Dostosuj firmę do RODO – nowe przepisy
o ochronie danych osobowych

Powiedzmy sobie wprost: czytanie tekstów prawnych – przynajmniej u mnie – powoduje otumanienie prawie jak alkohol.

Swoją drogą ciekawie by było, gdyby policja zaczęła to kontrolować:
– Uuu, panie kierowco, kiepsko pan wygląda. Co to było, ustawa o VAT czy coś mocniejszego?
– Słowo daję, panie władzo, tylko parę akapitów z regulaminu Facebooka wczoraj wieczorem! Myślałem, że do rana mi przejdzie…

Bycie przedsiębiorcą zwykle jest sexy, ale niestety wiąże się też z mniej przyjemnymi obowiązkami, np. trzeba wiedzieć o co chodzi w nowym rozporządzeniu o ochronie danych osobowych (RODO), które zacznie obowiązywać od maja 2018 r. Praktycznie każda firma przetwarza jakieś dane osobowe (pracowników, klientów, użytkowników) i warto robić to prawidłowo. Zwłaszcza że media już od miesięcy straszą gigantycznymi karami.

Jak przedstawić ten temat, żeby nie zanudzić? Długo nie miałem na to pomysłu… aż kilka tygodniu temu pojechałem do Warszawy na konferencję I Love Marketing & Social Media. Kiedy zobaczyłem w programie prezentację o RODO, w dodatku prowadzoną przez prawnika, pomyślałem sobie: szału nie będzie. Bardzo się pomyliłem, bo właśnie to wystąpienie zostało ocenione przez uczestników jako najlepsze z całego dnia!

W tej sytuacji mogłem zrobić tylko jedno. Skorzystać z okazji i umówić się z prelegentem na rozmowę.

Kto to taki? Na swoim blogu udowadnia, że o prawie można mówić jasno, a mecenas nie musi być nudny. Pomaga oszczędzić czas i tłumaczy paragrafy na praktycznie działania, a nazywa się Tomasz Palak.

Linki do osób i firm wymienionych w tym
odcinku podcastu

Prezent dla słuchaczy

Wzór ostrzeżenia dla spamera
Co grozi spamerowi? Pobierz wzór pisma, które uświadomi spamerowi, jakie kary mu grożą Chcę to 

Podcast do czytania

Marek Jankowski: Zawsze zaczynam od pytania: „Co ostatnio czytałeś?”, ale ostatnio jeden ze słuchaczy podpowiedział mi inne pytanie i chciałem przetestować je z tobą jako pierwszym. Powiedz, jak zdobyłeś swojego ostatniego klienta?

Tomasz Palak: O, to dobrze trafiłeś na ciekawą historię. Z sentymentu pojawiłem się w szkole, do której uczęszczałem. W ramach projektu Młodzi z Pomysłem miałem opowiedzieć młodym ludziom, gimnazjalistom, na czym polega mój zawód. Nie przewidziałem tego, że razem ze mną występuje ktoś jeszcze.

Występował ze mną człowiek, który jest prezesem firmy informatycznej, poznaliśmy się i tym sposobem on ostatecznie został moim klientem. W tej chwili pomagam mu w przekształceniach w jego spółce. Ale żeby było jeszcze ciekawiej, to wczoraj występowałem na przygotowanej przez niego wraz z Lenovo i Intelem, konferencji dotyczącej bezpieczeństwa i mówiłem właśnie o naszym dzisiejszym temacie, czyli RODO.

Właśnie, chciałem porozmawiać z tobą o RODO, bo to jest temat, który rozpala serca i umysły od pewnego czasu. Zacznijmy od tego, co to w ogóle jest RODO. Ja tylko zdradzę, taki malutki spoiler, że chodzi o ochronę danych osobowych. Dlaczego te przepisy się zmieniają? Z mojego punktu widzenia one obowiązują od jakichś stu lat. Więc co to jest RODO i dlaczego te przepisy potrzebują zmiany?

Te przepisy zdążyły się trochę zestarzeć ze względu na swoją szczegółowość. Jeżeli mamy przepisy, które mówią, że mam komuś wręczać na piśmie upoważnienie do przetwarzania danych osobowych, jak to się ma do czasów, w których przetwarzanie danych osobowych sprowadza się do przekazania maila swojemu pracownikowi?

Są przepisy, które się zestarzały w tym zakresie: jak długie ma być hasło, z ilu się składać znaków, z jakich znaków. I jak to się ma do tego, że ja rozmawiam z tobą przy pomocy komputera, a odblokowałem ten komputer, odpowiednio smyrając po zdjęciu? Więc kompletnie nie przystają do realiów. Kto słyszał o chmurze, o bliku, gdy te przepisy powstawały? Jest tak, że obecne przepisy są na tyle szczegółowe, że nie przystają do najnowszych rozwiązań, nie mówiąc o tych, które będą wkrótce, bo trudno przewidzieć, jakie rozwiązania będziemy mieli za następne pięć lat.

Czyli RODO to jest tak naprawdę nowa wersja ustawy o ochronie danych osobowych?

To jest rozporządzenie unijne, które będzie obowiązywać nas od maja. My przedsiębiorcy mamy obowiązek dopasować się do niego do 25 maja 2018 roku. To RODO ma taką intencję uogólnienia pewnych rzeczy, skupienia się na tym, jakie mają być osiągane cele, a nie na narzucaniu, jakie mają być zastosowane do tego środki, bo te środki mogą się kompletnie zestarzeć i nie przystawać do realiów. Być może za parę lat będziemy odblokowywać te komputery jakimś systemem mrugnięć powiekami.

Powiedziałeś, że to jest rozporządzenie unijne, że zacznie obowiązywać od maja, ale czy to znaczy, że jeżeli ja dzisiaj chcę się przygotować do tego RODO, to mam korzystać z dokumentów unijnych, czy czekać na polskie rozporządzenie, czy ono już jest, czy będzie? Na ile ja dzisiaj mogę być pewien ostatecznego kształtu tych przepisów?

To wygląda tak, że nawet gdyby w Polsce się zdarzyło nie wdrożyć tego po swojemu, to to rozporządzenie wejdzie i będzie obowiązywało. Natomiast mamy tutaj plany wdrożeń. We wrześniu pojawiła się polska wersja tej ustawy, która ma modyfikacje w tych miejscach, w których to było możliwe. Natomiast jest w tej chwili na etapie przedłużonych konsultacji, bardzo dużo było uwag ze strony GIODO, ale nie ma się co dziwić, bo to jest jeden z najbardziej zainteresowanych podmiotów. W tej chwili jesteśmy na tym etapie, że polskie wdrożenie się dzieje i miejmy nadzieję, że się zadzieje przed odpowiednim terminem.

Czyli te rzeczy, o których będziemy dzisiaj mówić, to jest ten polski projekt, który ciągle jeszcze może się zmienić, czy odwołujemy się bezpośrednio do oryginału unijnego?

Odwołujemy się bezpośrednio do oryginału unijnego. Jeżeli tak się zdarzy, że poruszymy jakiś temat, o którym wiem, że Polska zamierza modyfikować, to będę to sygnalizował, ale sygnalizował z takim zaznaczeniem, że jeszcze to nie jest ten ostateczny kształt. Na ten moment mogę powiedzieć, że bardzo jest możliwe, że Polska skorzysta z możliwości wprowadzenia innego wieku. Mam tu na myśli to, że w RODO jest wspomniane, że jeżeli przetwarzamy dane osobowe osób, które mają na przykład 16 lat, to powinniśmy mieć na to zgodę ich przedstawiciela, czyli najczęściej rodzica. Można ten wiek modyfikować, obniżyć aż do 13 lat, no, i najprawdopodobniej Polska skorzysta z tej możliwości i skończy się na tej trzynastce.

Czyli gdyby piętnastoletni syn naszego słuchacza chciał założyć konto na Facebooku, to nie będzie mógł tego zrobić bez zgody rodziców?

