Internetowi giganci jak Facebook, Google czy Twitter nie będą już mogli dowolnie obracać danymi swoich klientów i profilować ich bez ich wiedzy i zgody. Nowa unijna dyrektywa znacznie ogranicza samowolę wielkich firm. Te przepisy oznaczają prawdziwy przewrót kopernikański w kwestii ochrony prywatności użytkowników sieci. Czy amerykańskie przedsiębiorstwa dostosują się do unijnego prawa? Pomóc mają w tym kary liczone w setkach milionów euro.
Chodzi o regulacje dotyczące ochrony danych osobowych, czyli General Data Protection Regulation (GDPR). Przepisy zostały już zaakceptowane przez Parlament Europejski i zaczną obowiązywać od połowy 2018 r. Przyjęcie nowych regulacji kończy ponad 4- letnią pracę parlamentu nad nowymi przepisami dotyczącymi ochrony danych osobowych. Reforma zastąpi dotychczasową dyrektywę dot. ochrony prywatności z 1995 roku, która nie przystawała do współczesnych realiów. Nowe prawo ma dawać obywatelom większa kontrolę nad informacjami pozostawianymi na ich smartfonach, w mediach społecznościowych i bankowości elektronicznej. Wzmacnia prawa konsumentów i osłabia pozycję internetowych gigantów, takich jak Google, Facebook i Twitter. Wielu ekspertów zapowiada rewolucję w ochronie danych osobowych obywateli UE.
Zgoda na profilowanie
Regulacje wskazują m.in. na warunki wyrażenia zgody na przetwarzanie naszych danych. Administrator powinien zadbać o to, by użytkownicy wyrazili zgodę na każdy z celów przetwarzania danych osobno. Nie wystarczy już jedna zgoda na dużym poziomie ogólności. Koniec ze sprzedawaniem naszych danych firmom marketingowym i profilowaniu bez naszej wiedzy. Wszystko teraz zależeć będzie od celu, w jakim dane będą przetwarzane. Celem może być świadczenie usługi, ale osobną kwestią jest profilowanie w celu dopasowania oferty reklamowej do konkretnych oczekiwań użytkownika. Na każdy z tych celów użytkownik powinien wyrazić osobną zgodę. Jeżeli ten cel miałby się zmienić, to administrator danych powinien zadbać o dodatkową zgodę.
- Ważną zmianą, w odniesieniu do obecnych przepisów, będzie obowiązek zgłoszenia naruszenia ochrony danych osobowych przez wszystkich administratorów do organu nadzorczego (w naszym przypadku GIODO) oraz przez podmioty przetwarzające do administratorów danych. Dodatkowo, o takiej sytuacji administrator danych będzie miał obowiązek powiadomić osoby, których dane dotyczą. W Polsce obowiązkiem takim objęte były dotąd wyłącznie podmioty świadczące usługi telekomunikacyjne – tłumaczy Jolanta Gasiewicz, inspektor ds. bezpieczeństwa informacji PKO Finat.
Ten wymóg może się nie spodobać dużym firmom, także polskim, które niechętnie dzielą się informacją o wycieku danych i kompromitacji swoich systemów. Panujący u nas model zakłada raczej ukrywanie wszelkich informacji o ataku na systemy przedsiębiorstwa. To błąd, bo jak pokazują przykłady z innych krajów – rzetelne i szybkie informowanie o zagrożeniu jest nagradzane przez klientów, a także przez rynki. Teraz takie zachowanie zostanie wymuszone przez unijne przepisy. Firmy będą musiały powiadomić osobiście każdego klienta, którego dane mogły wyciec. Nie wystarczy ogólny komunikat zawieszony na dole strony internetowej przedsiębiorstwa.
Polski język - polskie prawo
To nie koniec poważnych zmian. Rozporządzenie wprowadza również definicje szczególnych kategorii danych osobowych, takich jak „dane biometryczne”, „dane genetyczne” oraz „dane dotyczące zdrowia”. Do tej pory te kwestie nie były uregulowane. Jednak jedną z najważniejszych nowości - budzącą największe emocje - jest możliwość nakładania kar pieniężnych przez organ nadzorczy (GIODO) za nieprzestrzeganie przepisów o ochronie danych. Mówimy o naprawdę niebagatelnych kwotach. Rozporządzenie opisuje warunki nakładania kar w wysokości od 10 do 20 milionów euro lub od dwóch do czterech proc. całkowitego rocznego światowego obrotu przedsiębiorstwa, które nie zastosuje się do nowych wytycznych. Nie chodzi o przychody firmy w danym kraju - tylko o całą grupę kapitałową. Mówimy więc o karach liczonych w setkach milionów euro. Takie straty odczują nawet internetowi giganci.
Trudno będzie tworzyć portal społecznościowy w języku polskim, profilując użytkowników na terytorium Unii i jednocześnie udowodnić, że nie jest to usługa skierowana do Polaków. To pierwszy krok, żeby ograniczyć totalną swobodę internetowych korporacji
Jak jednak zmusić ich do przestrzegania unijnego prawa? Do tej pory dość sprytnie unikali respektowania przepisów państw, w których świadczyli usługi. Obecnie do przestrzegania przepisów polskiej ustawy o ochronie danych osobowych zmuszone są firmy, które mają tu swoją siedzibę lub znajdują się tu ich serwery. Facebook czy Google w oczywisty sposób tego unikały. Od 2018 r. wszystko się jednak zmieni – i na tym w głównej mierze polega zapowiadana rewolucja.
- Doprecyzowany został terytorialny zakres stosowania rozporządzenia - poprzez określenie tego, co oznacza świadczenie usług na terenie Unii Europejskiej. Do tej pory było to trudne. Google, Facebook - działając w oparciu o przepisy amerykańskie - nie były zobligowane do przestrzegania równie restrykcyjnych obowiązków, jakie nałożone zostały np. na polskich administratorów danych – dodaje Jolanta Gasiewicz. - Od 2018 r. potwierdzeniem faktu, że administrator planuje oferować w Unii towary lub usługi mogą być takie czynniki, jak posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towaru lub usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii. To katalog otwarty, dający sporo możliwości interpretacyjnych. Trudno będzie tworzyć portal społecznościowy w języku polskim, profilując użytkowników na terytorium Unii i jednocześnie udowodnić, że nie jest to usługa skierowana do Polaków. Na efekty musimy jeszcze poczekać, ale to pierwszy krok, żeby przynajmniej spróbować ograniczyć totalną swobodę dużych internetowych korporacji - dodaje.
Aby te przepisy miały w ogóle sens, niezbędne jest powołanie armii urzędników zdolnych kontrolować ich przestrzegania. Te kompetencje posiądzie Generalny Inspektor Ochrony Danych Osobowych, którego rola ogromnie wzrośnie, a pod jego komendą powołanych zostanie tysiące nowych pracowników - zakładając oczywiście, że Polska właściwie zaimplementuje unijne przepisy.
Czytaj też: Parlament Europejski zmusza firmy internetowe do ochrony danych klientów