RODO w centrum handlowym – kilka wniosków i wskazówek
2018-11-26
Od wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO” lub „Rozporządzenie”) upłynęło już kilka miesięcy. Mimo to, kwestia ochrony danych osobowych nadal budzi wiele – mniej lub bardziej – uzasadnionych wątpliwości przedsiębiorców, próbujących zmierzyć się z nowymi wymogami.
Podstawy – czyli kto jest kim
Kiedy wszystkich ogarnęła RODO-gorączka, niektórzy przedsiębiorcy zaczęli masowo zawierać umowy o powierzenie przetwarzania danych osobowych. Praktykę taką stosowali także niektórzy najemcy, twierdząc że są administratorami danych osobowych swoich pracowników, w związku z czym wynajmujący, któremu te dane są udostępniane w trakcie trwania umowy najmu, jest ich procesorem.
Na pytanie kto jest kim odpowiadają nam same przepisy Rozporządzenia. Podmiot, który decyduje o celach i środkach przetwarzania danych jest bowiem ich administratorem (art. 4 pkt 7) RODO). Jest to jedyne i zarazem decydujące kryterium.
Odnosząc powyższe uwagi do szerszego katalogu umów (a w zasadzie do zawierania jakichkolwiek umów), obie strony są administratorem danych osobowych osób kontaktowych, reprezentantów, pracowników drugiej strony, które otrzymają w związku z realizacją umowy. Druga strona oczywiście jest administratorem danych swoich pracowników, ale w związku z ich zatrudnieniem. Nie ma natomiast żadnego wpływu na przetwarzanie danych swoich pracowników (adresów mailowych, numerów telefonu) przez kontrahenta.
Sięgając znowu do przepisów, RODO ma zastosowanie do operacji przetwarzania dokonywanych na zbiorach danych. Punktem odniesienia jest zatem właśnie zbiór danych (którym będą np. kontakty w skrzynce mailowej kontrahenta) a nie abstrakcyjna kategoria osób (pracownicy firmy X). Pamiętając o tej zasadzie, jasne będzie, że firma X nie ma wpływu na to, z jakiego oprogramowania korzysta kontrahent kontaktując się z pracownikami firmy X, w związku z czym w tym zakresie nie może być administratorem tych danych (nie decyduje o środkach przetwarzania). Jednocześnie obie strony będą przetwarzały dane, które otrzymają w takim samym celu (w celu wykonania umowy), ale każda z nich będzie w tym zakresie realizować swoje własne prawa i obowiązki.
Biorąc pod uwagę powyższe (jakkolwiek w praktyce wskazane zasady należy odnieść do konkretnego stanu faktycznego), co do zasady relacja wynajmujący – najemca, jest relacją administrator – administrator, i nie wymaga podpisywania umowy o powierzenie przetwarzania.
Umowy o powierzenie
Z kim w takim razie należy zawrzeć taką umowę? Zgodnie z RODO, podmiotem przetwarzającym jest podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8) RODO). Innymi słowy, procesorem jest podmiot, który dokonuje operacji przetwarzania na zbiorze danych należącym do administratora.
W przypadku nieruchomości komercyjnych, usługami które będą wymagały zawarcia dodatkowo umowy o powierzenie przetwarzania będą usługi ochroniarskie, czy też usługi serwisu technicznego (np. w związku z obsługą kart dostępu, helpdesku dla najemców). Poza tym do typowych usług, z których korzystać mogą przedsiębiorcy niezależnie od profilu prowadzonej działalności, należą: obsługa IT, obsługa kadrowo-płacowa, archiwizacja i niszczenie dokumentów. W przypadku prowadzenia akcji marketingowych, organizowania eventów, podczas których zbierane są dane osobowe uczestników, umowę o powierzenie przetwarzania danych należy zawrzeć także z agencją marketingową zajmującą się obsługą wydarzenia. Będzie tak również w przypadku prowadzenia przez agencję profilu przedsiębiorcy na portalu społecznościowym.
Nie chodzi zatem o podpisywanie umów o powierzenie przetwarzania z każdym kontrahentem, ale tylko wówczas, gdy przedmiot usługi powoduje dokonywanie przez kontrahenta operacji przetwarzania na danych osobowych administratora. Stosowanie odmiennej praktyki – poza przypadkami niewiedzy, czasami wynika z przyczyn pragmatycznych i chęci wyeliminowania konieczności wykonywania obowiązku informacyjnego – jednego z najbardziej uciążliwych obowiązków nałożonych przez przepisy Rozporządzenia (procesor nie musi wykonywać obowiązku informacyjnego, jest to obowiązek administratora danych).
Niemniej jednak, o tym czy dany podmiot jest administratorem czy procesorem decyduje stan faktyczny, a nie przyjęta przez ten podmiot „koncepcja” wdrożenia RODO. Z tego względu doszukiwanie się relacji powierzenia przetwarzania danych w stosunku do praktycznie każdego kontrahenta jest błędne i nie obroni się na w przypadku kontroli.
