Parafrazując zwrot z powyższej fotografii Big data is watching you – Urząd Ochrony Danych Osobowych is watching you. Z rozporządzeniem o ochronie danych osobowych (dalej: RODO) zetknął się już chyba każdy z nas. Mimo, że obowiązuje ono od 25 maja 2018 r. niektórzy przedsiębiorcy wciąż mają problem z jego wdrożeniem. W grupie tych przedsiębiorców są również właściciele galerii dzieł sztuki. Tak, Właścicielu galerii sztuki! Ten wpis jest właśnie dla Ciebie :-) Dowiesz się z niego czy jesteś administratorem danych i jakie obowiązki z tytułu przetwarzania danych nałożył na Ciebie ustawodawca europejski. Zapraszam!
Krótko o RODO
RODO jest unijną „ustawą” o ochronie danych osobowych, która ma na celu ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych. Rozporządzenie to zostało przyjęte po to, aby wyznaczyć stabilne, spójne i transparentne ramy ochrony danych osobowych osób fizycznych na terenie Unii. Ustawodawca europejski położył duży nacisk na wymuszenie stosowania przepisów o ochronie danych poprzez wprowadzenie przepisów dotyczących surowych kar. RODO formalnie weszło w życie w dniu 25.05.2016 r. jednak jego bezpośrednie stosowanie rozpoczęło się dopiero 2 lata później – w dniu 25.05.2018 r.
Co ważne!
Rozporządzenie to uchyliło dotychczasową ustawę z dnia 29.08.1997 r. o ochronie danych osobowych i ma pierwszeństwo przed nową ustawa o ochronie danych osobowych z dnia 10.05.2018 r. Ochrona danych na podstawie RODO oparta jest na ocenie ryzyka przetwarzania danych osobowych. Oznacza to dostosowanie odpowiednich środków organizacyjnych do stopnia ryzyka wycieku danych. RODO opiera się również na zasadzie rozliczności – wykazaniu legalności przetwarzania danych oraz realizacji stosowania przepisów.
Dane osobowe
Zanim przeję do clue, wyjaśnię dwa ważne pojęcia:
Dane osobowe – to nic innego jak informacje o konkretnych lub możliwych do zidentyfikowania osobach fizycznych, np. imię, nazwisko, PESEL, numer telefonu.
Przetwarzanie danych osobowych – wykonywanie czynności (operacji) na danych osobowych, np. zbieranie danych, przechowywanie, strukturyzowanie, przeglądanie, ujawnianie, modyfikowanie.
Galeria jako administrator danych
RODO obowiązuje wszystkich przedsiębiorców (osoby fizyczne prowadzące działalność gospodarczą, spółki prawa handlowego), organy publiczne i inne podmioty, które samodzielnie lub wspólnie z innymi podmiotami wykonują ww. czynności na danych osobowych osób fizycznych. Ustawodawca podmioty te nazwał administratorami danych. Natomiast podmioty wykonujące operacje na danych osobowych za administratorów, ale w ich imieniu, określił przetwarzającymi. Będą to dostawcy usług hostingowych, serwisowych, księgowi, prawnicy. Ważne, żeby przekazanie danych przetwarzającym odbywało się na podstawie umowy o powierzenie przetwarzania danych. Mając na uwadze fakt, że galerie dzieł sztuki są prowadzone w różnych formach prawnych, nie zmienia to okoliczności bycia galerii dzieł sztuki w grupie administratorów danych.
Dane zbierane przez galerię
Aby móc prawidłowo stosować RODO należy w pierwszej kolejności skupić się na grupach podmiotów, od których galeria odbiera dane osobowe i kategoriach tych danych. Galeria najczęściej przetwarza dane osobowe:
- swoich pracowników, stażystów
- osób, które pomagają w prowadzeniu galerii na podstawie umów cywilnoprawnych
- artystów
- kolekcjonerów dzieł sztuki
- osób z innych galerii, muzeów, z którymi utrzymuje kontakty biznesowe.