Na to się zapowiada. Sam się zastanawiam, jak Facebook z tego wybrnie. Ja myślę, że oni sobie z tym poradzą, natomiast na ten moment, jeżeli nie będzie jakichś szaleńczych zmian, to jest całkiem możliwe, że ta zgoda będzie konieczna. Zwróćmy uwagę, że w tej chwili niejednokrotnie potrzebna jest ta zgoda, a który rodzic wie, że jego dziecko ma to konto? To jest odrębny temat, na ile te przepisy nie będą martwe. Jednak w większości te przepisy są zmianą na lepsze i nie będa martwe w przeciwieństwie do wielu tych, które teraz obowiązują.

Zrobiliśmy małą dygresję w stronę nastolatków, ale pójdźmy po kolei. Powiedziałeś, że te przepisy powinny być prostsze, łatwiejsze, więc zacznijmy od tego, jakie obowiązki, które dzisiaj mają firmy, znikną w porównaniu do obecnie obowiązującej ustawy o ochronie danych osobowych? Czego nie trzeba już będzie robić?

Od maja nie będzie trzeba ewidencjonować osób, które są upoważnione do przetwarzania danych, czyli nie trzeba będzie robić kolejnej listy osób mających dostęp do danych osobowych, bo to jest już incepcja. Nie będzie też konieczności nadawania tym osobom upoważnień na piśmie, co w wielu przypadkach nie było robione, bo ludzie albo o tym nie wiedzieli, albo – co jest bardziej prawdopodobne – nie chcieli wiedzieć. Bo co z tymi upoważnieniami pisemnymi potem robić? Z moich doświadczeń mogę powiedzieć, że to było przestrzegane ewentualnie w urzędach, bo wiadomo, że urzędom nie przeszkadza nadmiar papierów, a zrobią wszystko, żeby mieć osłonięte swoje cztery litery przed tym, że ktoś mógłby powiedzieć, że zaniedbali jakiegokolwiek obowiązku. Urzędnicy akurat nie mieli z tym kłopotu, natomiast w biznesie to ewidencjonowanie było sztuczne i to zniknie.

To już trochę zasygnalizowałem, ale opowiadałem tę historię, jak występowałem na I love marketing. Mój kolega zrezygnował ze swojego banku, ponieważ irytowało go to, że jego bank co chwilę mówi mu, że ma zmienić hasło, jak to hasło ma wyglądać itd. To był jedyny bank, który przestrzegał tych przepisów, ponieważ obowiązujące przepisy mówią o tym, jak często zmieniać hasło, jak ono powinno wyglądać itd. Jest to błąd, ale wiadomo, że lubimy mieć do tych samych miejsc ciągle to samo hasło, nie zmieniać go latami, a w połowie przypadków jest to imię zmarłego zwierzaczka, więc lepiej tutaj uważać.

Nie będzie tego obowiązku narzuconego, ile razy to hasło musi być zmienione, będzie to bardziej dążenie zagwarantowania bezpieczeństwa, a sposób jest wtórny. Może to będzie odpowiedni system dotyku, może jakieś inne zabezpieczenia, o których jeszcze nam się nie śniło.

Ma być bezpiecznie i nikt nie będzie wnikał, jak ty to zrobisz. Sam sobie to jakoś narzucisz, będziesz mógł sam siebie z tego rozliczać. Jeżeli któraś z osób, których dane przetwarzasz, będzie chciała się tego dowiedzieć, to będzie mogła, ale będzie to dużo bardziej przejrzyste. Mówiliśmy o tym, co znika. Znikają takie papierki, które w wielu przypadkach były traktowane po macoszemu, mam tu na myśli politykę bezpieczeństwa, to nie jest to samo, co polityka prywatności, po prostu inny plik i tego nie będzie, więc nie ma specjalnie po co tego omawiać, również instrukcja zarządzania systemem informatycznym, czyli takie informatyczne zestawy dobrych praktyk, z tej instrukcji miało wynikać, jak to jest zabezpieczone, w którym miejscu co jest trzymane, na jakich zasadach, z jakimi dostępami, od razu zastrzegę, nie mówię, że konieczność spisania tego znika, bo to się pojawi gdzie indziej, ale ten dokument jako odrębny i w gruncie rzeczy rzadko kiedy używany – zniknie.

Ma być bezpiecznie i nikt nie będzie wnikał, jak ty to zrobisz

To, co jeszcze warto dodać, to jest to, od czego w gruncie rzeczy mogłem zacząć, czyli znienawidzony przez wielu obowiązek zgłaszania zbioru danych osobowych do GIODO – tego nie będzie.

A czy będzie w ogóle GIODO, chciałem zapytać, bo podobno też się szykują jakieś zmiany i już go nie będzie.

Nie będzie GIODO – to prawda. Będzie, jakkolwiek to nie brzmi, PUEDO albo PUOD – czyli Prezes Urzędu Ochrony Danych Osobowych. Urząd oczywiście, w wielkiej mierze, będzie miał dotychczasowe kompetencje, natomiast zmieni się nazwa i będziemy mieli trochę inny kontakt z tym organem. Natomiast w tej chwili jest tak, że rejestry, kto te dane zbiera, są jawne. Można sprawdzić na stronie GIODO, czy ktoś taki zbiór zgłosił. Jeżeli jest się konkurentem tej osoby, to patrzy się, że się nie zgłosił, i można mu zaszkodzić. Prawdę mówiąc, z mojego doświadczenia, firmy dokonywały tego zgłoszenia, to była główna ich motywacja, żeby po prostu konkurencja czy nielubiany klient nie mieli okazji i pretekstu do nasłania kontroli. Na to się nakładał fakt, że urząd jest dość obciążony tymi tymi zgłoszeniami, więc one pojawiały się dużo później.

Tak naprawdę jedni robili to, żeby nikt im nie zaszkodził, drudzy robili to później, więc tamci się denerwowali, że jednak coś może im zaszkodzić, więc potem trzeba było im tłumaczyć, że zrobili to co do nich należało, a to, że się nie pojawiły, to nie ich wina. Więc to rodziło kolejny paradoks, że ludzie się cieszyli, że wysłali, mimo że ten obowiązek nie wyglądał na spełniony, bo nie widnieli na liście. Krótko mówiąc, ten obowiązek zniknie.

Rozumiem. Czyli mamy listę rzeczy, które znikają, jak ewidencja osób upoważnionych, zmiana haseł, polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, zgłaszanie zbiorów do GIODO i wydawać by się mogło, że w tej sytuacji „niech żyje wolność, wolność i swoboda” – no, ale nie jest tak fajnie. Pewne rzeczy się jednak pojawią i ja sobie je wypisałem, bo znalazłem taką listę, natomiast chciałem cię dopytać o szczegóły, co to tak naprawdę oznacza. Z tych rzeczy, które się pojawiają, a których wcześniej nie było, są dwie, które nie wiem, czy będą miały jakiś swój polski odpowiednik, ale bardzo często mówi się o nich po angielsku privacy by design i privacy by default.

Zgadza się.

Co kryje się za tymi określeniami? Co to jest privacy by design?

Najprościej będzie mi to powiedzieć na pewnym przykładzie. Jeżeli mamy do czynienia z jakimiś naszym produktem, który będzie miał po drodze wersję beta albo jak to jest w start-upach – NVP demo, krótko mówiąc taką niefinalną, to należy zadbać o te dane i o te wszystkie kwestie już na etapie tworzenia.

Wszystko jasne. A co to jest privacy by default?

To jest układ trochę analogiczny, dlatego te dwa angielskie sformułowania pojawiają się nieraz w pakiecie. Chodzi o to, że domyślnie będzie się pobierać od nas takie dane, które są potrzebne do tej konkretnej działalności czy aplikacji.

Swego czasu była afera dotycząca aplikacji Prisma – to taki generator, który ze zdjęcia robi obrazy, bo wszyscy się przerazili, jakie to narzędzie ma wielkie uprawnienia i regulamin, który pozwala na strasznie duży obrót danymi. Nawet pisałem o tym artykuł u siebie na blogu i wykazałem w nim, że to jest kopia regulaminu Instagrama i jeżeli się tym przerażacie, to równie dobrze bójcie się Instagrama. Jedyna różnica jest taka, że Instagrama się nie boimy, bo to są serwery amerykańskie, a w Prismie były to te słynne ruskie serwery. Więc ta Prisma, mimo że jest aplikacją do obróbki fotografii, oczekiwała dostępu do naszego mikrofonu, do naszej listy znajomych, no, i w gruncie rzeczy – po co? Korzystała z takiej, nazwijmy to, szarej strefy, która jest obecnie i pozwala tak robić.

