Po wprowadzeniu RODO: RODO a wpis w BIG

Rozporządzenie o ochronie danych osobowych – RODO wprowadziło zmiany dotyczące bardzo newralgicznych informacji, jakimi są dane osobowe. W związku z tym pojawia się wiele wątpliwości o funkcjonowanie przedsiębiorstw i osób fizycznych w nowych warunkach. Czym tak właściwie jest RODO? Jakie zmiany wprowadza? Jakie prawa przysługują nam w zakresie przetwarzania danych przez biura informacji gospodarczej? Odpowiedzi na te pytania poniżej.

Czym jest RODO i jakie wprowadza zmiany?

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), weszło do stosowania 25 maja 2018 roku. Ma ono na celu poprawę poziomu bezpieczeństwa przetwarzania danych osobowych, a także wzmocnienie praw osób, których dane dotyczą. RODO ujednoliciło przepisy funkcjonujące na terenie Unii Europejskiej, a w Polsce zasadniczo zastąpiło obowiązującą dotychczas ustawę o ochronie danych osobowych z 1997 roku.

Nowe przepisy zawierają wytyczne dotyczące należytej ochrony danych osobowych, bez wskazywania rodzajów zabezpieczeń, jakie mają być stosowane – ich dobór zależy od konkretnego podmiotu, stosownie do wielkości i specyfiki posiadanych baz danych, a także sposobów ich przetwarzania.

Zmiany dotyczą podmiotów prywatnych i publicznych, które działają na terenie Unii Europejskiej i przetwarzają dane osobowe osób fizycznych. Wyjątkiem są m.in. podmioty, które prowadzą działalność nieobjętą zakresem prawa unijnego i organy przetwarzające dane w celach zapobiegania przestępczości, postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych oraz wykonywania kar, dla których wydano osobną dyrektywę. RODO nie muszą też przestrzegać osoby fizyczne, które wykonują czynności o osobistym lub domowym charakterze np. przechowywanie spisu telefonów do znajomych czy adresów rodziny.

Zgoda na przetwarzanie danych osobowych

Formuły z prośbą o akceptację dotyczącą przetwarzania danych osobowych widzieli już chyba wszyscy użytkownicy internetu czy telefonii komórkowej. Zgodnie z RODO, aby strona lub firma mogła przetwarzać dane osobowe, musi zostać spełniony jeden z warunków wskazanych w RODO. Dość często od użytkownika  będzie oczekiwało się zgody na przetwarzanie danych - aby wyrazić ją poprawnie, zgoda powinna być konkretna, świadoma i jednoznaczna. Powiadomienie i pytanie musi być jasno i rzeczowo sformułowane. Zgoda następuje tylko wtedy, gdy użytkownik kliknie na przycisk “akceptuję” lub podpisze dokument.

Zgody udzielone przed wejściem w życie RODO są nadal aktualne, jeśli były pozyskane w wyżej wymieniony sposób. Jeśli zostały pozyskane inaczej, firma musi zapytać o zgodę jeszcze raz.

Odpowiedzialność za dane i kary

Według nowych przepisów odpowiedzialność za dane osobowe i ich przetwarzanie ponosi przede wszystkim administrator danych oraz w części procesor.

Kary, jakie przewiduje RODO z założenia mają być skuteczne, odstraszające i proporcjonalne, nakładane stosownie do indywidualnych okoliczności każdego przypadku naruszenia. W zależności od rodzaju naruszonych przepisów ich wysokość wynosi do 20 000 000 euro lub 4% rocznego światowego obrotu z poprzedniego roku w przypadku przedsiębiorstwa.

Prawo do bycia zapomnianym

Jedną z największych zmian jest zapis w art. 17 rozporządzenia RODO – zgodnie z jego treścią, każda osoba fizyczna może w dowolnej chwili uzyskać informacje o swoich danych osobowych lub zażądać ich usunięcia. Jednak wbrew powszechnemu przekonaniu, nie w każdym przypadku żądanie to musi zostać spełnione. Aby tak się stało, musi wystąpić przynajmniej jedna z wymienionych okoliczności:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane,
• osoba cofnęła zgodę na przetwarzanie danych, a nie ma innej podstawy prawnej przetwarzania,
• dane były przetwarzane niezgodnie z prawem,
• dane muszą zostać usunięte, aby wywiązać się z obowiązku prawnego, któremu podlega administrator,
• dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego,
• osoba wniosła sprzeciw wobec przetwarzania jej danych w związku z jej szczególną sytuacją (opartą na interesie publicznym lub prawnie uzasadnionym interesie administratora), a nie istnieją inne nadrzędne podstawy przetwarzania,
• osoba wniosła sprzeciw wobec przetwarzania jej danych na potrzeby marketingu bezpośredniego.

Oznacza to, że jeśli przetwarzanie danych jest niezbędne do realizowania obowiązków wynikających z przepisów prawa, realizacji umowy, której osoba jest stroną, do wykonania zadań realizowanych dla dobra publicznego, administrator może przetwarzać je dalej. Jeśli administrator ustali, że wniosek o usunięcie danych osobowych jest bezzasadny, może rozpatrzeć go odmownie, informując o tym fakcie wnioskującego i podając mu uzasadnienie. 

Prawo do sprzeciwu

O prawie do sprzeciwu mówi art. 21 rozporządzenia RODO. Dotyczy ono przypadków, kiedy dane przetwarzane są w celu wykonania zadania realizowanego w interesie publicznym lub w celu realizacji prawnie uzasadnionych interesów administratora.

Osoby, których to dotyczy, mogą sprzeciwić się wykorzystywaniu ich danych, motywując to szczególną sytuacją, z uwagi na którą nie powinny one być przetwarzane.  Jeśli jednak ku przetwarzaniu istnieją prawnie uzasadnione podstawy, nadrzędne do praw osoby, której dotyczą, albo jeśli istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń, administrator nie musi uwzględniać sprzeciwu.

Czy można usunąć dane z BIG na podstawie RODO?

Wprowadzenie w życie przepisów RODO sprawiło, że niektórzy podają w wątpliwość przechowywanie danych osobowych przez biura informacji gospodarczej i organy związane z windykacją. Czy rzeczywiście można zwrócić się o usunięcie danych z BIG, powołując się na RODO?

Możliwość przechowywania danych osobowych przez biura informacji gospodarczej wynika z ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Przepisy o ochronie danych osobowych stosuje się tylko w przypadkach nieujętych w tej ustawie.

Mimo wszystko osobom, których dane znajdują się w BIG, przysługuje prawo dostępu do danych, możliwość ich sprostowania, jeśli są nieprawidłowe, czy wycofania zgody na przetwarzanie w zakresie, którego dokonuje się na podstawie wyrażonej przez osobę zgody. Osoba, której dane dotyczą, jeśli istnieją ku temu przesłanki, może także wznieść sprzeciw lub złożyć skargę do organu nadzorczego zajmującego się ochroną danych osobowych. Usunięcie danych dotyczących zadłużenia nastąpić może z  przyczyn i na zasadach  wskazanych w art. 29-31 ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych.

Jeśli zależy nam na tym, by usunąć z BIG wpis o zadłużeniu, to jeśli powstało ono na podstawie zgodnej z prawem umowy, najprościej będzie uregulować zobowiązanie i w razie potrzeby przypomnieć wierzycielowi o usunięciu wpisu.