Uwaga na RODO trolle!
Sylweriusz B. Królak 2018-06-23
Sylweriusz B. Królak
25 maja weszła w życie najgłośniejsza unijna reforma od czasu zakazu palenia w miejscach publicznych. Czy jest czego się bać?
Właśnie weszło w życie rozporządzenie Unii Europejskiej o ochronie danych osobowych, szerzej znane, jako RODO – prawdopodobnie najgłośniejsza unijna reforma prawa, w której większość ludzi nie wie o co tak naprawdę chodzi.
Co ona oznacza dla nas, obywateli? Należy zacząć od tego, że jako rozporządzenie Parlamentu Europejskiego i Rady UE, nowe prawo bezpośrednio obowiązuje w całej Wspólnocie. Z języka prawniczego na polski, oznacza to, że jest to (jakby) ustawa, która brzmi i działa w dokładnie taki sam sposób we wszystkich krajach Unii. Żeby tego było mało, dotyczy każdej osoby fizycznej (czyli takiej, która ma imię, nazwisko i istnieje naprawdę), która przebywa na terenie UE i każdego podmiotu, który jej dane przetwarza – choćby siedzibę miał po drugiej stronie świata. To bardzo szeroki zakres obowiązywania – regulacje RODO nie mają zastosowania tylko w relacjach osobistych, czyli prywatnych.
Jak egzekwowanie tych przepisów będzie wyglądało w praktyce, jeszcze się okaże. Przepisy jednak nakładają na administratorów danych liczne obowiązki, a podmiotom danych gwarantują szereg praw i narzędzi do ich egzekwowania – a to wszystko od 25 maja. Za nieprzestrzeganie nowego prawa grożą potencjalnie bardzo wysokie kary i uciążliwe kontrole – to coś, czego chyba każdy chciałby uniknąć. A rozporządzenie dotyczy niemal każdego, kto prowadzi jakąkolwiek działalność, która wymaga styczności z innymi ludźmi.
Administratorem jest każdy, kto przetwarza dane, określając jednocześnie cele takiego przetwarzania. Krótko mówiąc: ten, kto gromadzi i wykorzystuje dane osobowe w jakimkolwiek celu. Danymi osobowymi są z kolei wszystkie dane, które pozwalają zidentyfikować osobę fizyczną, a więc m.in. imię i nazwisko, adres domowy, numer telefonu, adres mailowy, link do konta na Instagramie…
Jeśli ktoś więc prowadzi sklep internetowy, rozsyła mailingi, newslettery, zatrudnia ludzi, prowadzi obsługę klienta itp., to przetwarza dane osobowe. W takiej sytuacji rozporządzenie dotyczy go, jako administratora lub podmiotu przetwarzającego dane, co w konsekwencji wywołuje po jego stronie obowiązek uczynienia zadość szeregowi wymogów nałożonych przez nowe prawo. Oznacza to, że każda z osób, których dane są przetwarzane, a zatem każda z osób, która to czyta, może m.in. żądać od administratora informacji, co dzieje się z jej danymi, konkretnego celu ich przetwarzania, czasu, przez jaki będą wykorzystywane, a także tego, kto, konkretnie ma do nich dostęp. Wszyscy obywatele mogą również domagać się ograniczenia przetwarzania ich danych lub w określonych sytuacjach wręcz natychmiastowego tego zaprzestania. Administrator z kolei zobowiązany jest informować organ nadzorujący przetwarzanie danych oraz wszystkich zainteresowanych o każdym naruszeniu bezpieczeństwa danych, czyli choćby omyłkowym rozesłaniu mailingu z nieukrytymi adresatami. Każdy, kto poniesie jakąkolwiek szkodę (majątkową lub niemajątkową) wynikającą z naruszenia RODO, będzie mógł walczyć o odszkodowanie. I tutaj właśnie pojawiają się RODO Trolle.