Privacy by default sprowadza się do tego, że trzeba będzie podać takie dane, jakie są potrzebne, albo wykazać konieczność ich podania.

Jeżeli chodzi o privacy by default to mam parę dodatkowych pytań. Załóżmy, że rejestruję użytkowników i proszę ich, żeby podczas rejestracji, jako nawet nieobowiązkową informację, podali swoją datę urodzenia i płeć, bo chcę się z nimi poprawnie komunikować po polsku, chcę im wysłać na przykład jakiś rabat czy niespodziankę na urodziny. Czy z punktu widzenia RODO to jest uzasadniony cel?

Tak, tym bardziej, że wspomniałeś o tym, że jest to dobrowolne.

Jeżeli nie poda daty urodzenia, to nie wyślę mu prezentu, ale jeżeli mi nie poda płci, to wtedy nie będę wiedział, jak się zwracać do tej osoby, domyślnie użyję formy męskiej, a może dostanie to kobieta, więc gdybym żądał takiej informacji jako obowiązkowej, to nie przesadzam tutaj z moją zachłannością na dane osobowe?

W mojej ocenie nie. Nie mogę tutaj słuchaczom obiecać, że ktoś nie zaszaleje i nie będzie mieć roszczeń z tego tytułu. Zresztą chyba mało komu w ogóle przeszkadza to, że musi się podzielić swoją płcią, zwłaszcza jeżeli jednocześnie podaje imię.

Załóżmy, że chcę zbierać takie dane, których nie potrzebuję dzisiaj, ale chcę je wykorzystać w dającej się przewidzieć przyszłości, bo na przykład planuję wypuszczenie nowego produktu, ten produkt będzie dostępny tylko w Warszawie i dlatego proszę o adres zamieszkania, żeby wiedzieć, czy ci ludzie, którzy się zapisują na listę, są z Warszawy, Łodzi czy z Poznania, bo być może za kolejny rok wypuszczę taki sam produkt w Poznaniu. Więc czy takie zbieranie danych z wyprzedzeniem to jest coś dozwolonego czy nie?

Ja bym rozwiązał to w ten sposób, że zbierałbym je rozróżniając w sposób jednoznaczny. Załóżmy, że trafisz na użytkownika, który jest świadomy RODO i właśnie tej zasady, o której rozmawiamy – privacy by default, i on sobie pomyśli: „Zaraz, zaraz, ale po co im adres?”. Jeżeli wcześniej poinformujesz, że „robimy tutaj jeszcze taki produkt, potrzebne będzie miejsce zamieszkania, jeżeli chcecie to dawajcie i postaramy się dać wam znać, jeżeli ten produkt wyskoczy”, to wtedy wszystko gra, bo ta osoba wie, że robi to dobrowolnie, jednocześnie wie, że jest to robione na tę konkretną potrzebę.

Jasne. A co w sytuacji, kiedy ja jednak nie wypuszczę tego produktu, no, i mam te dane, z jakiego miasta ci ludzie są, nie wykorzystuję ich, czy powinienem te adresy usunąć, czy powinienem ich powiadomić o tym, że będę usuwał, czy w ogóle się tym nie przejmować i one sobie tam mogą w tej bazie czekać na lepsze czasy?

W przepisach o danych osobowych nie ma czegoś takiego, że można się nie przejmować tym, że się ma jakieś dane i niech one sobie tam wiszą. Jeżeli masz czyjeś dane, a nawet o nie nie dbasz, bo okazały się niepotrzebne, jeśli na przykład miałeś to wydrukowane, to pójdą do śmieci i ktoś je jeszcze w śmieciach znajdzie. Jeżeli zdecydujesz się tego pozbyć z tak zwanych „internetów”, może na przykład miałeś tę listę na dropboxie i zapomnisz o tym, a okaże się, że to był publiczny folder i po dwóch latach ktoś się do tego dorwie – to wyniknie z tego, że ty nie pamiętałeś o tych danych, bo nie dbałeś o nie tak, jak o te „normalne” dane. Ja bym dla własnego bezpieczeństwa i…

…spokoju ducha

…tak, i przejrzystości wobec tej drugiej osoby, powiedział: „Słuchajcie, produkt nie wyszedł, pozbywamy się jednak waszych danych.” Z drugiej strony, po co nam te dane, jeżeli zgodnie z zasadą by default zebraliśmy te dane, których potrzebowaliśmy, a tych danych adresowych nie potrzebowaliśmy do tego produktu pierwotnego, to dane nam niewiele dadzą. Ja bym podzielił się z ludźmi wiadomością, że ten projekt jednak się nie odbywa i tych danych się pozbywamy.

Czyli usuwamy z bazy danych kolumnę z adresem. Rozumiem, że usuwamy tylko dane nadmiarowe, które nie są potrzebne?

Dlatego warto dokonać, o czym wcześniej opowiedziałem, takiego wyraźnego odróżnienia podawanych danych.

Czyli privacy by default i by design mamy załatwione. Nowa rzecz, która się pojawi w związku z RODO, to jest coś, co się nazywa okropnie, jak większość rzeczy w przepisach, czyli rejestr czynności przetwarzania.

Ale to warto zapamiętać, bo to jest jedno z ważniejszych haseł i z tym się z pewnością każdy będzie musiał w przyszłości spotkać.

Tak próbuję to skojarzyć z jakimś bardziej przyjaznym słowem, bo skrót jest RCP i pierwsze co mi przychodzi do głowy to robocop. Może się nie przyjmie ta nazwa [śmiech]. Co ten rejestr czynności przetwarzania powinien zawierać?

Tam powinny być cele, dla jakich te dane są przetwarzane, namiary na osoby, które są administratorami tych danych.

Podawaj od razu przykłady. Cele dla jakich dane są przetwarzane, czyli jest to baza ludzi, którzy zapisali się na mój newsletter, bo chcą dostawać informacje o kolejnych odcinkach mojego podcastu.

Zgadza się. Namiary na osoby dotyczą wszystkich administratorów danych. W rejestrze powinien być taki opis kategorii osób, których te dane dotyczą. Czyli w pewnym uproszczeniu, jakie to są osoby, w jakim na przykład są wieku, ale też co jest zbierane. Przekładając to na Excela: w kolumnach mamy imię, nazwisko, telefon, adres, więc wystarczy podać tutaj nazwy kolumn, bo to są w gruncie rzeczy te kategorie. Jeżeli mamy do czynienia z tym, że przekazujemy te dane poza Polskę, to warto by w tym rejestrze pojawiła się nazwa tego kraju lub organizacji, do której są przekazywane dane. Chodzi o to, żeby było jasne, że nie jest tak, że wszystko teoretycznie w danych osobowych gra poza tym drobiazgiem, że ma do nich dostęp każdy mieszkaniec Bangladeszu.

I teraz dwie kwestie, które nie są w tym rejestrze obowiązkowe, ale jeżeli to możliwe, to warto, żeby się pojawiły. Pierwszą z nich jest taki ogólny opis technicznych i organizacyjnych środków do zabezpieczania, czyli kwestie pseudonimów, szyfrowania. To jest w mojej ocenie, to co omawialiśmy wcześniej, dawna instrukcja zarządzania systemem informatycznym. Dlatego sygnalizowałem, że to nie jest tak, że ten obowiązek posiadania tego rodzaju zbioru dobrych praktyk znika, tylko nie jest wymagany sam ten dokument, ale warto żeby w rejestrze, który będzie takim głównym, największym, w większości przypadków jedynym dokumentem, to się pojawiło. Jeżeli jest to możliwe, mile widziane jest podanie, kiedy planowane jest ewentualne usunięcie poszczególnych kategorii danych.

