Udostępnianie danych osobowych bez zgody
W 2018 roku, kiedy w życie wchodziło RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) – nasze skrzynki mailowe zapełniały się długimi klauzulami.
Wejście w życie RODO zmieniło nasze podejście do danych osobowych
Wtedy też przypomnieliśmy sobie o firmach, które przetwarzają nasze dane, ponieważ wypełniały wobec nas obowiązki informacyjne, by sprostać wymaganiom nowych przepisów o ochronie danych osobowych.
Często zastanawialiśmy się „skąd mają nasze dane, kiedy wyraziliśmy zgodę, czy to już naruszenie ochrony danych osobowych”?
Na te same pytania chwilę wcześniej musiały odpowiedzieć również firmy, które przetwarzały w zbiorze dane osobowe wielu osób w myśl zasady: "kiedyś mogą się przydać".
Czy były w śród nich takie, które nie miały podstawy prawnej do przetwarzania naszych danych a mimo to, nie wykonały usunięcia danych? Całkiem możliwe.
Jedno jest pewne, staliśmy się bardziej wymagający wobec różnych instytucji podczas podawania naszych danych osobowych. Nawet stanowczo odmawialiśmy, wskazując, że nie wyrażamy na przetwarzanie zgody.
Czy można legalnie przetwarzać dane osobowe bez zgody?
Teoretycznie tak, ponieważ warto pamiętać, że zgoda to nie jedyna podstawa prawna przetwarzania danych.
Zgodnie z artykułem 6 RODO nasze dane mogą być przetwarzane również na podstawie np. realizacji umowy np. z dostawcą Internetu, na podstawie obowiązku prawnego ciążącego na administratorze (np. pracodawca przetwarza dane zgodnie z zakresem wskazanym w Kodeksie Pracy), prawnie uzasadnionego interesu administratora (np. kiedy w obronie przed roszczeniami zatrzymuje korespondencję prowadzoną z nami nawet po wygaśnięciu umowy), ochrony żywotnych interesów (ratowanie życia i zdrowia), realizacji interesów publicznych.
Nie tylko RODO, ale również Ustawa o ochronie danych osobowych zobowiązuje administratora danych, a także podmiot przetwarzający w imieniu administratora (np. biuro rachunkowe, które obsługuje firmę) do świadczenia usług z jednoczesnym zapewnieniem bezpieczeństwa naszych danych osobowych. Osoba, której dane dotyczą może skorzystać z prawa dostępu, sprostowania danych, ich usunięcia, ograniczenia przetwarzania, a także przeniesienia danych i sprzeciwu wobec przetwarzania. Może wycofać wcześniej udzieloną zgodę na przetwarzanie danych, poprosić o kopię danych.
Tyle w teorii.
Co jednak w sytuacji, kiedy kolejny raz otrzymujesz maila z ofertą od firmy, której nie kojarzysz, odbierasz kilka telefonów dziennie z próbami sprzedaży usług, produktów albo co gorsza dzwoni bot, który przedstawia się fikcyjnymi danymi, lub znajomy przesyła screeny z rozmowy z Tobą na komunikatorze innym osobom?
Udostępnienie danych osobowych również wymaga podstawy. Najczęściej właśnie zgody lub przepisu, który np. upoważnia odpowiedni organ (policję, sądy, prokuraturę) do udostępnienia mu danych.
Sprawdź nasz artykuł: Wyciek danych osobowych – jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych
Czy RODO chroni nasze dane osobowe przed udostępnieniem?
Samo RODO oczywiście nie, ale świadomość praw jakie nam przysługują i konsekwencji jakie może ponieść podmiot nielegalnie przetwarzający dane może nam pomóc. Prawie każdy słyszał o milionowych karach, nakładanych na firmy, które nie poradziły sobie z wdrożeniem nowych przepisów. Mało kto natomiast wie, że za bezprawne przetwarzanie danych osobowych ustawa przewiduje odpowiedzialność karną łącznie z pozbawieniem wolności.
W sytuacji, kiedy ujawnione zostają dane określające przynależność wyznaniową, dane o stanie zdrowia, wskazujące na pochodzenie rasowe a nawet dane dotyczące orientacji seksualnej, sprawca może podlegać karze ograniczenia wolności lub pozbawienia wolności do lat 3 (art 107 Ustawy o ochronie danych osobowych z dn. 10 maja 2018r.).
Przygotuj się na NIS 2! Wdrożenie ISO 27001 z LexDigital
Straszenie więzieniem w przypadku nachalnego telemarketingu raczej nie pomoże. Skupmy się zatem na znajomości naszych praw i możliwości skorzystania z nich.
Czy numer telefonu to dane osobowe? Ważne stanowiska UODO i sądu
W jaki sposób możemy zgłosić skargę jeżeli ktoś udostępnia nasze dane bez zgody?
