Startup okiem prawnika: nie takie RODO straszne

Dane osobowe nazywane są ropą XXI wieku. Z tego powodu coraz więcej startupów opiera się na świadczeniu usług Big Data oraz analizie danych 

behawioralnych dostarczanych przez użytkowników. Najważniejszym aktem prawnym regulującym kwestię ochrony danych osobowych jest RODO. Rozporządzenie to dotyczy przedsiębiorców z UE oraz z państw trzecich, którzy oferują swoje usługi w Europie. RODO zapowiadane było jako regulacja korzystna dla startupów, przede wszystkim z uwagi na fakt, że nie narzuca ściśle określonych wymogów (co w założeniu miało sprzyjać rozwojowi innowacyjności). W zamian za to, biorąc od uwagę niejednorodny charakter usług sieciowych i procesów przetwarzania danych, położono nacisk na zasadę rozliczalności, zakładającą, że przedsiębiorca będzie w stanie samodzielnie udowodnić przestrzeganie przepisów (w razie kontroli lub wystąpienia z takim żądaniem przez podmiot danych osobowych). 

Na wstępie konieczne jest zaznaczenie dwóch kwestii. Po pierwsze, zgodnie z przepisami dane oso- bowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Ta definicja jest niezwykle szeroka, więc w przypadku pojawienia się jakichkolwiek wątpliwości czy masz do czynienia z danymi osobowymi i czy stosować RODO, co do zasady bezpieczniej jest założyć, że odpowiedź na oba pytania brzmi „tak”. Po drugie, wbrew powszechnej opinii, przetwarzanie danych osobowych to nie tylko czynności wymagające aktyw- ności ze strony administratora, takie jak pobieranie, 

rozpowszechnianie czy przesyłanie danych, ale również procesy charakteryzujące się jego biernością, w tym m.in. gromadzenie czy przechowywanie danych bez ich dalszego wykorzystania. 

Jeżeli chcesz, żeby Twój startup działał zgodnie z RODO, odpowiedz sobie na następujące pytania: 

Kto dokładnie przetwarza dane osobowe? 

Przetwarzając dane osobowe możesz działać jako administrator, współadministrator, bądź podmiot przetwarzający (tzw. „procesor”). Każda z tych ról wiąże się z inną odpowiedzialnością i zakresem obowiązków. Przeanalizuj, kto w danej sytuacji decyduje o celach i sposobach przetwarzania danych osobowych. Jeżeli działasz samodzielnie, najprawdopodobniej będziesz występował jako administrator, jeżeli wspólnie z innymi, może dojść do współadministrowania. Niekiedy wykonujesz zadania jedynie w imieniu i na polecenie podmiotu trzeciego, wtedy możesz być traktowany jako „procesor”. 

Skąd czerpiesz dane osobowe? 

Pozyskujesz dane bezpośrednio od użytkowników podczas rejestracji do Twojej aplikacji lub serwisu? Kupujesz gotowe bazy danych? A może dostajesz te informacje od osób trzecich zgłaszających znajomych do organizowanych przez Ciebie konkursów lub programów poleceń? Nazwij źródła pozyskiwania danych i bądź świadomy swojej relacji nie tylko z osobami, których dane przetwarzasz, ale i z ich dostawcami. 

Czyje dane przetwarzasz? 

Spróbuj pogrupować przetwarzane dane według kategorii osób, których dotyczą. Taki zbiór mogą stanowić Twoi klienci, kontrahenci, kontraktorzy, dostawcy, pracownicy lub użytkownicy. W zależności od występującego powiązania inna będzie podstawa prawna przetwarzania oraz zakres Twoich uprawnień i obowiązków.

Jakie dane osobowe przetwarzasz? 

Zastanów się, jakie dokładnie dane zbierasz. Czy są to „zwykłe dane osobowe” (takie jak imię i nazwisko, numer PESEL, bądź adres), czy też „dane szczególnych kategorii” (jak przykładowo dane dotyczące zdrowia, dane genetyczne lub dane biometryczne)? Brak świa- domości, że przetwarzanie danych wrażliwych jest zabronione, o ile nie zostanie spełniony przynajmniej jeden z warunków wskazanych w art. 9 ust. 2 RODO, może prowadzić do poważnych problemów w niejednym, nawet dobrze prosperującym startupie. 

Do czego wykorzystujesz zebrane dane? 

Przed rozpoczęciem korzystania z danych powinieneś określić cele ich przetwarzania. Generalna zasada mówi, że dane osobowe powinny być wykorzystywane jedynie w zakresie, w jakim zostały pierwotnie zebrane. Przykładowo, adresy e-mail pozyskane od osób zapisujących się na Twój newsletter nie powinny posłużyć do wysyłania im, bez odrębnej zgody, reklam Twoich partnerów biznesowych. 

Na jakiej podstawie przetwarzasz dane osobowe? 

