Telemarketing pod lupą UODO

Iwona JackowskaIwona Jackowska
opublikowano: 2019-01-27 22:00

Dziś Dzień Ochrony Danych Osobowych, obchodzony w nowym systemie prawnym. Od wejścia w życie reformy obyło się bez dotkliwych sankcji

Ponad 10 tys. skarg, pytań i zgłoszeń dotyczących ochrony danych osobowych wpłynęło do organu nadzorującego jej przestrzeganie w ciągu ostatnich siedmiu miesięcy, czyli od dnia stosowania unijnych reguł.

MĄDRZY PRZED SZKODĄ:
MĄDRZY PRZED SZKODĄ:
To dobrze, że branże, dostrzegając znaczenie nowych przepisów dla prowadzenia biznesu i patrząc z perspektywy „compliance”, skupiły się na przygotowaniu kodeksów dobrych praktyk — mówi Bartosz Tomaszewski, partner odpowiedzialny za praktykę prawa własności intelektualnej i danych osobowych w Crido Legal.
Fot. ARC

— Jednocześnie w tym czasie za pomocą infolinii działającej w godzinach 10-13 przeprowadzilismy ponad 13 tys. konsultacji. To oznacza 90 rozmów dziennie — wylicza dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych (UODO).

Prezes UODO przytacza te statystyki, podsumowując pierwsze miesiące stosowania w Polsce i innych krajach Wspólnoty unijnego rozporządzenia (RODO), przy okazji przypadającego 28 stycznia Dnia Ochrony Danych Osobowych. Ustanowił go Komitet Ministrów Rady Europy w rocznicę sporządzenia Konwencji 108 Rady Europy z 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania ich danych. To najstarszy akt prawny o zasięgu międzynarodowym, który reguluje te zagadnienia. W tym roku święto jest obchodzone po raz trzynasty.

Bezbolesne początki

— Tegoroczne święto ma wymiar szczególny, ponieważ są to pierwsze obchody w nowym systemie prawnym. Dzień ten ma uświadomić wszystkim, jak istotna jest ochrona prywatności i jaka jest wartość danych osobowychwe współczesnym świecie — podkreśla dr Edyta Bielak-Jomaa.

Tematem przewodnim tegorocznych obchodów jest system ochrony danych osobowych po wprowadzeniu reformy. Jednym z głównych zagadnień poruszanych podczas spotkań związanych ze świętem ma być telemarketing. Według wyjaśnień organu, ta forma kontaktu z konsumentami prowadzona w celu zaoferowania im określonych produktów czy usług, często bywa prowadzona z naruszeniem przepisów, w tym dotyczących ochrony danych osobowych, a przez to jest uciążliwa. Prezes UODO deklaruje, że chce zwrócić na tę kwestię szczególną uwagę i doprowadzić do wyeliminowania niezgodnych z prawem praktyk — m.in. przez upowszechnianie wiedzy na ten temat, także wśród administratorów i podmiotów świadczących usługi marketingowe na ich rzecz. Na razie nie widać, aby organ sięgał chętnie po nowe uprawnienie, jakie daje mu RODO, czyli nakładanie sankcji finansowych za naruszenia.

— Jak wynika z informacji udostępnionych przez UODO, pierwsze pół roku obowiązywania przepisów RODO w Polsce minęło dla firm dość bezboleśnie. Czas ten, zresztą zgodnie z wcześniejszymi zapowiedziami prezesa urzędu, upłynął głównie na przygotowywaniu gruntu dla biznesu pod kątem stosowania nowych przepisów. Obie strony — zarówno przedsiębiorcy z wybranych branż, jak i nowopowstały urząd — angażowały się w tworzenie kodeksów dobrych praktyk — zauważa Bartosz Tomaszewski, partner odpowiedzialny za praktykę prawa własności intelektualnej i danych osobowych w Crido Legal.

Jego zdaniem, to był dobry, i — mimo wcześniejszej paniki — stosunkowo spokojny czas dla firm na dostosowanie procesów i struktur do nowych regulacji, a dla organizacji branżowych — na wypracowanie odpowiednich dla nich kodeksów praktyk. Przedstawiciel Crido Legal przypomina, że tworzenie kodeksów postępowania wynika z art. 40 RODO. Mają one pomóc we właściwym stosowaniu tego rozporządzenia z uwzględnieniem specyfiki różnych sektorów, w których dane osobowe są przetwarzane i szczególnych potrzeb mikro- oraz małych i średnich podmiotów.