Eksperci zajmujący się ochroną danych osobowych, już od dawna przewidywali, że po 25 maja, ruszy lawina żądań RODO trolli, znanych również jako RODOżercy – osoby, dążące do szybkiego zarobku w oparciu o zamieszanie wynikające z wejścia w życie nowego prawa i groźbę poważnych konsekwencji dla administratorów.
RODO trolle to w gruncie rzeczy stare zjawisko w nowej formie. Od lat znane są przypadki tzw. copyright trollingu, czyli próby zastraszania ludzi groźbami skierowania sprawy do sądu, w przypadku rzekomego naruszenia przez nich czyichś praw autorskich. Takie naruszenie nieraz nie ma miejsca w ogóle lub też zaistniało faktycznie, lecz jego waga była nieproporcjonalnie mniejsza niż żądania trolli. Szantażowanym zazwyczaj opłacałoby się bardziej podjąć rzuconą rękawicę i iść do sądu, zamiast ulegać ich żądaniom. Cały ten niemoralny model biznesowy w pewnym sensie przypomina mailowy scam – sieci zarzucane są szeroko i wystarczy, że parę osób się w nie złapie a szantażyści zarobią na nich małym kosztem. Ofiarą takich praktyk paradoksalnie padają często ludzie, którzy nie dysponują dużym kapitałem i obawiają się wydatków związanych z postępowaniem sądowym i zatrudnieniem prawnika. Zapędzeni w róg przez urzędowo brzmiący język, niejasne dla nich wyrywki z ustaw i poważne groźby, wolą wydać większe dla nich pieniądze raz i nie myśleć więcej o problemie, zamiast dochodzić sprawiedliwości, która kosztowałaby ich znacznie mniej.
Podobnie sytuacja ma się w przypadku RODO – temat przetwarzania danych jest jeszcze bardziej powszechny niż nawet ochrona praw autorskich w internecie, a nowe przepisy są skomplikowane i dla wielu groźnie brzmiące. Panuje powszechna niepewność co do praktyki ich stosowania – jedni straszą, inni uspokajają, wreszcie trzeci rozkładają ręce i zalecają czekanie. Abstrahując od tego, która postawa jest najrozsądniejsza, już dziś wiadomo, że są tacy, którzy będą chcieli wykorzystać lęk przed konsekwencjami i wyciągnąć od ludzi jak najwięcej pieniędzy to możliwe, opierając się na schemacie znanym z copyright trollingu.
Michał Jaworski, dyrektor ds. strategii technologicznej Microsoft Polska oceniał w trakcie debaty RODO – The Day After, że już po pierwszym dniu obowiązywania RODO pojawi się 1000 żądań dostępu, 500 żądań usunięcia danych, ok. 500 zgłoszeń naruszeń danych, a przy tym ruszy fala ogromnej ilości procesów cywilnych, gdyż trolle ruszą na żer. (http://www.lex.pl/czytaj/-/artykul/po-25-maja-ruszy-rodo-trolling).
Ilość żądań, gróźb i pozwów z każdym dniem może rosnąć wykładniczo. Jak z tym walczyć? Ministerstwo Cyfryzacji ogłosiło już, że będzie dążyć do spenalizowania grożenia postępowaniem administracyjnym, podobnie jak na gruncie obowiązującego prawa nielegalnym może być straszenie ludzi postępowaniem karnym. Co można jednak zrobić już teraz, by uniknąć konfrontacji z RODO trollami? Najlepiej przygotować się na RODO i w razie jakichkolwiek wątpliwości trzymać się reguł analogicznych do tych z reklam farmaceutyków – skonsultować się ze specjalistą, gdyż każde działanie nieodpowiednio stosowane może zagrażać finansom lub zdrowiu psychicznemu. I przede wszystkim nie tracić głowy. Nowe przepisy służą przede wszystkim ochronie praw obywateli – zarówno tych, których dane są przetwarzane, jak i tych którzy je przetwarzają.
Autor jest prawnikiem w Kancelarii Królak i Wspólnicy
oraz Fundacji Praw Obywatelskich
Specjalizuje się w zakresie prawa nowych technologii
oraz ochrony prywatności