W uproszczeniu, przetwarzanie jest zgodne z prawem w przypadku, gdy działasz w oparciu o co najmniej jedną z następujących podstaw: (I) zgoda, (II) wykonanie umowy, (III) wypełnienie obowiązku prawnego, (IV) ochrona żywotnych interesów danej osoby, (V) wykonywanie zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej, bądź (VI) uzasadniony interes administratora. 

W e-commerce istnieje niestety tendencja do opierania się na zgodzie jako jedynej przesłance legalizacyjnej i w wyniku tego do zbierania wielu nadmiernych oświadczeń. Zgoda powinna być zawsze dobrowolna, konkretna, świadoma i jednoznaczna – w przeciwnym wypadku będzie po prostu nieważna. Co istotne, samą zgodę zawsze można odwołać. Dlatego też, warto zastanowić się nad możliwością oparcia swoich działań na innych podstawach prawnych. Spośród wyżej wymienionych najczęściej wybierane są: wykonanie umowy (np. umowy sprzedaży w sklepie internetowym), wypełnienie obowiązku prawnego (np. konieczność rozliczenia z klientem) lub prawnie uzasadniony interes administratora (np. marketing bezpośredni). 

Komu przekazujesz dane osobowe? 

Są takie procesy w ramach każdej organizacji, które na pewnym etapie podlegają outsourcingowi (np. usługi księgowe, kadrowe, marketingowe, BHP). Jeżeli wiąże się to z przekazaniem danych osobowych, należy każdorazowo rozważyć konieczność zawarcia umowy o powierzenie danych osobowych do przetwarzania na podstawie art. 28 RODO. Dotyczy to współpracy ze wszelkimi podmiotami, które przetwarzają dane osobowe w Twoim imieniu. 

Kluczowa w tym kontekście może okazać się także decyzja o hostingodawcy i lokalizacji serwerów. Przechowywanie danych w publicznej chmurze obliczeniowej może wiązać się z przesyłaniem danych poza Europejski Obszar Gospodarczy, gdzie nie ma zastosowania RODO. W takim wypadku należy działać w oparciu o inne, wybrane instrumenty prawne przewidziane w RODO, gwarantujące adekwatną ochronę praw i wolności osób, których dane umieszczane są na takich serwerach. 

Trzeba mieć również świadomość, że w większości przypadków, korzystając z takich popularnych narzędzi marketingowych i analitycznych jak Google Analytics, Hotjar, Getsitecontrol, Yandex.Metrica, Mixpanel, Google Ads czy Facebook Pixel, godzisz się – na choćby częściowe – przekazywanie danych o Tobie i Twoich użytkownikach. Zaimplementowanie na stronie wtyczek społecznościowych i stosowanie plików cookies może prowadzić do podobnych konsekwencji. 

Warto również zdawać sobie sprawę z faktu, że jeżeli sam działasz jako podmiot przetwarzający („procesor”) możesz niekiedy, na podstawie art. 28 ust. 10 RODO, ponosić pełną odpowiedzialność za przetwarzane w imieniu innego podmiotu dane na tych samych zasadach co administrator. 

Jak długo będziesz przechowywał dane osobowe? 

Cykl życia danych osobowych w Twoim startupie powinien być starannie przemyślany. Danych nie można przechowywać w nieskończoność ani zbierać „na zapas”. Musisz zdecydować, jak długo przetwa- rzasz konkretne zbiory danych, a także co później z nimi zrobisz. Archiwizujesz dane? Jeżeli tak – to przez jaki okres i na jakiej podstawie? A może je usuwasz? W takim przypadku – kto za to odpowiada i co stanie się w sytuacji, w której będziesz ich ponownie potrzebował? Warto przygotować wewnętrzną politykę retencji danych osobowych i przeanalizować odpowiednie przepisy sektorowe wyznaczające maksymalne okresy przechowywania danych. Zalecane jest także regularne aktualizowanie bazy danych osobowych, tak aby zapewnić poprawność i aktualność przetwarzanych danych oraz nie dopuścić do sytuacji, gdy dane są przechowywane przez czas dłuższy, niż jest to niezbędne do określonych celów przetwarzania. 

Jak zabezpieczasz dane? 

Administrator zobowiązany jest do stosowania takich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W tym celu trzeba między innymi ustalić, kto i kiedy ma dostęp do danych oraz wprowadzić procedury nadawania i odwołania upoważnień w tym zakresie. Najwyższą karę w Polsce w wysokości prawie 3 milionów złotych nałożono w 2019 roku na Morele.net właśnie za stosowanie niewystarczających zabezpieczeń, skutkujące wyciekiem danych ponad 2 milionów osób. Na odpowiednie szyfrowanie, pseudonimizację lub anonimizację danych, zapewniające poufność, integralność, dostępność i odporność systemów, warto więc zdecydować się jeszcze przed rozpoczęciem ich zbierania. 

Jeżeli dopiero planujesz założenie startupu, postępuj zgodnie z zasadą „data protection by design & by default”, która nakazuje brać pod uwagę opisy- wane reguły ochrony danych osobowych na jak najwcześniejszym etapie projektowania rozwiązania i kształtowania organizacji oraz stosować środki korzystne dla prywatności jako domyślne. 