W sytuacji, kiedy naszymi danymi bezprawnie posługuje się przedsiębiorca, wystarczy na adres mailowy, adres siedziby lub adres wskazany jako korespondencyjny wysłać zapytanie o zakres przetwarzanych danych, podstawy prawne przetwarzania oraz prośbę dotyczącą usunięcia danych. Samo zadanie pytania nie wymaga szczególnej formy ani wniosku. Na odpowiedź nie powinniśmy czekać dłużej niż 30 dni (tylko w uzasadnionych przypadkach czas ten może się wydłużyć, natomiast musimy zostać o tym poinformowani).
W przypadku braku odpowiedzi, bądź odpowiedzi z którą się nie zgadzamy, możemy bezpłatnie listownie lub elektronicznie złożyć zawiadomienie w postaci skargi do Prezesa Urzędu Ochrony Danych Osobowych. Wszczęcie postępowania administracyjnego może zakończyć się nałożeniem kary administracyjnej. Jeżeli doszło do incydentu, który naraził nas na straty finansowe, wizerunkowe, oprócz postępowania administracyjnego, możemy dochodzić odszkodowania czy zadośćuczynienia na drodze postępowania cywilnego. Postępowanie karne, będzie najrzadziej stosowane, ponieważ zgodnie z zasadą, która mówi, że nie można dwa razy karać za to samo - w przypadku najpoważniejszych naruszeń, kończą się zazwyczaj nałożeniem solidnej kary administracyjnej. Prowadzenie dodatkowo postępowania karnego mogłoby prowadzić do nałożenia grzywny czyli... kolejnej kary finansowej za to samo.
Co jednak z sytuacjami, gdzie osoba prywatna jest w posiadaniu danych ujawniających o nas więcej niż byśmy sobie tego życzyli i np. bez naszej zgody się nimi posługuje? Ich przetwarzanie nie odbywa się na żadnej z powyżej wymienionych podstaw przetwarzania danych, można powiedzieć, że przetwarza je na użytek prywatny, ale to nie daje podstaw osobom nieupoważnionym do wykorzystywania informacji o nas.
Komu można udostępnić nagranie z monitoringu? Dowiesz się z naszego artykułu
Bezprawne przetwarzanie danych osobowych a kara ograniczenia wolności
Warto w takiej sytuacji zbierać dowody, ponieważ zanim wytoczymy postępowanie karne przeciwko konkretnej osobie, trzeba wyczerpać pozostałe możliwości. Przede wszystkim należy wezwać osobę nieuprawnioną do zaprzestania udostępniania np. naszego wizerunku, wiadomości o nas czy innych danych, które mogą narazić nas na utratę dobrego imienia a także inne straty. W myśl ustawy o ochronie danych osobowych : "kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch". Drugim aktem prawnym, który przychodzi nam z pomocą jest kodeks karny a dokładnie art. 212: §1. "Kto pomawia inną osobę, grupę osób, instytucję, osobę prawną lub jednostkę organizacyjną niemającą osobowości prawnej o takie postępowanie lub właściwości, które mogą poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego dla danego stanowiska, zawodu lub rodzaju działalności, podlega grzywnie albo karze ograniczenia wolności".
Osoby publiczne mają prawo do prywatności
Obecnie głośnym, medialnym tematem jest sprawa związana z ujawnieniem nagrań rozmów Katarzyny Cichopek i Macieja Kurzajewskiego osobom nieupoważnionym, w tym ich pracodawcy, "prawie" byłemu już mężowi, innym osobom z branży. Czy nagrania mogą stanowić dane osobowe? Oczywiście. Dodatkowo ich treść może narazić osoby na nie tylko stratę dobrego imienia ale również realne straty, np. w postaci utraty pracy. Takie straty można realnie wycenić, domagając się zarówno zadośćuczynienia jak i odszkodowania.
W sytuacji, kiedy sprawca jest nieznany, o sprawie należy jak najszybciej powiadomić policję.
Nasze prawdo do prywatności gwarantowane jest już w samej Konstytucji, zgodnie z którą: "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". To znacznie szersze spojrzenie na temat udostępnia danych. Nie chodzi tylko o dane osobowe ale też o informacje o nas, w tym te nieprawdziwe, które mogą powodować dla nas równie duże ryzyko i straty jak dla przedsiębiorcy w wyniku wycieku bazy danych osobowych.
Co grozi za publikowanie zdjęć bez zgody? Dowiedz się więcej
Bądź odpowiedzialny za to co udostępniasz
W dobie kiedy w ciągu kilku sekund można zrobić komuś zrobić zdjęcie, a następnie wrzucić je do sieci, dzielenie się prywatnymi informacjami nie tylko na swój temat stało się powszechne i bezmyślne. Takim bezmyślnym zachowaniem było publikowanie zdjęć na portalach społecznościowych pokazujących wspólne zdjęcia z uchodźcami z Ukrainy. Czy pozowanie do takiego zdjęcia można uznać za zgodę? Nawet jeśli tak, to po prostu ta osoba mogła wstydzić się nam odmówić, a konsekwencje takiego udostępnienia mogą powodować dla niej zagrożenie nawet długo po zakończeniu wojny. Nie chodzi tu o poglądy polityczne tylko o bezpieczeństwo fizyczne tych osób.
