Przedsiębiorcy wciąż mają problemy ze stosowaniem RODO. Co gorsza, organy nadzoru też różnią się w podejściu do niektórych wymagań
Pierwsze kary nałożone przez prezesa Urzędu Ochrony Danych Osobowych (UODO), o których informowaliśmy też w „Pulsie Biznesu”, pokazują, że organ ten jest w swoich decyzjach dość restrykcyjny.
— Widać w nich, że stosunkowo trudno o przedstawienie takich okoliczności, które organ uznałby za łagodzące i działające na korzyść ukaranych podmiotów. Nie pobłaża potknięciom, niejasnościom i niespójnościom w informowaniu przez firmy klientów o zasadach przetwarzania ich danych osobowych. Na niekorzyść mogą działać także nieścisłości w wyjaśnieniach przekazywanych w trakcie kontroli i postępowań prowadzonych w sprawie naruszeń — mówi dr Damian Karwala, radca prawny i starszy prawnik zespołu prawa własności intelektualnej i nowych technologii w kancelarii CMS.
Kontrolerzy u drzwi
W 2018 r. przeprowadzono 72 kontrole przestrzegania przepisów o ochronie danych osobowych — wynika ze sprawozdania UODO. W tym roku do jesieni było ich ponad sto — podkreślają eksperci z firmy ODO 24.
— Najczęściej uczestniczy w nich kilka osób. Jeden z kontrolerów odpowiada za obszar prawny, inny za zabezpieczenia techniczne, fizyczne i organizacyjne, w tym szeroko pojęte zagadnienia związane z IT — wyjaśnia Agata Kłodzińska z ODO 24.
Wzmożone i szczegółowe kontrole organu nadzoru nad przestrzeganiem ochrony danych osobowych można po części wiązać z jego nowym prawem, czyli nakładaniem kar pieniężnych. Kiedy w marcu tego roku prezes UODO po raz pierwszy sięgnął po to uprawnienie i za niedopełnienie obowiązku informacyjnego ukarał firmę kwotą 943 tys. zł, przyznał otwarcie, że sankcje mają być dotkliwe. Zgodnie z unijnym rozporządzeniem (RODO) ich górna granica wynosi 20 mln EUR lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorcy.
— Ich głównym zadaniem jest wymuszenie na przedsiębiorcach dostosowania się do nowych regulacji. Kary mają odstraszać — podkreśla Tomasz Bojkowski, radca prawny.
— Bardzo ważne jest stałe eliminowanie drobnych zaniedbań, ponieważ to one najczęściej prowadzą do poważnych konsekwencji związanych z kontrolą organu — przyznaje Grzegorz Kaliński, prezes firmy Kalasoft.
Według niego nawet przy najlepszym systemie informatycznym największym zagrożeniem pozostaje błąd ludzki, ale to ryzyko można zminimalizować. Przede wszystkim przez stałe podnoszenie kompetencji osób odpowiedzialnych za przetwarzanie danych osobowych.
Byle jak najprościej
Zdaniem Damiana Karwali trzeba bardzo uważnie budować procedury, a także jasno formułować komunikaty skierowane do osób, od których przedsiębiorca pozyskuje dane. Te informacje muszą być jednoznaczne, aby te osoby wiedziały, na co się godzą i jak mogą się z tego wycofać. Między innymi takich spraw dotyczyły decyzje prezesa UODO związane z nałożeniem kar.
— Sposób uzyskiwania zgód, ich odwoływania lub tworzenia mechanizmu to ułatwiającego jest szalenie ważny. W większości przypadków zgoda jest podstawą przetwarzania danych osobowych, zwłaszcza w związku z działalnością marketingową, reklamową i promocyjną, polegającą w dużej mierze na wysyłce wiadomości mejlowych. Taką prowadzi między innymi ukarany niedawno podmiot i takich firm jest na rynku wiele — podkreśla radca.
Jedną z dobrych powszechnych praktyk, które przyjęły się na rynku i są zgodne z RODO, jest zamieszczanie w stopce wiadomości linku lub okienka, które po kliknięciu pozwalają szybko wypisać się z listy mejlingowej. Obecne prawo wymaga, aby wycofanie zgody było równie łatwe jak jej wyrażenie. W ocenie UODO ukarana firma tego warunku nie spełniła — link zamieszczony w treści informacji handlowej prowadził do komunikatów mogących wprowadzać ludzi w błąd. Ponadto spółka wymagała podawania przyczyny rezygnacji z mejlingu, czego prawo nie przewiduje. Brak odpowiedzi przerywał proces wycofania zgody.
