Niedługo minie rok od pierwszego dnia stosowania RODO w Polsce. Wbrew straszeniu karami polski smallbusiness odetchnął z ulgą. Doszedł do częściowo przynajmniej słusznego wniosku, że nie mając za sobą tradycji własnego państwa absolutystycznego lub totalitarnego UODO nie jest dla polskich małych i średnich przedsiębiorstw tak groźny, jak była dla francuskiej burżuazji Bastylia.
Biorąc pod uwagę liczbę wydanych w tym czasie przez PUODO decyzji wniosek ten jest trafny, ponieważ wynosi ona „0”. O ile np. ze strony francuskiego odpowiednika polskiego organu nadzoru posypały się kary, w tym ta, o której za chwilę, o tyle polski UODO położył na razie uszy po sobie. Także z planu kontroli na 2019 r. wynika, że na pierwszy ogień pójdzie sfera publiczna oraz najbardziej wrażliwe, ale też najlepiej przygotowane branże ze sfery prywatnej (ubezpieczenia, telemarketing, brokerzy danych). Jedyne, co może istotnie dotknąć niemal KAŻDEGO polskiego przedsiębiorcę, to kontrole w sferze stosowania RODO przez działy personalne.
Czy to znaczy, że można o RODO zapomnieć? Nie wydaje mi się. Odnosi się raczej wrażenie, że ostatnie miesiące zostały poświęcone na reorganizację GIODO-> PUODO i objęcie jego zakresem działania IOD. Umożliwiono ich zgłaszanie i odwoływanie oraz organizowano liczne szkolenia. Działa infolinia. PUODO m.zd. po prostu racjonalnie zakłada, że prawdziwe dostosowanie do RODO zacznie się w Polsce dopiero, kiedy jego działania będą boleśnie odczuwalne. Innymi słowy daje nam wszystkim jeszcze czas. Jednak, ponieważ RODO ani nie jest takie trudne – nie jest trudniejsze niż prawo pracy lub regulacje z zakresu rachunkowości powszechnie przecież stosowane także przez polski smallbusiness, ani takie kosztowne – na koszt stosowania RODO trzeba popatrzeć dokładnie tak, jak na koszt działu personalnego, działu księgowego lub działu IT i włączyć specjalistów z zakresu RODO (adwokata i/lub IOD) do współpracy szczególnie z tym ostatnim – to lepiej ten dodatkowy czas wykorzystać. Należy liczyć się z tym, że od 2020 r. kontrole branżowe obejmą też „zwykłe” firmy, szczególnie te, które masowo przetwarzają dane osobowe. Dotyczy to w szczególności e-commerce i to w każdym wydaniu, w tym np. sprzedaży biletów kinowych lub na festiwale. Jednak, jak się okazuje, nawet warszawska restauracja może mieć kilka zbiorów danych przetwarzając łącznie nawet ich dziesiątki tysięcy, chociażby na Funpage’u!
Polski smallbusiness nadal chętnie i dość bezrefleksyjnie korzysta zarówno z produktów Facebook, jak i Google, tj. amerykańskich gigantów marketingu cyfrowego. Są to globalni potentaci, którzy po to oddają swoje zasoby „bezpłatnie” do dyspozycji każdego, żeby zbierać jak największą liczbę danych osobowych i nimi następnie handlować. Z tego punktu widzenia każdy polski smallbusiness mający Funapage’a jest pomocnikiem Facebook w zbieraniu „polskich” danych osobowych, ponieważ ściąga ruch polskich użytkowników na strony Facebook’a. Podobnie rzecz się ma z reklamami kontekstowymi Google, jeśli polski smallbusiness z nich korzysta. Istone może być też korzystanie z innych produktów Google, np. poczty email, ponieważ np. zdaniem dyrektora departamentu zarządzania danymi Ministerstwa Cyfryzacji Macieja Kaweckiego korzystanie z poczty email z reguły skutkuje powstaniem zbioru danych osobowych w sensie RODO.
Ponieważ nie można zakładać, że UODO nigdy do nas nie przyjdzie, tak, jak nie można zakładać, że nigdy nie złapie nas policja na przekraczaniu prędkości i nie wlepi mandatu, a jednocześnie ponieważ mandaty UODO okazują się potencjalnie niezmiernie surowe mogąc całkowicie zniszczyć nasze przedsiębiorstwo, to warto przynajmniej w stopniu istotnym, tj. większym niż 50% :-), zadbać o zgodność z prawem przetwarzania w swojej firmie danych osobowych klientów. Jak to zrobić, jeśli mamy Funpage na FB lub korzystamy z usług Google? Czy Facebook i Google w pełni dostosowały się do RODO?
Jedna uwaga na początek, która dla polskiego smallbusiness’u może nie być oczywista. Korzystanie z JAKICHKOLWIEK usług Facebok lub Google zakłada, że wiąże nas jako przedsiębiorcę z tymi firmami umowna więź prawna. Poza tym najprawdopodobniej są one względem naszych klientów współadministratorami i/lub procesorami. W efekcie odpowiadamy z RODO za naruszenie przez nich bezpieczeństwa danych naszych klientów TAK, JAK ZA SWOJE WŁASNE DZIAŁANIE!