Zanim będziemy straszyć kogoś kolejną skargą składaną do Urzędu Ochrony Danych Osobowych, wykonajmy własny rachunek sumienia w postaci kontroli przestrzegania przepisów przez nas samych.
Administrator danych musi być świadomy, że jeśli nie zapewni odpowiednich warunków technicznych i organizacyjnych przetwarzania danych, przez co dojdzie do incydentu np. poprzez wyciek danych ujawniających przekonania religijne, poglądy polityczne, pochodzenie rasowe, stan zdrowia, przynależność wyznaniową, przynależność do związków zawodowych, danych biometrycznych przetwarzanych np. w związku pobranymi odciskami palca (tzw. dane szczególnej kategorii, nazywane też danymi wrażliwymi), to grodzi mu nie tylko kara finansowa ale zapewne szersze konsekwencje w postaci utraty zaufania, dobrego imienia a często końca biznesu spowodowanego przez nieprzychylny PR.
Z podobnymi konsekwencjami może liczyć się podmiot przetwarzający dane osobowe z polecenia Administratora danych (np. biuro księgowe), jeżeli do naruszenia danych osobowych doszło podczas świadczenia usług bez zapewnienia adekwatnych zabezpieczeń.
Co może grozić osobom prywatnym? Oprócz najgorszego czyli pozbawienia wolności, grozi inne ryzyko odpowiedzialności karnej, jak na przykład kara grzywny a także odpowiedzialność cywilna za naruszenie dóbr osobistych w postaci konieczności zapłaty zadośćuczynienia, odszkodowania, umieszczenia sprostowania, przeprosin.
Cyberstalking i stalking — kiedy jest naruszana nasza prywatność?
Jak co zwracać uwagę jeśli chodzi o naszą prywatność 2022 roku?
Należy zwracać uwagę na to komu i za jaką cenę udostępniamy swoje dane.
Często usługi reklamowane jako bezpłatne, tak naprawdę opierają się na płatności naszymi danymi i zgodą na przesyłanie informacji handlowych, często wyrażoną dla kilku różnych firm. Bez dokładnego czytania klauzul - tracimy kontrolę nad tym czy dany przedsiębiorca zobowiązany do ochrony danych osobowych udostępnia je na podstawie naszej zgody, innej podstawy prawnej czy całkowicie bezprawnie.
Niebawem w życie wejdzie ustawa implementująca stosowanie tzw. Dyrektywy Omnibus.
W rozumieniu ustawy - przedsiębiorcy będą zobowiązani stosować takie same zasady, jak w przypadku usług, produktów, gdzie zamiast danymi, konsument płaci ustaloną cenę. Czyli np. umożliwić nam prawo do odstąpienia od umowy w ciągu 14 dni w przypadku umowy zawieranej na odległość. Pozwoli nam to może dobitniej zrozumieć jak cenną walutą są dane osobowe.
Nie zwalnia nas to jednak z czujności. Pobierając np. darmową aplikację do upiększania zdjęć, może okazać się, że po akceptacji regulaminu, polityki prywatności - wyraziliśmy zgodę na przetwarzanie naszych danych dotyczących zdrowia, ponieważ aplikacja ma dostęp do naszych zdjęć, a przechowujemy w galerii np. zdjęcie recepty.
Często w celu przesłania rabatu na zakupy w sklepie internetowym , jesteśmy skłonni wypełnić ankiety dotyczące naszych preferencji zakupowych, zarobków, wieku, płci, miejsca zamieszkania - to całkiem spory zakres jak na parę procent zniżki prawda?
Zanim wrzucisz czyjeś zdjęcie w social media, np. kolejne zdjęcie swojego lub nieswojego dziecka (dziakowie!), zastanów się jak ta informacja może zostać wykorzystana przeciwko Tobie, dziecku, znajomemu. Dziś za pomocą samego zdjęcia i wyszukiwarki osoba postronna może odnaleźć inne zdjęcia tej osoby w sieci, jej konta, informacje o niej.
Często "przy okazji" możesz udostępnić całkiem szeroki zakres danych osobowych na temat kogoś, kto nie tylko sobie tego nie życzy, ale też nie jest kompletnie świadomy, tego jakie konsekwencje mogą go przez to spotkać.
Bądź wrażliwy na na punkcie danych - nie tylko na punkcie danych wrażliwych.
Sprawdź także:
Aktualna klauzula RODO do CV 2024. Jak poprawnie sformułować zgodę?