Wyzwania komunikacyjne związane z nowymi przepisami o ochronie danych osobowych (RODO)

Dla firm i instytucji zbliżające się wejście w życie przepisów RODO oznacza konieczność aktualizacji dotychczasowych procedur i stworzenia nowych. Szczególnie duże wyzwania stoją przed działami marketingu i komunikacji. Po pierwsze, obowiązek informowania indywidualnych konsumentów o naruszeniu ich danych osobowych to potencjalne źródło kryzysów wizerunkowych. Po drugie, RODO zmusza do bardziej szczegółowego informowania o celach przetwarzania danych osobowych oraz innych podmiotach, które uzyskują do nich dostęp.

Bardzo możliwe, że konsumenci, mając pełniejszą wiedzę o tym, co dzieje się z ich danymi osobowymi, będą mniej skorzy do wyrażania zgody na ich przetwarzanie. Działy marketingu i komunikacji będą musiały zatem włożyć więcej wysiłku w przekonywanie do udzielenia zgody na przetwarzanie danych osobowych, a także uzasadnianie po co właściwie to robią.

Obowiązek zgłaszania naruszenia ochrony danych osobowych
Zacznijmy od potencjalnego źródła kryzysów wizerunkowych. W sytuacji, gdy administrator danych osobowych stwierdzi naruszenie danych osobowych lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą.

Przez „naruszenie ochrony danych osobowych” rozumiemy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie chodzi wyłącznie o przypadki włamań do systemów informatycznych, ale tak prozaiczne zdarzenia, jak np. zgubienie laptopa przez pracownika czy wysłanie e-maila do niewłaściwej osoby (o ile prowadzą do nieuprawnionego dostępu do danych osobowych).

Z kolei „wysokie ryzyko naruszenia praw i wolności” może być sytuacją, gdy naruszenie prowadzi do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych osób fizycznych. Może to oznaczać np. utratę kontroli nad własnymi danymi osobowymi, dyskryminację, ograniczenie praw, kradzież lub sfałszowanie tożsamości, oszustwo, stratę finansową, uszczerbek na reputacji, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową oraz wszelkie inne znaczne szkody gospodarcze lub społeczne. Co istotne, to administrator danych osobowych będzie musiał ocenić, czy jest mało prawdopodobne, że konkretne naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jak wspomniałam, administrator danych osobowych ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą. Biorąc pod uwagę wymóg szybkiej reakcji, firmy i instytucje zdecydowanie powinny przygotować się do tego typu incydentów z wyprzedzeniem. Szczególnie, że istnieją wymagania co do tego, jak powinno wyglądać zawiadomienie.

Jak powinno wyglądać zawiadomienie o naruszeniu danych osobowych
Głównym celem zawiadomienia jest uświadomienie osobom fizycznym, że ochrona ich danych osobowych została naruszona i poinformowanie ich o krokach, które powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami. Administrator powinien wybrać metodę kontaktu, która daje największe szanse właściwego zawiadomienia osoby fizycznej – może to być np. e-mail lub list. Zawiadomienie powinno również zostać napisane prostym i jasnym językiem oraz zawierać opis charakteru naruszenia i jego konsekwencje. Ponadto powinno zawierać opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniom ochrony danych, a także informacje o Inspektorze Ochrony Danych w danej firmie czy instytucji.

Wyjątki od obowiązku wysyłania zawiadomień
Na szczęście wysyłanie zawiadomień nie jest obowiązkowe w każdej sytuacji – istnieją trzy wyjątki od wyżej przedstawionych przepisów. Pierwszy to sytuacja, gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie. Chodzi o zastosowanie przez Administratora takich środków jak szyfrowanie danych, które sprawia, że zmieniana jest zawartość plików bądź wiadomości w taki sposób, że ich treść jest bezużyteczna dla osoby trzeciej, czy pseudonimizacja danych, np. użycie liczby zamiast imienia i nazwiska rzeczywistej osoby. Wszystko po to, by nie można ich było przypisać konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji.

Drugi przypadek to sytuacja, gdy administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, poprzez np. przeprowadzenie oceny skutków tzw. DPIA (Data Protection Impact Assessment). Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami. Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.

Z trzecim wyjątkiem mamy do czynienia wówczas, gdy naruszenie praw lub wolności osoby, której dane dotyczą wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku administrator musi jednak wydać publiczny komunikat (np. na stronie internetowej) lub zastosować podobny środek, tak aby osoby, których dane wyciekły, zostały poinformowane o naruszeniu „w równie skuteczny sposób”.

Obowiązek zawiadomienia organu nadzorczego
Oprócz zawiadomienia osoby, której dane osobowe zostały naruszone, konieczne jest również zgłoszenie faktu naruszenia organu nadzorczego – bez zbędnej zwłoki lub w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ten termin zostanie przekroczony należy dodatkowo dołączyć wyjaśnienie tego opóźnienia. Administrator może być zwolniony z obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie musi zawierać następujące informacje: charakter naruszenia, dane Inspektora Ochrony Danych, konsekwencje naruszenia, środki podjęte w celu zaradzenia naruszeniu ochrony danych.

Ryzyko braku zawiadomienia – wysokie kary
W przypadku niezawiadomienia osoby, której dane dotyczą organ nadzorczy (od 25 maja będzie to Prezes Urzędu Ochrony Danych) może zażądać od administratora spełnienia takiego obowiązku albo może uznać, że nie doszło do naruszenia i zawiadomienie nie jest konieczne. Nowe przepisy przewidują również „motywację” dla firm, które wolałyby chronić swój wizerunek i unikać wysyłania zawiadomień. Otóż niezawiadomienie osób, których dane zostały naruszone, zawiadomienie ich zbyt późno lub w niewłaściwy sposób jest zagrożone karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.