Dane zbierane przez galerie można podzielić na kategorie:
- podstawowe dane identyfikacyjne (imię, nazwisko, nr PESEL, nr telefonu komórkowego, adres zamieszkania)
- elektroniczne dane identyfikacyjne (adres e-mail, login hasło – w przypadku, gdy na stronach www galerii dzieł sztuki można utworzyć konto klienta)
- dane finansowe i dotyczące umów (dotyczące wartości dzieł sztuki pozyskiwanych przez galerie, informacji zawartych w umowach dotyczących obrotu dziełami sztuki)
- dane dotyczące wymagań estetycznych, gustu, gdy są połączone z podstawowymi danymi identyfikacyjnymi
- wizerunek – nagrania wideo, gdy w galerii zamontowane są kamery w celu bezpieczeństwa.
Zadaniem administratorów na gruncie RODO jest zbieranie danych w umiarze. Zbieranie danych w nadmiarze, takich których faktycznie galeria nie potrzebuje, może przynieść negatywne konsekwencje. RODO nie dotyczy danych przedsiębiorstw: adresu, nazwy, NIP-u, numeru KRS. Dane te są jawne. Należy jednak pamiętać, że za tymi przedsiębiorcami/przedsiębiorstwami stoją ludzie, których dane osobowe trzeba przetwarzać zgodnie z RODO :-)
Przykład: Galeria X zawiera umowę ze Spółką Y z siedzibą w Warszawie
W takiej sytuacji Galeria X ma obowiązek stosowania RODO wobec pracowników tej Spółki.
Obowiązki galerii jako administratora danych
Skoro wiemy już, że galeria jest administratorem danych, kolejnym krokiem w poprawnym audycie danych jest weryfikacja legalności czynności przetwarzania danych osobowych. Galeria musi przetwarzać dane osobowe w konkretnych celach i na podstawie odpowiednich przesłanek. Przesłanek w rozporządzeniu jest sześć, omówię jednak te, które dotyczą galerii. Przesłanką przetwarzania danych w galerii dzieł sztuki może być:
Zgoda
Zgoda – „osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów” (art. 6 ust. 1 lit. a RODO) Celem może być przedstawienie oferty marketingowej, katalogów galerii, kontakt za pomocą newslettera informującego o bieżących wydarzeniach w galerii. Zgoda musi być dobrowolna, dotyczyć konkretnego celu. Sama informacja dotycząca danej zgody musi zostać przekazana w sposób prosty i zrozumiały. Najlepiej gdyby została odebrana w formie pisemnego oświadczenia albo przez „współczesne” działania potwierdzające. Tutaj w grę wchodzą takie czynności jak zapisanie się na newsletter poprzez kliknięcie linku aktywującego, odznaczenie checkboxa. Na tej podstawie galerie najczęściej otrzymują dane swoich obserwujących, odbiorców aktualnych informacji dotyczących galerii lub aktualnych wydarzeń ze świata sztuki. Osoby te powinny zostać poinformowane o możliwości wycofania zgody. Powinno to nastąpić w sposób równie łatwy co jej wyrażenie.
Wykonanie umowy
Wykonanie lub zawarcie umowy – „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub na podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy” (art. 6 ust. 1 lit b RODO). Sytuacja wydaje się prosta. Pamiętaj, aby ograniczyć się do tych danych, które są potrzebnie wyłączne do wykonania czynności w celu zawarcia umowy i jej realizacji. W tym zakresie nie musisz prosić o zgodę. Proszenie o zgodę jest mylące, może wprowadzać w błąd. Zgodę zawsze można odwołać.
Prawny obowiązek
Prawny obowiązek – „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze” (art. 6 ust. 1 lit. c RODO). Ta podstawa realizuje się w stosunku do pracowników galerii. Obowiązek przetwarzania danych osobowych wynika z kodeksu pracy.