Facebook niewątpliwie jest administratorem danych osobowych. Od wielu miesięcy wiadomo też, że zdaniem TSUE – bez wystarczających podstaw negowanym przez Ministerstwo Cyfryzacji – polski przedsiębiorca mający Funpage’a jest współadministratorem danych osobowych w odniesieniu do danych swoich klientów na tym Funpage. Zatem na podstawie RODO ma obowiązek zawrzeć z FB umowę o współadministrowanie danych osobowych. Czy to jest możliwe? Czy trzeba zwracać się bezpośrednio do Facebook’a? Jak to zrobić? Czy to będzie skuteczne w postępowaniu przed UODO?
Facebook zaoferował umowę o współadministrowanie. Jak się okazuje, nie trzeba żadnej aktywności, żeby została ona zawarta. Wystarczy samo dalsze korzystanie z usług Facebook’a. Czy taka formuła zawarcia umowy odpowiada wymogom polskiego prawa? Tak, w polskim prawie można zawrzeć umowę w sposób dorozumiany. Jednak ta umowa Facebook’a odnosię jedynie do usługi FB Insights, w ramach której ściśle rzecz biorąc nie otrzymujemy danych osobowych, tylko anonimowe dane statystyczne. Nie tylko, że umowa nie dotyczy wszystkich aspektów korzystania przez nas z funkcji Facebook’a, w tym nie dotyczy Instagrama jako aktualnie jednego z flagowych produktów tej firmy, ale też ze względu na swoje szczegółowe postanowienia może być narażona na różne zarzuty UODO. Zawarcie tej umowy nie gwarantuje nam zatem bezpieczeństwa prawnego. Jednak na pewno dobrze, że przynajmniej w takim zakresie Facebook wyszedł naprzeciw oczekiwaniom organów unijnych (i naszym!). Gwarantuje to przynajmniej częściowe – powyżej 50% 🙂 – bezpieczeństwo. FB stawia ponadto do naszej dyspozycji formularz w razie zapytań i żądań naszych klientów, tj. osób, o których dane chodzi, kierowanych na podstawie RODO. Ten formularz będzie bardzo przydatny dla osoby, która w naszej firmie jest odpowiedzialna za stosowanie RODO, a którą nierzadko okazuje się w polskich warunkach – sam właściciel!
Jeśli chodzi o Google, to dla użytkowników produktów biznesowych tej firmy (np. Google Suite) umowa powierzenia przetwarzania została tutaj postawiona do dyspozycji. Jej zawarcie – jak wynika z zawartych na tej stronie informacji, wymaga aktywności polskiego przedsiębiorcy. Ponadto Google oferuje standardowe klauzule ochrony danych, z tym, że oparte jeszcze na stanie prawnym sprzed RODO, tj. na dyrektywie 95/46/WE. Mimo, że mogą one nie spełniać wymogów art. 46 ust. 2 c RODO, to warto i tę umowę z Google zawrzeć, ponieważ jak informuje Google – serwery tej firmy są też m.in. w Singapurze, a zatem Tarcza Prywatności nie wystarczy nam jako uzasadnienie transferu danych.
***
Generalnie należy wyżej ocenić regulacje Google. Zarówno wymagający aktywności przedsiębiorcy sposób zawarcia umowy, jak i jej zakres, świadczą o znacznie staranniejszym niż w przypadku Facebook’a stosowaniu RODO. Mimo to właśnie Google został niedawno bardzo surowo ukarany przez francuskiego UODO za naruszenia RODO. Główny zarzut francuskiego organu nadzorczego, to brak jasności, co do tego, co Google dokładnie robi z unijnymi danymi i konieczność przeklikiwania się przez obszerne regulacje, z których potem trzeba to samemu wywnioskować.
W przypadku obu gigantów współtworzących swoimi decyzjami zarządczymi współczesne prawo nowych technologii dochodzi się do podobnych wniosków.
1. Facebook i Google w ograniczonym zakresie dostosowały swój sposób działania do RODO jako jednego z podstawowych elementów unijnego prawa nowych technologii.
2. Obaj giganci muszą mieć co nieco do ukrycia. Mimo tego, że podzieli się z nami istotnym zakresem informacji dotyczących sposobu korzystania z naszych danych osobowych, to bardzo możliwe, że to, co z punktu widzenia biznesowego najcenniejsze, postanowili przemilczeć.
3. Skoro Google słynący z bardziej etycznego podejścia do naszej prywatności niż Facebook został ukarany tak, jak wyżej to zostało opisane, to sceptycznie należy podejść do jakości regulacji tej ostatniej firmy.
4. Zawarcie opisanych wyżej umów może nie uchronić nas przed pretensjami UODO i karami ze strony UODO. Jednak o podejściu UODO do problemu przekonamy się dopiero w ciągu kolejnych kilkunastu miesięcy. Wtedy też będzie być może znane ostateczne rozstrzygnięcie w wyżej wymienionej sprawie francuskiej, a Facebook i Google być może pójdą w dostosowaniu się do unijnej regulacji o krok dalej. W ten sposób zwiększy się także bezpieczeństwo prawne polskiego smallbusiness’u korzystającego z usług amerykańskich gigantów.
Na zakończenie należy podkreślić, że przetwarzanie danych osobowych we współpracy z Facebook i Google musi – oczywiście – zostać uwzględnione w dokumentacji RODO, w szczególności w rejestrze czynności przetwarzania oraz objęte firmowymi procedurami z zakresu RODO. Dopiero wtedy to przetwarzania będzie „zgodne z RODO”, a polski przedsiębiorca „wdroży RODO”! Jest to jednak inny temat niż same tylko omówione wyżej umowy i zatem zostanie poruszony przy innej okazji.