Obowiązek informacyjny
Jak zatem poradzić sobie z koniecznością przedstawiania klauzuli informacyjnej osobom, których dane gromadzimy? Kanałów pozyskiwania danych osobowych przez przedsiębiorcę może być wiele. Wdrażając RODO powinniśmy zastanowić się nad tym w jaki sposób zapewnić, aby osoba, której dane będziemy przetwarzać otrzymała wszystkie wymagane informacje. Bardzo istotne jest tutaj rozróżnienie na pozyskiwanie informacji bezpośrednio od tej osoby (art. 13 RODO) lub w sposób pośredni (art. 14 RODO).
W pierwszym przypadku, obowiązek informacyjny ma być spełniony jednocześnie z pozyskiwaniem danych. To oznacza, że powinien on zostać niejako „wbudowany” w sam proces gromadzenia danych. Może to być zatem klauzula umieszczona na formularzu, poprzez który zbieramy dane (także w formie elektronicznej) lub stopce maila. W zależności od okoliczności (np. organizacja eventu) dopuszczalne jest podanie pełnej informacji o przetwarzaniu danych osobowych w regulaminie akcji.
Jeżeli otrzymujemy dane nie od osoby, której dane dotyczą, zakres wymaganych informacji jest nieco inny. Niemniej jednak wydłuża się również termin na wykonanie obowiązku informacyjnego (np. jeżeli dane będą używane do kontaktu, klauzula informacyjna powinna być przekazana najpóźniej przy pierwszym kontakcie).
Sposobem na rozwiązanie problemów z obowiązkiem informacyjnym w stosunku do pracowników naszego kontrahenta jest dodanie do wiążącej strony umowy postanowień o wykonaniu przez drugą stronę obowiązku informacyjnego w naszym imieniu (lub po prostu przekazaniu pracownikom treści klauzuli informacyjnej). Sposób sformułowania jest tutaj dowolny (praktykowane jest załączenie przygotowanego obowiązku informacyjnego, jak i opisowe ujęcie zasad przetwarzania danych w samej umowie), niemniej jednak wprowadzenie takich postanowień spowoduje, że obowiązek informacyjny zostanie wykonany lub administrator będzie mógł co najmniej powołać się na wyłączenie z art. 14 ust. 5 lit. a) RODO (osoba, której dane są przetwarzane, dysponuje już wymaganymi informacjami).
O ile w pierwszych miesiącach obowiązywania przepisów, wspomniana praktyka czasami spotykała się z brakiem akceptacji przez drugą stronę (nie wszyscy byli już przygotowani na RODO), o tyle aktualnie coraz częściej jest ona stosowana, co może pozwolić obu stronom na wywiązanie się w prosty sposób z obowiązku informacyjnego w stosunku do omawianej kategorii osób.
Inspektor ochrony danych
Nadal często stawianymi przez przedsiębiorców pytaniami są te dotyczące konieczności powołania inspektora ochrony danych. Wątpliwości rozwiewają przepisy Rozporządzenia, które poza tym, że bardzo często mają charakter ogólny, w tym przypadku posługują się wieloma pojęciami niedookreślonymi. O ile wykluczenie przedsiębiorcy z kręgu podmiotów publicznych oraz tych, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących (chociaż i w tym przypadku pojawiają się pojęcia nieostre), jest raczej proste, o tyle już odpowiedź na pytanie czy zastosowanie może mieć do niego art. 37 ust. 1 lit. b) RODO może nie być taka oczywista.
Zgodnie z tym przepisem, powołanie inspektora ochrony danych jest obligatoryjne dla podmiotów, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
Z pomocą w ocenie, czy ww. operacje przetwarzania powodują konieczność powołania inspektora ochrony danych przychodzą wytyczne Grupy Roboczej art. 29 ds. Ochrony danych (dalej „Grupa Robocza”) dotyczące inspektorów ochrony danych (DPO) z dnia 13 grudnia 2016 r. (zmienione i przyjęte w dniu 5 kwietnia 2017 r.). Jak z nich wynika, kluczowe jest pojęcie „głównej działalności”. Jednocześnie, wytyczne wprost przywołują przykład firmy ochroniarskiej, która prowadzi monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jest to działalność immanentnie związana z główną działalnością firmy ochroniarskiej, którą jest ochrona osób i mienia. Powoduje to zatem, że dla podmiotów o takim profilu działalności, powołanie inspektora ochrony danych jest obligatoryjne.
Z drugiej strony, powyższe uwagi prowadzą do konkluzji, że dla spółki będącej właścicielem nieruchomości, stosowanie monitoringu wizyjnego jest czynnością jedynie pomocniczą, wobec czego powołanie inspektora ochrony danych z tego względu nie będzie przez nią wymagane.