Aha. Rozumiem, że to może być właśnie taka sytuacja, że zbieramy je w jakimś konkretnym celu, na przykład robimy imprezę, zbieramy dane uczestników imprezy z jakiegoś powodu, impreza się kończy, rozliczamy ją, kończymy, zamykamy, usuwamy te dane i wtedy możemy podać termin, o to chodzi?

Zaryzykuję, bo to jest jeszcze niewdrożone w praktykę, ale w mojej ocenie będzie to też mogło dotyczyć tej sytuacji, że pobraliśmy więcej danych na zapas i był ten pomysł, że będzie jakiś dodatkowy produkt tylko dla osób o danym adresie. Tak teraz myślę, że tutaj prawdopodobnie można by ewentualnie rozwiązać to w ten sposób, że ta kolumna będzie istnieć do, powiedzmy, pierwszego stycznia, a już pierwszego stycznia będziemy wiedzieć, czy ten produkt wyszedł czy nie, bo to jest uzależnione na przykład od rozmów z inwestorem, które mają skończyć się w grudniu.

Dobra, czyli ten rejestr czynności przetwarzania to jest tak naprawdę kluczowy, podstawowy, najważniejszy dokument w firmie, który określa to, jak my chronimy te dane i jakie to są dane.

Tak.

Kiedy zgłaszało się zbiory danych osobowych do GIODO, to trzeba tam było podzielić te dane czy te zbiory właśnie według celów, do których służyły: czyli osobno klienci, osobno subskrybenci newslettera, a osobno uczestnicy konkursu czy tam jeszcze ktoś. Czy nadal trzeba będzie w ten sposób te dane rozdzielać?

Tak. Dotąd to były osobne zbiory i była ta dziwna nieco sytuacja, że jedna firma miała teoretycznie kilkaset baz. W tej chwili też warto, żeby to w rejestrze się znalazło: tutaj mamy nową listę naszych klientów na ten produkt, tutaj newsletterowców, tutaj uczestników eventu i tak dalej.

Mówiłeś o sposobie zabezpieczania danych, o tym co kiedyś było w instrukcji zarządzania systemem informatycznym. Zastanawiam się, jak bardzo szczegółowe powinny być te informacje. Czy jeżeli na przykład napiszę, że użytkownicy zapisują się przez stronę zabezpieczoną SSL-em i dane ich są przechowywane w serwisie jakimś tam, to wystarczy, czy ja muszę się w jakiś sposób zagłębiać w środki zabezpieczające stosowane przez zewnętrzne serwisy, jak ja to w ogóle mam zrobić, jeżeli to jest zewnętrzny serwis, a on niekoniecznie zdradzi nam swoje techniczne detale?

Musisz pamiętać, że ten rejestr będzie w gruncie rzeczy dokumentem w pewien sposób wewnętrznym i to jak on będzie wyglądać, w dużej mierze zależeć będzie od tego, jak ty sobie to rozegrasz, co sprowadza się do tego, że pewnie już części słuchaczy przeszło przez myśl i muszę to przyznać z żalem, że będzie można zrobić tak, że dowiadujemy się o kontroli i dopiero w tym momencie zaczynamy tworzyć rejestr. Oczywiście bardzo to odradzam. Ale teoretycznie jest to możliwe. Będzie to dokument wewnętrzny, w przeciwieństwie do zgłoszenia zbioru, nigdzie nie jest „wypuszczany”. Więc to w dużej mierze zależy od ciebie.

To, co powiedziałeś o SSL-u w mojej ocenie byłoby wystarczające, z drugiej strony nikt nie broni ci wejść głębiej i będzie to na pewno jeszcze lepiej widziane w przypadku kontroli albo w przypadku wycieku danych. Pewnie poniesiesz jakieś konsekwencje, jeżeli wyciekły dane, natomiast ta kara jest umiarkowana, w dużej mierze zależy to od tego, jak wyglądały te procedury. Jeżeli okaże się, że ten rejestr jest, krótko mówiąc, świetny i naprawdę te procedury dawały radę, to chętniej urzędnicy uznają, że to jest naprawdę nieszczęśliwy wypadek, aniżeli w sytuacji, kiedy ten rejestr nie istnieje albo jest zrobiony trochę na odpiernicz i widzimy, że tak naprawdę nikt tutaj się specjalnie tym nie przejmował, to tam w takim razie będą mieli gorsze konsekwencje z tytułu tego wycieku, żeby się nauczyli na przyszłość.

Kara za wyciek danych jest uzależniona od wielu czynników

Rozumiem, że ten rejestr czynności przetwarzania to nie jest jakiś formularz, który trzeba wypełnić, bo mówisz, że on jest bardzo elastyczny, że to jest dokument wewnętrzny, czyli tak naprawdę to może być zwyczajny plik tekstowy, w którym ja sobie spiszę te wszystkie ważne rzeczy i te elementy, które wymieniłeś na początku.

To, co jest bardzo ciekawe, ten plik może być również w formie elektronicznej. Pewną wskazówką jest to, że RODO zachęca do takich kodeksów dobrych praktyk, certyfikatów, wewnętrznych stowarzyszeń. To jeszcze nie istnieje, więc będę tutaj podawał hipotetyczne nazwy, ale wyobraź sobie, że może powstać jakieś stowarzyszenie informatyków, którzy dobrze dbają o dane osobowe, oni będą nadawać certyfikat i wszyscy będą mieli odpowiednie praktyki i ujednolicony w miarę ten dokument. Natomiast, to nie jest tak, że jest jakiś specjalny, przynajmniej na ten moment, dokument, który ma jakiś narzucony wzór.

Dochodzimy do punktu, który moim zdaniem jest po prostu strzałem w brzuch, dlatego że mamy obowiązek wykazania, że przetwarzanie danych przez nas jest prawidłowe. Jak ja mam to określić, mam znaleźć laboratorium, które mi to zmierzy? Jak ja mogę być pewien, że dobrze przetwarzam dane, jeżeli rozporządzenie jest na tyle niedookreślone, elastyczne i otwarte, to jak ja to mogę zrobić?

Tutaj najwygodniej będzie mi się odnieść do tego, co przed chwilą powiedziałem, czyli do tych kodeksów dobrych praktyk.

O ile będą.

Będą. Myślę, że jestem w stanie ci to zagwarantować, bo po prostu wszystkim będzie się to opłacać, nawet jeżeli będą z tego tytułu coś tam kasować. Każdemu będzie się opłacać mieć za sobą kogoś większego i powiedzieć jak to zwykle się mówiło w szkole: „No, tak, no, tak, zepchnąłem koleżankę ze schodów, ale to cała klasa spychała”, więc wiesz, o co chodzi. Każdemu bardziej na rękę będzie powiedzieć, że jest częścią czegoś większego, więc o ile nie dojdzie do takich typowo polskich wypaczeń przepisów, to myślę, że będą tego typu podmioty. Zresztą uchylę rąbka tajemnicy, że są ze mną prowadzone rozmowy, żeby legitymizować taki podmiot, więc tym bardziej mogę z czystym sumieniem powiedzieć, że jest szansa, że tego rodzaju certyfikacje będą się pojawiać.

Czyli to jest coś w stylu norm przy produkcji różnego rodzaju wyrobów. Norma nie jest obowiązkowa, ale produkt spełnia założenia normy, to przyjmuje się, że spełnia warunki bezpieczeństwa.

Tak. I będą kodeksy dobrych praktyk, certyfikaty. Tu nazewnictwo jest wtórne, chociaż przewija się przez te przepisy. Będzie możliwość stwierdzenia, że robimy to dobrze, bo jesteśmy częścią grupy, która to robi dobrze.

Dobra. Z tych nowości jeszcze wprowadzonych przez RODO jest obowiązek spowiedzi to znaczy trzeba samemu zgłosić się do GIODO, PUEDO czy PUOD.

Samodonos krótko mówiąc.

Tak, samodonos. Trzeba powiedzieć: „zgrzeszyłem, naruszyłem, proszę mnie ukarać”. I trzeba to zrobić w ciągu maksymalnie 72 godzin od momentu, kiedy zorientuję się, że naruszyłem przepisy. Pierwsza sprawa, jak urząd określi, że ja wiedziałem o tym od 72 godzin? Z jednej strony przepisy są elastyczne, ale w tym momencie wydają mi się takie trochę mało prawdopodobne, bo jak oni to ustalą?