Branżowe wskazówki

Według wyjaśnień organu nadzoru, w kodeksie można zawrzeć wskazówki, jak wdrożyć odpowiednie środki bezpieczeństwa i wykazać przestrzeganie prawa przez administratora. Dotyczy to zwłaszcza zidentyfikowania ryzyka związanego z przetwarzaniem danych, jego oceny oraz przyjęcia najlepszych praktyk pozwalających zminimalizować ryzyko. Wywiązywanie się z obowiązków RODO można wykazać właśnie poprzez stosowanie kodeksu zatwierdzonego przez urząd.

Z art. 40 unijnego rozporządzenia wynika, że państwa członkowskie UE, organy nadzorcze i Europejska Rada Ochrony Danych oraz Komisja powinny zachęcać do sporządzania kodeksów postępowania. Zgodnie z tym przepisem, organ nadzorczy wydaje opinie o zgodności projektów kodeksów z RODO, a także ich zmiany lub rozszerzenia (co również musi być zgłoszone) i zatwierdza je, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia.

W Polsce, po półroczu obowiązywania reformy, na różnym etapie zaawansowania prac nad tymi kodeksami było 15 takich opracowań, przy czym w tym okresie do prezesa UODO wpłynęły dwa wnioski o zatwierdzenie takich dokumentów. Z danych wynika, że najbardziej zaawansowane w tworzeniu dobrych praktyk są: branża małych placówek medycznych oraz banki i rejestry kredytowe. Nad sektorowymi kodeksami postępowania z danymi osobowymi pracują przedstawiciele branż kreatywnych, w tym audiowizualnej i fotograficznej. Generalnie bardzo aktywne są szeroko rozumiane branże medyczna, marketingowa i finansowa.

— To, co jednak może budzić pewne zaniepokojenie, to liczba skarg, jaka w tym czasie wpłynęła do urzędu — zwraca uwagę Bartosz Tomaszewski.

Z udostępnionych danych wynika, że liczba skarg skierowanych do organu nadzoru w ciągu pierwszych sześciu miesięcy stosowania RODO przekroczyła 3,2 tys. — Należy liczyć się z tym, że zostaną one poważnie potraktowane przez organ i zostaną podjęte stosowne kroki. Tym samym to ostatni dzwonek na ewentualne korekty procesów wewnątrz firm — podkreśla partner z Crido Legal.

Kontrole w 2019 r.

Na razie wiadomo, jakie branże zostaną w tym roku skontrolowane przez UODO. Według zatwierdzonego planu, dostępnego na stronie internetowej organu, przetwarzanie takich danych zostanie sprawdzone m.in. we wspomnianym telemarketingu i u brokerów danych w zakresie podstaw prawnych ich przetwarzania, a także w sektorach bankowym i ubezpieczeniowym pod kątem profilowania. Kontroli powinny się spodziewać także podmioty udzielające świadczeń zdrowotnych, w związku z obowiązkiem realizacji praw pacjenta do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia i leczenia. Urząd zapowiada, że zbada, jak pracodawcy stosują zasady przetwarzania danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego i pozyskiwanych w związku z prowadzonymi rekrutacjami.

W tym roku organ przyjrzy się też bliżej Policji, Straży Granicznej i aresztom śledczym. Sprawdzi zastosowanie przez nie rozwiązań technicznych i organizacyjnych, mających na celu zabezpieczenie danych osobowych przed nieuprawnionym dostępem, kopiowaniem, zmienianiem czy usuwaniem.

UODO wyjaśnia, że zaplanowane kontrole są podyktowane głównie licznymi sygnałami (w tym skargami, pytaniami i zgłoszeniami naruszeń ochrony danych osobowych), wskazującymi na zagrożenia naruszenia przepisów o ochronie danych osobowych we wspomnianych obszarach działalności.

Sektorowe kodeksy dobrych praktyk

Obecnie konsultowane są następujące kodeksy postępowania z danymi osobowymi:

  • w branży audiowizualnej,
  • na rynku funduszy inwestycyjnych,
  • w rekrutacji,
  • w branży ciepłowniczej,
  • w działalności fotograficznej,
  • w sektorze ochrony zdrowia,
  • w małych placówkach medycznych,
  • w marketingu bezpośrednim,
  • w bankach i rejestrach kredytowych,
  • dla uczelni medycznych,
  • w biobankach.
  • w budownictwie,
  • w branży internetowej,
  • dla jednostek ochotniczej straży pożarnej,
  • do stosowania przez organizacje rzemieślnicze.

Sprawdź program konferencji  „RODO rok po wdrożeniu” (15-16 kwietnia 2019, Warszawa) >>