanego”, wykonywanego na potrzeby „zautomatyzowanych decyzji”, a więc decyzji podejmowanych bez udziału człowieka i mających istotne skutki prawne dla podmiotów danych (art. 22 RODO). Dla takiego profilowania w Rozporządzeniu wprowadzono dodatkowe gwarancje zabezpieczenia interesów podmiotów danych poprzez możliwość zakwestionowania automatycznie wydanej decyzji i jej ponownego zweryfikowania przy udziale człowieka (art. 22 ust. 3 RODO). W przypadku przetwarzania danych osobowych na potrzeby reklamy internetowej mamy jednak przeważnie do czynienia z profilowaniem „zwykłym”, jego wykonywanie (np. poprzez automatyczne zestawienie danych o preferencjach zakupowych danej osoby) jest dopuszczalne do czasu wyrażenia przez tę osobę sprzeciwu (art. 21 ust. 3 RODO).

Po siódme, w RODO istotnie zmodyfikowano dotychczasowe lub ustanowiono zupełnie nowe prawa podmiotów danych. Chodzi tu w szczególności o: prawo dostępu do danych, w tym ich kopii (art. 15 RODO), prawo do bycia zapomnianym (art. 17 RODO), prawo do ograniczonego przetwarzania (art. 18 RODO) oraz prawo do przenoszalności danych (art. 20 RODO). Zapewnienie realizacji tych praw ma istotny wpływ na rodzaj wykorzystywanych narzędzi IT, a także ustanowienie wewnętrznych proce-dur przez firmy internetowe. Przykładowo, w przypadku prawa dostępu do danych organizacje muszą w pierwszej kolejności zidentyfikować dane dotyczące konkretnej osoby fizycznej ze wszystkich dostępnych źródeł, takich jakich systemy CRM, HR czy systemy archiwalne. Konieczna jest w związku z tym implementacja holistycznych narzędzi wyszukiwawczych pozwalających na odnalezienie tych danych. Od strony organizacyjnej istotne jest również stworzenie odpowiedniej procedury realizacji żądań podmiotów danych, zgodnej z art. 12 i n. RODO.

Po ósme, z uwagi na przyjęcie w RODO podejścia opartego na zasadzie ryzyka (Risk Based Approach), istotnej zmianie uległy wymogi dotyczące środków bezpieczeństwa danych, które muszą stosować podmioty przetwarzające dane osobowe. W pierwszej kolejności wymienić należy wymóg uwzględnienia ochrony danych osobowych w fazie projektowania (privacy by design, art. 25 ust. 1 RODO). Z jego realizacją związana może być między innymi analiza statyczna kodu programowania pod kątem ochrony danych. Podobny charakter ma zasada privacy by default, zgodnie z którą „Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.” (art. 25 ust. 2 RODO). W Rozporządzeniu wprowadzono także obowiązek zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku związanemu z zakresem i celem przetwarzania danych, z czym może się wiązać konieczność stosowania np. pseudonimizacji i szyfrowania danych osobowych (art. 32 ust. 1 pkt a RODO). W RODO nałożono również obowiązek dokonania, przed rozpoczęciem przetwarzania danych osobowych, oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 RODO). Jeżeli ta ocena skutków wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania ma on obowiązek konsultacji z organem nadzorczym, tj. PUODO (art. 36 RODO).

Po dziewiąte, w RODO ustanowiono nowe instrumenty wykazywania zgodności z przepisami o ochronie danych osobowych (compliance). Zaliczyć do nich należy kodeksy postępowania oraz mechanizmy certyfikacji (art. 40 i n. RODO). Ich stosowanie istotnie może limitować ryzyka prawne związane z naruszeniem przepisów Rozporządzenia. Dla branży reklamy internetowej szczególne znaczenie może mieć w związku z tym Kodeks postępowania i dobrych praktyk branży reklamy inter-netowej, którego projekt przygotował Zespół RODO IAB Polska. Dla jego skuteczności jako mechanizmu compliance przewidzianego w RODO konieczne jest jeszcze jego zatwierdzenie przez organ nadzorczy (PUODO).

Po dziesiąte, w RODO przewidziano nowe sankcje administracyjne, w tym wysokie kary pieniężne za naruszenie przepisów o ochronie danych osobowych (art 83 RODO). Niezależnie od tego podmiot przetwarzający może ponosić również odpowiedzialność cywilną, w postaci odszkodowania lub zadośćuczynienia (art. 82 RODO). Z kolei w ustawie o ochronie danych osobowych wprowadzono odpowiedzialność karną za niedopuszczalne przetwarzanie danych osobowych albo przetwarzanie dokonywane przez nieupoważniony podmiot (art. 107 uodo).

źródło: iab.org.pl

 

Comments

comments

203
Komentarze
Sonda

Czy sztuczna inteligencja może zastąpić pracę PR-owca??

Loading ... Loading ...