Lepiej przygotować się wcześniej
Obowiązek zawiadomienia zarówno osoby, której dane zostały naruszone oraz ryzyko wysokich kar powinny przekonać firmy, że warto zawczasu opracować i wdrożyć procedurę postępowania na wypadek wystąpienia incydentu bezpieczeństwa. Dobrym pomysłem jest włączenie w tę procedurę działu komunikacji przedsiębiorstwa, bo to on zapewne będzie odpowiedzialny za zarządzanie potencjalnym kryzysem wizerunkowym. Być może taka procedura już nawet istnieje w organizacji, ale dział komunikacji o tym nie wie – warto to sprawdzić.

W dokumencie opisującym procedurę dobrze, aby znalazły się: cel jej wdrożenia, zakres stosowania, opis etapów zarządzania incydentem od jego wykrycia do zamknięcia oraz lista pracowników wraz z przypisaną odpowiedzialnością i rolami w procesie reagowania na incydenty. Warto zawrzeć także katalog najczęstszych zagrożeń i incydentów, które mogą prowadzić do naruszenia bezpieczeństwa danych osobowych oraz określić modelowy sposób zachowania pracowników i obowiązek informowania o domniemanych incydentach lub podejrzanych wydarzeniach. Ostatnim etapem powinno być zakomunikowanie tych procedur pracownikom firmy tak, aby wiedziały one jakie wydarzenia powinny zgłaszać, komu i w jaki sposób oraz jak następnie postępować.

RODO – klauzula zawierająca tzw. „obowiązek informacyjny”
Kolejnym wyzwaniem dla firm i instytucji będzie obowiązek informacyjny, który w RODO został znacznie rozbudowany w stosunku do tego, który należało stosować do tej pory. Na gruncie aktualnej Ustawy administrator, który chce zbierać dane osobowe musi przedstawić następujące informacje:

- Nazwę administratora i jego dane kontaktowe;

- Cele przetwarzania danych;

- Informacje o odbiorcach danych osobowych (kategoriach odbiorców);

- Informacje o prawach podmiotu, od którego zbiera się dane (prawo dostępu, poprawiania danych, dobrowolności lub obowiązku podania danych, wraz ze wskazaniem przepisu prawa, który narzuca obowiązek podania danych).

-Źródło pozyskania danych oraz prawo wniesienia sprzeciwu lub żądania zaprzestania przetwarzania danych (w przypadku zbierania danych nie bezpośrednio od podmiotu danych).

RODO rozbudowuje powyższy katalog i dodaje do niego m.in.:
- Dane kontaktowe Inspektora Ochrony Danych (jeżeli został powołany)

- Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz  informacje o zasadach podejmowania tych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

- Informacji o zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. W przypadku przekazania do państwa nie gwarantującego odpowiedniego poziomu ochrony należy podać informację o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

- Uzasadnione interesy administratora, tj. interesy wynikające np. z powiązań pomiędzy administratorem, a podmiotem danych, który jest jego klientem, jak np. marketing bezpośredni;

- Uzasadnione interesy osoby trzeciej, tj. innej niż sam administrator, osoba, której dane dotyczą, podmiot przetwarzający dane w imieniu administratora (np. dostawca usługi) lub osoba upoważniona do dostępu do danych z ramienia administratora lub podmiotu przetwarzającego  (jeżeli jest to podstawa do przetwarzania danych);

- Okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu

- Prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych

- Prawie wniesienia skargi do organu nadzorczego (Obecnie do GIODO)

Komunikowanie zmian i przekonywanie
Jak wspomniałam na wstępie, rozszerzony obowiązek informacyjny stanowi wyzwanie dla działów komunikacji i marketingu, bo konsumenci, mający szerszą wiedzę o wykorzystywaniu ich danych osobowych, mogą być niechętni wyrażaniu zgody na ich przetwarzanie. W najtrudniejszej sytuacji mogą znaleźć się firmy, których działalność opiera się w znacznym stopniu na marketing automation oraz big data – ograniczeniu ulegną bowiem możliwości zautomatyzowanego profilowania klientów. Będzie ono dopuszczalne tylko, gdy jest niezbędne do zawarcia lub wykonania umowy, pozwala na to przepis prawa lub osoba wyraziła na to wyraźną zgodę. Administrator danych osobowych będzie musiał dodatkowo poinformować osobę, której dane są przetwarzane o fakcie profilowania oraz konsekwencjach, czyli np. że informacja o zdolności kredytowej oparta będzie o scoringi przyznawane w poszczególnych kategoriach (zarobki, stan rodziny, itp.), a cały proces będzie miał charakter automatyczny (zdecyduje system a nie człowiek).

Działy marketingu i komunikacji będą musiały zatem włożyć więcej wysiłku w przekonywanie do udzielenia zgody na przetwarzanie danych osobowych, a także uzasadnianie po co właściwie to robią. Bardzo prawdopodobne jest, że wielu konsumentów zażąda od firm usunięcia swoich danych osobowych oraz wykorzysta zmiany przepisów do zerwania umów. Firmy czeka więc wiele pracy nie tylko nad procedurami wewnętrznymi, ale także umiejętną komunikacją z klientami. Pozostały czas warto wykorzystać na profesjonalny przegląd procesów zbierania i przetwarzania danych osobowych oraz dopasowanie przedsiębiorstwa do nowych przepisów.