Przypomnę, jak to wygląda w tej chwili. Bardzo często jest tak, że przez mojego walla na Facebooku przewijają się kolejne artykuły z Niebezpiecznika, z Zaufanej Trzeciej Strony informujące, że z danego banku nastąpił duży wyciek. Bank ze względów PR-owych do wycieku się nie przyznaje. Z jednej strony można to zrozumieć, ale to jest nie fair wobec osób, których dane są przetwarzane.

Bank do końca idzie w zaparte, niby wszystko gra, jak potem się go dopyta, to odpowiada: „Przyznajemy, że były prace techniczne, być może jest delikatne ryzyko, że coś tam wyszło” i rozmydla ten komunikat, mimo że w gruncie rzeczy już od samego początku wie, że wyciekło tyle danych, w takich godzinach, pobrane zostało tyle rekordów. Przecież oni to wiedzą. Intencja tego samodonosu jest przede wszystkim taka, żeby tej sytuacji uniknąć. Nie wiem, od którego momentu będą mierzone te 72 godziny, ale nie może być sytuacji, gdzie ktoś to zasygnalizował, media huczą, a bank mówi: „Wszystko ok, nie wprowadziliśmy żadnych procedur, bo u nas jest wszystko ok, nie wiem skąd macie tę informację”. To, co jest w tej chwili, to krótko mówiąc skandal. Nie powinno to tak wyglądać, więc stąd ten obowiązek samodonosu. A po drugie dokonanie tego samodonosu zmniejsza twoją karę za wyciek, bo ty współpracowałeś.

A czy to jest jakoś określone, o ile mniejsza będzie kara, jeśli ja się zgłoszę, albo ile większa kiedy się nie zgłoszę? Czy tutaj to zależy od decyzji indywidualnej?

Najczęściej o RODO słyszy się w kontekście tych słynnych kar. Wszyscy słyszeli pewnie o tym, że kara ma wynosić 4% rocznego obrotu, 20 milionów i takie historie. Będziecie dostawać albo pewnie już dostajecie takie maile, co trzeba zrobić, żeby tego nie płacić. Ja odradzam korzystanie z tych usług. W większości to pewnie będą kilkudniowe szkolenia, które będą polegały na przeczytaniu tego rozporządzenia na głos, ale nadal nie będzie wiadomo, o co chodzi i jak to RODO wdrożyć.

Kary mogą być oczywiście aż tak duże, tylko że to wiadomo bardziej dotyczy T-Mobile, Orange niż jakiegoś hydraulika, któremu wyciekła baza klientów. Warto, żeby twoi słuchacze wiedzieli, że wysokość ewentualnej kary zależy od wielu rzeczy, między innymi: jak duży był wyciek, jak duże jest przedsiębiorstwo, jaka jest skala wycieku. Dużo zależy od tego właśnie, czy ktoś współpracował, czyli czy poinformował organ, zgłosił, dokonał tego samodonosu, w jaki sposób współpracował, jakie podjął działania.

Dalsza rzecz, która też jakby uzależnia wymiar kary, to jest fakt, jak o te dane dbano do tej pory, czyli wracamy trochę do rejestru czynności przetwarzania i trudno żeby było inaczej. Wynikiem tego, że wyciekły dane, będzie to, że organ się nami zajmuje, sprawdzi, jakie były procedury obrotu danymi. Jeśli zobaczy, że naprawdę było dobrze i to musiał być wyjątkowo nieszczęśliwy wypadek, to wiadomo, że skala tej kary będzie trochę inna. Albo wyciek może być spowodowany tym, że wredny pracownik odchodząc, włamał się, znał hasła i naprawdę jawnie chciał zaszkodzić, i ciężko było temu zapobiec.

A może to być wyciek spowodowany tym, że lista klientów dostępna jest jako otwarty plik w dokumentach Google. Ja kiedyś miałem taki case, że na portalu Wrzuta pojawiła się Excelowa tabelka z danymi osobowymi. To wynikało z kolei z tego, że ta tabelka pojawiła się tam w wersji pustej, miało tam być „Dobra, to ściągajcie to i wyślijcie na maila wypełniony”, no, i ktoś to wypełnił na portalu, tam wisiały PESELE i inne dane.

Kara musi być dolegliwa, ale stańmy na chwilę po stronie organu – kara ma nas czegoś nauczyć i im bardziej powinniśmy się nauczyć, tym będzie większa.

Kara ma nas czegoś nauczyć. Im bardziej ma nauczyć, tym będzie dotkliwsza

Z całą pewnością to sam donos, o którym mówiłeś na początku, pewnie będzie psychicznie trudny dla wielu, ale myślę, że firmy szybko się tego nauczą. Ja mam z kolei przykłady z branży dziecięcej, gdzie zdarza się, że jakiś produkt na przykład nie spełnia wymogów bezpieczeństwa…

Tak, ja magisterkę o tym pisałem.

Więc wiesz, o co chodzi. Firmy początkowo miały problemy z tym, żeby same na siebie donosić, ale bardzo szybko się przekonały, że jeżeli wykazują taką wolę współpracy, to zdecydowanie działa na ich korzyść. Mówiłeś o tych przykładach m.in z bankami, które były tak bardzo jaskrawe, bo każdy wie, że jeżeli Niebezpiecznik pisze o tym, że z banku wyciekły dane klientów, to każdy czuje już mrowienie, jakie tam jego dane krążą po sieci, ale w praktyce, jeśli wyślę maila od klienta, a w stopce będą jego dane, do innego klienta, to ujawniłem dane osobowe. Niestety. Tylko czy ja to muszę zgłaszać? Czy co z tym robić?

Ciekawe pytanie, w tym kontekście w tej konkretnej sytuacji, pilniejsze byłoby tak na wszelki wypadek powiedzenie o tym klientowi, niż organowi.

OK, powiadomienie, że tutaj przez pomyłkę wysłałem informację czy jego dane innej osobie, „przepraszam” i nie wiem, co jeszcze mogę zrobić w tej sytuacji, nie cofnę wysłanego maila, niestety.

Tu niestety problem zostanie trochę po stronie osoby, której dane są przetwarzane, czyli to ona będzie musiała ewentualnie sobie na przykład zmienić maila, ale lepiej to powiedzieć, bo wiesz, gdyby twoje dane wyciekły, to wolałbyś to wiedzieć i móc coś z tym zrobić, niż dowiedzieć się o tym za późno, jak już ci wejdą na przykład na konto.

No tak.

Więc naprawdę zachęcam, żeby tego RODO, chociażby z tego punktu widzenia, się nie bać, po prostu odwróćmy sytuację, warto pomyśleć, że gdyby to moje dane wyciekły, to ja też wolałbym to wiedzieć jak najszybciej i coś z tym zrobić. Jeżeli dane wyciekły i wiemy, że gdzieś poszły, ale jeszcze nic się z nimi stało, a są na aukcji na TOR-ze, to znaczy, że jeszcze nikt ich nie kupił, więc każda z tych osób mogłaby na przykład to hasło zmienić.

Jasne.

A jeżeli to tam wisi, ktoś to kupi i cały czas nikt nic o tym nie wie, a ten, kto jest winny wycieku, zaprzecza, to w tym czasie ktoś to kupi, wejdzie ludziom na konta i zepsuje życie.

Z tych nowych obowiązków, które wprowadza RODO, został mi jeszcze jeden i jest to obowiązek informacyjny. Nie wiem, ile w tym jest prawdy, zaraz cię poproszę o weryfikację, ale słyszałem, że pod koniec maja przyszłego roku, mają nas masowo zalać maile od rozmaitych firm, które przetwarzają nasze dane. Czy to jest tak, że każda firma musi wtedy powiadomić wszystkich ludzi ze swoich baz, że ma ich dane, czy to jest jakiś wymysł i nie ma takiego obowiązku? Jeżeli ja w tej chwili te dane przetwarzam i ktoś mi je przekazał zgodnie z obecnie obowiązującymi przepisami, to ja nie muszę go powiadamiać o tym ponownie, że te jego dane mam?