Wdrożenie to dopiero początek
Nawet jeżeli już rozstrzygniemy sobie ww. problemy, przygotujemy wymaganą dokumentację, zawrzemy umowy o powierzenie z kontrahentami będącymi procesorami, wprowadzimy sobie odpowiednie procedury oraz środki techniczne i organizacyjne pozwalające na zapewnienie zgodności przetwarzania danych osobowych z RODO, nie oznacza to, że temat ochrony danych osobowych mamy zamknięty.
Administrator danych powinien okresowo badać procesy przetwarzania danych osobowych oraz stosowane zabezpieczenia. Poza sprawdzeniem ich zgodności z przyjętymi procedurami i standardami, administrator powinien – biorąc pod uwagę koszty i zmieniające się uwarunkowania – wprowadzać nowe rozwiązania (zwłaszcza zabezpieczenia techniczne), pozwalające na jeszcze skuteczniejszą ochronę gromadzonych danych.
Wskazane wyżej działania mają na celu ciągłe szlifowanie i udoskonalanie operacji przetwarzania danych osobowych, które już funkcjonują w organizacji. Może jednak zdarzyć się także tak, że administrator danych osobowych podejmie decyzję o wprowadzeniu nowych, np. zorganizuje konkurs dla klientów centrum handlowego, wprowadzi aplikację mobilną pozwalającą na korzystanie ze zniżek i ofert specjalnych w oparciu o historię zakupową klienta.
W takiej sytuacji RODO wymaga stosowania zasad privacy by design i privacy by default. Pierwsza z nich nakazuje uwzględnienie ochrony danych już na etapie projektowania danej operacji przetwarzania, druga zaś wskazuje, że domyślnym rozwiązaniem przyjętym w danym przypadku powinna być ochrona danych. Innymi słowy, decydując się na wprowadzenie jakichkolwiek nowych procesów prowadzących do przetwarzania danych osobowych, administrator danych jest zobowiązany zastanowić się na tym jakich danych potrzebuje, w jakim celu i przez jaki czas będzie je przetwarzał, a także powinien od razu „wbudować” mechanizmy pozwalające na ochronę praw i wolności osób, których dane będą przetwarzane (poprzez umożliwienie im kontaktu i sprawne wykonywanie ich żądań, jak również zastosowanie odpowiednich zabezpieczeń technicznych).
Ocena skutków
Warto także pamiętać o tym, że niektóre operacje przetwarzania mogą powodować konieczność przygotowania oceny skutków dla ochrony danych. Administrator danych osobowych jest zobowiązany do jej przeprowadza w sytuacji, gdy planowane operacje przetwarzania – z uwagi na zakres, kontekst, cele lub użyte technologie – mogą powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą (art. 35 ust. 1 RODO).
Zatem tutaj także, podobnie jak w przypadku przesłanek obligatoryjnego powołania inspektora ochrony danych, przepisy posługują się pojęciami niedookreślonymi oraz formułują (podobny) katalog przykładowych kryteriów, które mogą świadczyć o tym, że przeprowadzenie oceny skutków będzie obligatoryjne. Z punktu widzenia właściciela centrum handlowego, należy podkreślić, że należą do niego operacje polegające na systematycznej, kompleksowej ocenie czynników osobowych, która opierającej się na zautomatyzowanym podejmowaniu decyzji, wywołujących skutki prawne lub w inny, znaczący sposób wpływających na osobę fizyczną oraz czynności polegające na systematycznym monitorowaniu na dużą skalę miejsc dostępnych publicznie.
Także w tym przypadku, oceniając czy dany rodzaj przetwarzania danych osobowych powoduje wysokie ryzyko dla praw i wolności osób fizycznych, można posiłkować się wytycznymi Grupy Roboczej (dotyczącymi oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 przyjęte w dniu 4 kwietnia 2017 r.). Można także zajrzeć do wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych z dnia 17 sierpnia 2018 r., opublikowanego przez Prezesa Urzędu Ochrony Danych Osobowych.
Wykaz opublikowany przez UODO nie odpowie nam na wszystkie pytania (być może nie znajdziemy na niej wprost takich operacji, jakie chcemy wprowadzić w naszej organizacji), niemniej jednak może pomóc w podjęciu decyzji co do konieczności przygotowania oceny skutków. Do operacji przetwarzania danych mogących mieć znaczenie w przypadku nieruchomości komercyjnych będzie należeć prowadzenie działań marketingowych opartych na profilowaniu użytkowników, monitorowaniu ich preferencji zakupowych lub śledzeniu ich lokalizacji (np. aplikacje mobilne dla klientów, programy lojalnościowe) oraz korzystanie ze znaczników RFID (np. karty i systemy parkingowe). Co istotne, wprowadzenie zwykłego monitoringu wizyjnego wykorzystywanego tylko w przypadku potrzeby analizy incydentów naruszenia prawa nie wymaga przygotowania oceny skutków.