Prawnie uzasadniony interes administratora lub strony trzeciej
Prawnie uzasadniony interes administratora lub strony trzeciej – „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba której dane dotyczą jest dzieckiem” (art. 6 lit. ust 1 lit. f). Prawnie uzasadnionym interesem może być dochodzenie roszczeń, bezpieczeństwo (zwłaszcza w przypadku zamontowania w galerii monitoringu), marketing bezpośredni – tutaj wymagana jest uprzednia zgoda na komunikację elektroniczną.
Odbiorcy danych, eksport danych do krajów trzecich
Odbiorcami danych są wszyscy usługodawcy usług, z których korzystasz prowadząc galerię, np. księgowy, prawnik, kurier, ubezpieczyciel, dostawcy usług hostingowych, ect. Wybierając hosting, pocztę e-mail sprawdź w jakich krajach mają siedzibę Ci usługodawcy. W przypadku gdy są oni spoza Europejskiego Obszaru Gospodarczego (UE, Norwegię, Islandię i Liechtenstein), to należy poinformować osoby fizyczne o fakcie przekazywania ich danych do tzw. krajów trzecich i organizacji międzynarodowych. Aby móc zgodnie z RODO eksportować dane należy spełnić dodatkowe warunki, o których mowa w art. 45 RODO. Po szczegóły zapraszam do kontaktu bezpośredniego ze mną :-)
Monitoring
W celach bezpieczeństwa w galeriach często można spotkać się z monitoringiem. Z tego tytułu właściciel powinien umieścić tablicę informacyjną najlepiej na drzwiach wejściowych do galerii, elewacji budynku, w którym się znajduje galeria. Ponadto powinien podać dane administratora (dane galerii), cel przetwarzania danych, zasięg monitoringu, okres przechowywania danych oraz gdzie szukać dodatkowych informacji o przetwarzaniu danych osobowych (można podać adres strony internetowej, numer telefonu). Celem założenia monitoringu jest zapewnienie bezpieczeństwa oraz ochrona mienia galerii. Podstawą prawną będzie uzasadniony interes prawny.
Prawa osób fizycznych
Osoby fizyczne mają zapewnione prawa związane z przetwarzaniem ich danych osobowych. Moja oni prawo:
- dostępu do swoich danych oraz otrzymania ich kopii
- sprostowania danych
- usunięcia danych tzw. „prawo do bycia zapomnianym”
- do ograniczenia przetwarzania danych
- prawo do przeniesienia danych
- do sprzeciwu.
W większości nie są to prawa, które przysługują zawsze, np. prawo do bycia zapomnianym nie jest bezwzględne. Można odmówić zadośćuczynieniu tego prawa np. w sytuacji gdy dane są przechowywane w celach statystycznych, dochodzenia roszczeń.
Kary
Za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych grożą wysokie kary. Najniższa z nich może wynieść do 10 mln euro. Oczywiści przy wymiarze kary Urząd Ochrony Danych Osobowych bierze pod uwagę różne czynniki. Kary są nakładane po przeprowadzeniu kontroli i wykryciu nieprawidłowości. Cała ta procedura odbywa się w ramach procedury administracyjnej.
Podsumowanie
Jak to wszystko ogarnąć?! Najlepiej stworzyć politykę przetwarzania danych osobowych i umieścić ją na stronie internetowej galerii. Zanim przystąpisz do jej pisania – pamiętaj dla kogo ją piszesz i jakie dane osobowe faktycznie przetwarzasz. Konieczne będzie także stworzenie prostego excela, w którym zawrzesz tzw. rejestru czynności przetwarzania danych. Pomoże Ci on utrzymać kontrolę nad obiegiem danych osobowych w Twojej galerii i zrealizować prawa przysługujące jednostce. Jeżeli nie masz czasu na tworzenie polityki, klauzuli informacyjnej i rejestru przetwarzania danych osobowych, po prostu kontrolowania przebiegu danych – mogę to zrobić za Ciebie. Napisz do mnie bezpośrednio na adres biuro@prawochronisztuke.pl albo poprzez formularz kontaktowy.
Zapraszam Cię do zapoznania się z moim poprzednim wpisem Konkursy dotyczące sztuk wizualnych a prawa autorskie :-)