Już teraz ludzie powinni wiedzieć, że są „przetwarzani”, natomiast pojawiają się nowości. Na przykład trzeba będzie podać podstawę prawną tego, na jakiej podstawie przetwarzamy. Niejednokrotnie będzie to oczywiście zgoda tej osoby przetwarzanej, ale trzeba będzie informować o zamiarze przekazania danych do państwa trzeciego, trzeba będzie wzmiankować o zabezpieczeniach, posiadanych certyfikatach. Trzeba będzie powiedzieć o prawie do przenoszenia danych, ale to poruszymy później. Pojawiają się nowości w tym obowiązku informacji i te obowiązki wynikają z tego, że pojawiają się nowe prawa dla osób, których dane są przetwarzane.

A co do twojego pytania, ciekawa sprawa, bo rzeczywiście istnieje ryzyko, jeszcze nie do końca wiadomo, jak to będzie wyglądać, jest ryzyko, że nagle wszyscy wyskoczą z tym, że nas przetwarzają. Na pewno co do tego nie ma wątpliwości, że ktoś będzie musiał nas o tym informować, jeżeli zacznie dane przetwarzać od maja. Z jednej strony będziemy najczęściej wiedzieć, że nas przetwarzają, bo wyraziliśmy na to zgodę, ale z drugiej strony, mamy się o tym dowiedzieć jeszcze raz, a to dlatego, żeby pojawiły się tam te informacje o naszych prawach, o tym kto jest odpowiedzialny. Bo tak to sobie klikniesz w checkboksa, no, i tyle.

Jestem realistą, wiem, jak wygląda czytanie regulaminów, i to, że ja znam często ich treść, to jest jednak zboczenie zawodowe. Dzięki temu, że pojawia się ten obowiązek, to my dowiemy się, na jakie cele udostępniamy dane, jakie są namiary na osoby odpowiedzialne, na jakiej podstawie prawnej oni to robią i jakie przysługują nam prawa.

Jasne. Powiedziałeś o tych różnych kategoriach informacji, które trzeba przekazywać użytkownikom. A jeżeli te informacje się zmieniają, jeżeli zmieniam operatora mailingu i dane użytkowników będą teraz przetwarzane nie przez firmę A tylko przez firmę B, to czy ja przy każdej takiej zmianie powinienem ich osobno informować, czy wystarczy, jeżeli ja ich poinformuję o stanie bieżącym dzisiaj, kiedy się zapisują, a później dam im jakiś panel użytkownika czy coś takiego, gdzie mogą sobie to sprawdzić?

Jeszcze raz upewnię się, czy dobrze zrozumiałem twoje pytanie. Chodzi ci o sytuację, gdy z jakiegoś powodu dane przeszły na kolejny podmiot, tak?

Tak, jeżeli, powiedzmy, korzystałem z serwisu Mailchimp i przerzuciłem się na Mailerlite i to się wiąże z tym, że dane będą przetwarzane przykładowo nie w Stanach tylko na Litwie, zmienił się podmiot, któremu ja powierzam te dane, to czy o każdej takiej zmianie powinienem osobno zawiadamiać użytkowników?

W mojej ocenie tak. Powinieneś osobno, na przykład mailem, zawiadamiać użytkowników. Prawdopodobnie różni prawnicy odpowiedzieliby różnie. Obawiam się, że raczej tak trzeba będzie. Być może praktyka po prostu wytworzy jakieś możliwości, żeby to robić. Przypuszczam, że najlepiej od strony użytkownika byłoby informowanie o tym od najbliższego newslettera. Nie osobny komunikat, tylko wplecenie tego w treść newslettera albo ustawienie tego jako otwierające się okienko na stronie internetowej i wymagające potwierdzenia. RODO to mimo wszystko przepisy, które mają być elastyczne, nadążać i nie robić dziwnych konstrukcji na przykład w internecie, tylko ułatwiać nam życie, a nie je utrudniać.

Przejdźmy do praw osób, których dane są przetwarzane, czyli naszych ukochanych użytkowników. Tutaj znowu pojawiają się pewne nowe rzeczy i taką rzeczą, która chyba budzi największe emocje, jest zakaz profilowania. Co to w ogóle jest profilowanie?

Zanim zdefiniuję profilowanie, musimy zrobić duże zastrzeżenie, że sformułowanie „zakaz profilowania” jest swego rodzaju uproszczeniem medialnym, które akurat w mojej ocenie jest szkodliwe. Jak pewnie pamiętasz, poświęciłem temu osobny slajd na I love marketing, to był jedyny slajd, na którym zdecydowałem się dosłownie przytoczyć treść przepisu, żeby nie było żadnych wątpliwości. Ja po prostu czułem taką potrzebę, żeby to przytoczyć wprost, ponieważ profilowanie to jest wnioskowanie, upraszczam oczywiście, o jednych danych osobowych na podstawie drugich.

Czyli jeżeli wiemy o tym, że Jakub Cyran uczęszcza do KFC, to potem bank czy ubezpieczyciel powinien powiedzieć panu Cyranowi „No, ale, panie Jakubie, tutaj stawka ubezpieczenia będzie wyższa, bo pan się źle żywi i tutaj widzieliśmy, że pan na stacji benzynowej kupował coś o 3.00 w nocy i bynajmniej nie było to paliwo.” i tak dalej.

Profilowanie to jest wnioskowanie o jednych cechach na podstawie innych. Spotykamy się z tym oczywiście w tej chwili niejednokrotnie, jest to jednak tak zwana szara strefa. Będzie to trochę bardziej sprecyzowane w RODO, ale nie w formie zakazu, bo to by była przesada, tylko że osoba, która padła ofiarą tego profilowania, będzie miała prawo sprzeciwić się decyzji, która jest efektem tego profilowania.

Wróćmy do przykładu Kuby, mam nadzieję, że za te przykłady nie wydłubie mi oczu. Kuba będzie mógł powiedzieć: „Państwo mi tu mówią, że ja nie mam prawa się na taką stawkę ubezpieczać, bo ja źle żyję, ale proszę państwa, proszę zwrócić uwagę, że tę kartę bankomatową, którą żeście mi sprawdzili, to ja dałem swojemu synowi, syn jest na studiach, jest październik, pierwszy rok, ja się nie dziwię, że on chodzi na stację benzynową. Niech pierwszy rzuci kamień, kto nie chodził w październiku na pierwszym roku studiów na imprezę i nie próbował się w ten czy w inny sposób na nich odnaleźć”.

Wiesz, trochę tutaj się rozpędziłem z tymi przykładami, natomiast mam nadzieję, że zrozumiałe jest to, co chciałem powiedzieć. To nie jest tak, że ten organ nie mógł profilować. Tylko ta osoba sprofilowana, jeżeli to profilowanie wywołuje jakieś skutki prawne czy życiowe, ma prawo się temu sprzeciwić. Prawdopodobnie będzie to jakaś procedura sprzeciwiania się, odpowiadania przez profilującego, przekazywania i tak dalej. Tutaj trochę muszę wróżyć z fusów. Clue jest takie, że profilowanie nie jest zakazane, i dlatego bardzo się sprzeciwiam temu sformułowaniu. Jest możliwość niepodlegania tej decyzji będącej efektem tego profilowania. Trzeba to będzie oczywiście ewentualnie wykazywać, ale to już odrębny temat.

Rozumiem. Profilowanie, czyli wyciąganie wniosków na podstawie jakichś danych, że coś tam innego ma miejsce na przykład, czyli inaczej mówiąc wnioskowanie. Mam jeszcze takie trzy bardzo konkretne pytania dotyczące profilowania. Wydaje mi się, że już po tym wyjaśnieniu, że tak naprawdę profilowanie to wnioskowanie, znam odpowiedź, ale na wszelki wypadek dopytam: czy tak zwane targetowanie behawioralne czyli dzielenie ludzi na różne kategorie na podstawie tego, w jakie linki klikają, to jest profilowanie czy nie? Segmentacja bazy, inaczej mówiąc.