— Jeśli taki warunek rzeczywiście wprowadzono, to tego rodzaju sytuacja jest trudna do obrony. Niemniej zauważam w swojej praktyce, że wielu przedsiębiorców stawia tego rodzaju pytania. Uważam, że z uwagi na prowadzoną działalność mogą mieć uzasadniony interes w zbieraniu informacji dotyczących przyczyn takich decyzji. Nie wolno ich jednak gromadzić w powiązaniu z konkretnymi osobami, których dane po odwołaniu zgody powinny zniknąć z bazy. Firma może ewentualnie odnotować, że przykładowo z określonego powodu zrezygnowało 60 proc. klientów, a z innego 40 proc. — twierdzi Damian Karwala.
Jego zdaniem błędem ukaranej firmy było też to, że po przejściu przez procedurę wycofania zgody użytkownik otrzymywał nie do końca precyzyjny komunikat o przysługujących mu uprawnieniach, np. dostępu do danych, wniesienia sprzeciwu i o prawie do cofnięcia zgody. Taka informacja na tym etapie jest nielogiczna i budzi niepewność, czy ostatecznie doszło do wypisania kogoś z bazy. Tę niekonsekwencję organ wytknął w swojej decyzji. W sumie postawił tyle zarzutów, że nałożył na przedsiębiorcę ponad 201 tys. zł kary. Damian Karwala nie uważa jednak, aby stopniowanie procesu wycofania zgody zawsze było niezgodne z przepisami.
Nie ma nic złego w tym, aby — jak to bywa w przypadku zapisu na newsletter — w mejlu podać link odsyłający do strony administratora i tam dopiero potwierdzić swoją rezygnację. Zwłaszcza w sytuacji, jeśli sposób zapisu również przebiega dwuetapowo, gdy po wpisaniu na stronie internetowej adresu e-mail wymagane jest jeszcze potwierdzenie subskrypcji z poziomu skrzynki mejlowej. Warunkiem zgodnego z przepisami wycofania zgody jest natomiast, aby to była czynność prosta i niebudząca żadnych wątpliwości. Według przedstawiciela CMS na ostateczne procedury rzutuje specyfika prowadzonego biznesu i analiza ryzyka, co — jak się okazuje — różnie jest postrzegane przez organy nadzoru, które mogą w praktyce zajmować się wykorzystywaniem danych osobowych. Widać to chociażby w ich zróżnicowanej ocenie trybu pozyskiwania zgód telemarketingowych.
W marketingu „pod górkę”
Ostatnio aktywny w karaniu za naruszenia tego ostatniego obowiązku jest prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), nawet niekiedy ostrzejszy wobec praktyk telemarketingowych od prezesa UODO. Sprawy te bada też Urząd Komunikacji Elektronicznej (UKE). W zasadzie każdy z nich prezentuje odmienne stanowisko w sprawie pozyskiwania zgód w trakcie rozmów telefonicznych. Radca podkreśla, że jest to problem istniejący od dawna. UOKIK już w kilku sprawach stwierdził, że nie można prosić o to nawet na początku rozmowy inicjowanej przez przedsiębiorcę. Jego zdaniem zgoda musi, jak to ujął, „mieć charakter uprzedni w stosunku do samego połączenia telefonicznego”. Jak zatem spełnić ten warunek? Prezes UKE ma podejście bardziej liberalne, nie wyklucza zbierania zgód telefonicznie.
— Nie jest łatwo bronić się przy tak zróżnicowanych poglądach. Dlatego część przedsiębiorców decyduje się na ustępstwa i ugody — mówi Damian Karwala.
Obawia się, że przy coraz bardziej skomplikowanym prawie, zmianach praktyk rynkowych i wykorzystywaniu nowych technologii problem z przyjmowaniem jednolitych rozstrzygnięć mogą mieć także sędziowie. Według tegorocznego raportu EY ograniczenia możliwości działań marketingowych i sprzedażowych to najczęściej wymieniany przez przedsiębiorców problem związany z RODO. Tak stwierdziło 56 proc. przedstawicieli prawie 500 firm objętych badaniem.
— Fakt, że według badanych istotnym wyzwaniem jest marketing, pokrywa się z moimi doświadczeniami. Oczywiste jest, że skuteczna komunikacja marketingowa musi być spersonalizowana i dostosowana do sytuacji specyficznego klienta. RODO nie zabrania prowadzenia jej i profilowania, ale warunkuje te działania uprzednim spełnieniem odpowiednich wymogów — np. przekazaniem informacji o przetwarzaniu danych osobowych — komentuje wyniki badania dr Marcin Grott, radca prawny z EY Law.
Śledząc rynek, widzimy jednak — dodaje — że część firm, rozumiejąc korelacje między zaufaniem klientów a udzielaniem zgód marketingowych czy brakiem sprzeciwów, podejmuje różnego rodzaju działania mające budować to zaufanie.
Sprawdź program konferencji "RODO w marketingu", 29 stycznia 2020, Warszawa >>
Podpis: Iwona Jackowska