Czy i jak umożliwiasz swoim użytkownikom lub klientom realizację ich praw wynikających z RODO? 

Jednym z najważniejszych praw przysługujących każdemu z nas jest uprawnienie do posiadania pełni informacji na temat tego, kto, jak i dlaczego przetwarza nasze dane (jest to tak zwany obowiązek informacyjny). Dopiero bowiem w takiej sytuacji możemy skorzystać z innych przysługujących nam praw wymienionych w RODO, w tym z: (I) prawa dostępu do danych, (II) prawa do sprostowania danych, (III) prawa do usunięcia danych (tzw. „prawo do bycia zapomnianym”), (IV) prawa do ograniczenia przetwarzania, (V) prawa do sprzeciwu oraz (VI) prawa do przenoszenia danych. 

O pierwszej w Polsce karze za naruszenie RODO właśnie z tytułu braku spełnienia obowiązku informacyjnego można przeczytać na blogu kancelarii JWMS pod adresem: www.jwms.pl/pierwsza-kara-pieniezna-naruszenie-rodo . 

Równie ważne jak informowanie Twoich użytkowników i klientów o przysługujących im prawach jest wdrożenie mechanizmów umożliwiających ich prawidłową i terminową realizację. Warto więc stworzyć dedykowany adres e-mail, formularz kontaktowy lub landing page i wyznaczyć osoby odpowiedzialne za ochronę danych osobowych w organizacji oraz stały kontakt z klientami w tym zakresie (w niektórych przypadkach warto rozważyć powołanie inspektora ochrony danych, o którym mowa w art. 37 RODO). 

Z drugiej strony, w przypadku naruszenia ochrony danych, zgodnie z art. 77 RODO, każdemu przysługuje prawo wniesienia skargi do organu nadzorczego. Pro- cedurę zgłoszenia incydentu z perspektywy klienta, którą warto żebyś poznał, opisaliśmy w artykule znajdującym się na naszym blogu: www.jwms.pl/zglosze-nie-naruszenia-ochrony-danych-osobowych . 

Skąd Twój klient lub użytkownik może dowiedzieć się o wyżej opisanych kwestiach? 

Odpowiedzi na wyżej zadane pytania najczęściej zamieszcza się w zbiorczym dokumencie pod nazwą „polityka prywatności”, który następnie publikowany jest w widocznym i łatwo dostępnym miejscu (np. na stronie internetowej lub w menu aplikacji). Startup jest jednak organizmem, który dynamicznie się rozwija, więc niezwykle ważny jest cykliczny przegląd stosowanych procedur i dokumentacji oraz ich aktualizacja. Regularnie testuj, mierz i oceniaj skuteczność wdrożonych środków ochronnych. 


Na koniec trzy krótkie rady: 

1. „Reaguj szybko” 

W przypadku wystąpienia naruszenia ochrony danych osobowych czas gra kluczową rolę. Człon- kowie Twojego zespołu nie powinni więc ukrywać informacji o zaistniałym naruszeniu ani zwlekać z przekazaniem tej wiadomości dalej. Odpowiednie środki zabezpieczające powinny zostać wdrożone najszybciej, jak to możliwe. W niektórych przypadkach taki incydent powinien zostać zgłoszony do organu nadzorczego najpóźniej w terminie do 72 godzin od zdarzenia. 

2. „Bądź gotowy” 

Kontrola, wyciek danych lub atak hakerski to sytuacje, w których stres, a co za tym idzie, możliwość popełnienia błędów jest bardzo wysoka. Warto więc wcześniej opracować wzory dokumentów oraz procedury działania w takich sytuacjach. 

3. „Ucz się na błędach innych” 

Na stronie Urzędu Ochrony Danych Osobowych (www.uodo.gov.pl/pl/p/decyzje) publikowane są nie tylko przydatne poradniki i wytyczne, ale i wydawane przez ten organ decyzje. Lektura ich uzasadnień potrafi dostarczyć cennej wiedzy na temat przebiegu kontroli, interpretacji przepisów oraz oceny konkretnych działań podejmowanych przez przedsiębiorców. Do tej pory polski urząd wydał ok. 7000 decyzji (publikując ponad 200 z nich) w różnorodnych sprawach z zakresu ochrony danych osobowych, które mogą zawierać gotowe odpowiedzi na Twoje pytania lub wątpliwości. 

Autor artykułu:
Jan Marczyński
Radca prawny, partner w kancelarii JWMS. Specjalizuje się w prawie podatkowym oraz prawie spółek. Wspiera m.in. startupy na wczesnym etapie działania, przygotowując je do audytów inwestorów – opierając się przy tym na doświadczeniu z audytów, którymi sam kierował. Prowadził wiele szkoleń oraz doradzał w programach mentoringowych skierowanych do młodych przedsiębiorców.

xPoradnik-Startupowy-z-podmienionym-logo-01-01-298x300.png.pagespeed.ic.SPyqCMvkKL