Znasz odpowiedź, to jak oceniasz?

No, że nie.

Wiesz co, tutaj ciężko odpowiedzieć, ja bym zaryzykował, że tak, natomiast, to jest temat na przyszłość, pewnie bliżej maja się okaże.

OK. Ja myślałem o tym, że nie, bo jednak jest jednoznacznie powiązane – jest kliknięcie, jest baza. Powiedziałbym tak: zależy od tego, jaka jest baza. Bo jeżeli on kliknie w link, zobaczy wideo i ja go dodam do segmentu „ludzie którzy oglądają wideo”, tu nie ma profilowania. Ale jeżeli on kliknie „zobacz wideo”, a ja go kliknę do „ci którzy spędzają dużo czasu na kanapie”, to to już jest profilowanie.

No, tak, sam sobie odpowiedziałeś, nie wiem, czy nie lepiej niż ja, bo po prostu lepiej się też od strony technicznej na tym znasz. Natomiast myślę, że będę zmuszony chociaż raz w toku naszego spotkania powiedzieć to, czego tak słuchacze nie lubią w prawnikach, czyli „to zależy”.

Tak, słowo czy określenie klucz, ale to nie tylko u prawników, w różnych innych branżach też się przydaje.

Tak, ale staram się tego unikać.

Byłeś naprawdę bardzo dzielny, bo kawał rozmowy przetrwałeś bez tego określenia, także gratuluję. Drugie konkretne pytanie: czy remarketing, czyli na przykład reklama kierowana do osób, które odwiedziły naszą stronę internetową, to jest profilowanie czy nie?

Tutaj nie ma w mojej ocenie wnioskowania o ich cechach, bo to, że odwiedził stronę, to nie jest cecha, więc wydaje mi się, że można powiedzieć, że nie. Tutaj nie ma sytuacji, że ktoś odwiedził twoją stronę, prowadzisz powiedzmy stronę fitness, odwiedziły tę stronę dwie osoby, jedna z nich jest osobą interesującą się fitnessem, wysportowaną, a druga osoba to jest ktoś, kto trafił na stronę przypadkiem albo dlatego, że znajomy wysłał mu to dla beki. Ten komunikat trafi do obu tych osób, a więc nie zrobiliśmy wnioskowania o cechach tej osoby, że ta osoba jest wysportowana. Nie wiem, czy ten przykład jest najszczęśliwszy, bo wymyślałem go na spontanie.

Ale pokazuje o co chodzi. Pokazuje, że to mogą być zupełnie różni ludzie, więc jeżeli ja wyślę do nich reklamę z nastawieniem na przykład na odchudzanie, to czasem trafię, czasem nie.

Dokładnie. To, że ktoś odwiedził naszą stronę, nie jest jego cechą, a więc nie ma tutaj tego, że wnioskujesz o jego cechach na podstawie innych, tylko po prostu odwiedził stronę, no, i ty próbujesz znowu.

Dobra, to trochę zbliżone pytanie: czy używanie plików cookies to jest profilowanie? Załóżmy, że używam ich po to, żeby wyświetlać jakąś stronę osobie, która widziała już moją stronę, albo żeby ludzie, którzy wchodzą na moją stronę po raz pierwszy, widzieli stronę „Witaj, witam cię po raz pierwszy na mojej stronie”, a ci, którzy już wcześniej byli na mojej stronie i którym zapisano to ciasteczko, to widzą stronę „witaj ponownie”.

Myślę, że znowu można przyjąć założenie, że nie jest to jej cechą, że nas odwiedziła, czy nie.

Dobra. Nie chcesz, żeby używać określenia „zakaz profilowania”, więc go nie używajmy, ale pomówmy o wyjątkach w tej ogólnej zasadzie. Jeżeli jest taki wyjątek czy zasada, że użytkownik może się zgodzić na to, że może być profilowany. Wiem, że te przepisy jeszcze nie są takie do końca uszczegółowione być może w tej kwestii, ale czy taką zgodę wystarczy umieścić gdzieś w regulaminie, polityce prywatności czy to znowu ma być kolejny checkbox pod formularzem zapisu?

Widzę, żę zaczynasz ustawiać naszą rozmowę tak, że jednak mnie znienawidzą [śmiech].

Nie. Ty nie tworzysz tych przepisów, ty tylko pomagasz ludziom się w nich odnaleźć.

Ja uważam, że bezpieczniej byłoby, żeby w treści tego checkboxa o danych jednocześnie znalazła się kwestia profilowania. Tylko oczywiście to rozwiązanie, które teraz proponuję, powoduje, że nie można zgodzić się na jedno, a na drugie już nie. Uważam, że gdzieś na etapie nabywania produktu klient powinien się dowiadywać, że w ogóle profilowanie ma lub będzie miało miejsce, bo taka jest zasada, że jeżeli mamy profilować, to musimy mieć jego zgodę. Ta zgoda nie może być gdzieś zaszyta. Treść checkboksa jest tym miejscem idealnym. To, czego się pewnie obawiamy, to fakt, czy to nie będzie odrębny checkbox, ale teraz ciężko na to odpowiedzieć.

Dobra, to zostawmy to profilowanie. Najważniejsze wiemy – profilowanie to jest wnioskowanie na podstawie jednej cechy o jakiś innych cechach. Jest też coś takiego jak prawo do bycia zapomnianym.

O, to jest w ogóle piękna historia, jeżeli ją słyszałeś, bo prawo do bycia zapomnianym już funkcjonuje.

Tak, wiem. Chcesz opowiedzieć o gościu, który tak bardzo chciał być zapomniany, że został niezapomniany [śmiech].

Tak, dokładnie. Widzę, że czytałeś u mnie na blogu. To jest fantastyczna historia. Gość nie chciał, żeby pewien wynik w Google się znajdował, ponieważ dotyczyło to jego jakieś starej sprawy, chyba długów, w każdym razie kompletna zaszłość. Ale z jakichś powodów nadal informacja wisiała w czołowych wynikach. Facetowi mogło to trochę psuć reputację, jeżeli potencjalni kontrahenci znajdowali te informacje w czołówce. Zaczął się więc z Googlem procesować po to, żeby nie nagłaśniano jego kwestii. Ostatecznie facet stał się precedensem i jego nazwisko jest słynnym wyrokiem, więc trochę mu nie wyszło. Ale wygrał. No, i to jest clue, że tym sposobem powstało prawo do bycia zapomnianym.

Notabene, można sprawdzić u mnie na blogu, jak on się nazywa. Jedną z moich ulubionych zabaw na szkoleniu jest omawianie tego przykładu. Jak już wszyscy zrozumieją, o co chodzi, sprawdzą, że faktycznie nie ma tego wyniku w Google’u, to wtedy wchodzimy sobie wszyscy razem w Binga i w Yahoo i oczywiście wynik jest [śmiech].

Prawo do bycia zapomnianym w pewien sposób funkcjonuje już w tej chwili. Wyszukiwarki mają obowiązek, jeżeli sobie tego zażyczymy, i wykażemy powód – odpowiednie wyniki usunąć. Tylko dotąd opierało się to na wyroku, potem na kolejnych z niego wynikających, na takiej praktyce sądowniczej. Teraz to prawo do bycia zapomnianym pojawi się jako wprost zapisany przepis, który przysługuje osobie będącej przetwarzaną.

Jeśli jest uzasadniona przyczyna, wyszukiwarki mają obowiązek usunąć konkretny wynik

I dotyczy to oczywiście nie tylko wyszukiwarek, ale wszystkich, którzy przetwarzają dane?

Tak.

To w takim razie, jeżeli na przykład zamieszczę na swojej stronie zdjęcia laureatów mojego konkursu, bo oni się zgodzili, to rozumiem, że taki laureat, w pewnym momencie też może powiedzieć: „Ja nie chcę i wszystkie ślady moje o tym, że kiedykolwiek taki konkurs wygrałem czy w ogóle brałem w nim udział, mają zniknąć”. Wtedy mam obowiązek je usunąć?

To jest odrębny temat, bo to nie jest prawo do bycia zapomnianym, tylko wprost prawo do usunięcia danych. Przełóżmy to na polskie realia. W Polsce był taki case, że facet miał jakieś procesy w latach 90-tych. Całe miasto tym żyło, ostatecznie go uniewinnili, ale to wisiało, jak się go wyszukiwało i on nie chciał doprowadzić do tego, żeby te artykuły zniknęły, bo nie wyrzekał się tego, że to się działo. Jemu zależało na tym, żeby jak ktoś wpisuje go w Google, to żeby te artykuły o oskarżeniu się nie pojawiały, bo to mu trochę psuje markę. W związku z tym, że one się przestały pojawiać, to prawdopodobnie zaczęły się pojawiać artykuły o tym, że został uniewinniony, albo, jeżeli sobie tego życzył, to w ogóle poznikały wszystkie w tym temacie.

To są dwie odrębne kwestie: prawo do bycia zapomnianym i prawo do usunięcia. Jeżeli ktoś chciał, żeby dane usunąć, a wcześniej na przykład nie zagwarantowałeś sobie w regulaminie konkursu, jeśli sobie zastrzeżesz w regulaminie, że to będzie wisiało przez jakiś czas, to wisi i tyle. Myślę, jaki może być konkurs, z którego ktoś nie będzie dumny. Załóżmy, że jest to konkurs na wymyślenie hasła reklamowego dla prezerwatyw i może z jakiegoś powodu był później znanym lekarzem…

Później skończył wreszcie seminarium.

O, właśnie, to jest jeszcze lepszy przykład, zabawniejszy. No, i skończył seminarium i wolałby, żeby nie było tych wyników w Google. Wtedy jak najbardziej racjonalne jest prawo do sprzeciwu i on ma prawo oczekiwać usunięcia tych wyników.

Staram się wyłapać, o co chodzi z tym zapomnieniem.

Chodzi o to, żeby wyszukiwarka zapomniała, że taki wynik wyszukiwania istnieje.

OK, czyli chodzi tu o wyszukiwarkę. Prawo do sprzeciwu, bo już tak niechcący zahaczyliśmy. Znalazłem coś, co dla mnie oczywiście jest czarną magią, bo znalazłem taki fragment: „pozwala zabronić przetwarzania dokonywanego z powodu jego niezbędności”. O co chodzi w ogóle?

Najczęściej kojarzy ci się, że twoje dane osobowe przetwarzane są w wyniku twojej zgody, ale nie zawsze musi tak być. Może być na przykład, że przetwarzane są bez twojej zgody z jakiegoś powodu. Weźmy szpital. Nie zgadzałeś się, ale gdzieś są twoje dane osobowe i to na dodatek bardzo intymne, bo może nie życzysz sobie, żeby jakieś twoje choroby powyciekały. Tutaj mamy do czynienia z przetwarzaniem bez zgody, a dokonywanym właśnie z powodu niezbędności. No, i prawo do sprzeciwu pozwala powiedzieć takiemu podmiotowi: „ja sobie nie życzę”. To się w pewien sposób łączy z obowiązkiem informacyjnym, oni ciebie poinformowali, że przetwarzają twoje dane bez twojej zgody, ty się o tym dowiedziałeś i w tym momencie masz prawo się sprzeciwić.

Jasne. To wszystko jasne. Prawo do sprostowania – no, to chyba jest dosyć oczywiste. Jest coś takiego, jak prawo do informacji i prawo dostępu. To nie jest to samo?

Nie, bo masz prawo do informacji na przykład o tym, że jesteś przetwarzany i wiesz jaki jest rodzaj tego przetwarzania, czyli znowu wrócimy do tego przykładu Excela – możesz na podstawie prawa do informacji dowiedzieć się, że: przetwarzane jest pana imię i nazwisko, adres, PESEL.

Nagłówki kolumn mogę poznać.

Dokładnie. A jeżeli chodzi o prawo dostępu, to możesz się dowiedzieć, co w twoim rekordzie się znajduje. Z tego prawa dostępu wynika w pewien sposób prawo do sprostowania. Dzięki temu, że skorzystasz z prawa do dostępu, to sobie zajrzysz w te rekordy i możesz sprostować ich treść.

Dobra. Prawo do przenoszenia danych. Wiem, że to jest coś, co ci się bardzo podoba.

Tak. W mojej ocenie jest to bardzo wygodne. W tej chwili outsourcujemy jakąś usługę, niech to będzie pan mecenas Palak [śmiech]. Outsourcujemy prawnika i chcielibyśmy zmienić pana mecenasa Palaka, chociaż odradzam to oczywiście, ale gdybyśmy chcieli zmienić swojego prawnika, a ten dotychczasowy miał już dane osobowe, to wiązałoby się to dla nas z dużą niewygodą i dla tego nowego prawnika też, bo musielibyśmy znowu podawać te dane, znowu poświęcić na to czas i ten prawnik również.

Prawo przenoszenia polega na tym, że możemy oczekiwać od poprzedniego przetwarzającego, w tym przypadku prawnika, że te dane przekaże. Zaoszczędza to czas osobie przetwarzanej, zaoszczędza to czasu temu nowemu podmiotowi, który outsourcuje usługi na rzecz tej osoby, której dane są przetwarzane. A czy jest jakimś dużym obciążeniem dla tego poprzedniego? Umówmy się, że nie jakimś strasznym. Jest to prawdopodobnie kwestia przesłania jednego pliku mailem. Dlatego to mi się tak podoba.

Czy ja, jako firma, powinienem zrobić coś szczególnego, żeby umożliwić użytkownikom z mojej bazy skorzystanie z tych ich praw? Czy po prostu zostawić to im? Chcesz, to sam się dowiedz, jak to robić. Czy stworzyć jakiś system informatyczny, specjalną stronę, specjalne formularze, z których oni będą mogli skorzystać, żeby na przykład coś tam sprostować albo mieć dostęp do informacji?

Przede wszystkim powinieneś ich poinformować. Wracamy do obowiązku informacyjnego. Informujesz, że ja twoje dane przetwarzam, ja się nazywam tak i tak, robię to w takim celu i masz w związku z tym takie prawa. Z tych praw wynika to, że na przykład jeżeli chcesz mieć do nich wgląd, to musisz podać jakiś kontakt. Ja bym sugerował osobny mail na te potrzeby, który trafia do kogo trzeba – nie ogólny mail, który trafia do sekretariatu i może zostać ta wiadomość pomylona ze spamem i niechcący wyrzucona, a później trzeba będzie się tłumaczyć. W pewien sposób, nawet nie od strony prawnej tylko takiej praktycznej, szeregowo będą wynikać twoje powinności w tym zakresie.

Omówiliśmy trzy takie całkiem spore bloki. Pierwsza rzecz to jakie obowiązki znikają od maja, druga sprawa – jakie nowe obowiązki się pojawiają, trzecia rzecz – jakie są w świetle tych nowych przepisów prawa osób, których dane przetwarzamy. Czasami to się pokrywa z tym, co było do tej pory, czasami pojawiają się nowe rzeczy. I została nam czwarta rzecz, taka właściwie drobna ale trudno mi ją było przypiąć do którejś z tym poprzednich, czyli Inspektor Ochrony Danych. Wspomniałeś o tym, że w tej chwili jest ABI i ten ABI zniknie. Kto to jest ten Inspektor Ochrony Danych i jaka będzie jego rola w firmie?

Inspektor Ochrony Danych, jeżeli ktoś ze słuchaczy kojarzy ABI-ego, to najprościej będzie powiedzieć, że to dawny ABI. Natomiast zmiana nie polega tylko na nazewnictwie.

ABI to przypomnijmy Administrator Bezpieczeństwa Informacji.

Zgadza się. Ten skrót wydaje mi się mniej trafny niż dotychczasowy. Inspektor będzie się o tyle różnił, że w niektórych przypadkach będzie miał większe kompetencje, będzie mógł pilnować cię, czy przetwarzasz dane, i w to ingerować. To, co jest też sporą różnicą – będzie mógł sankcjonować.

Notabene, odzywają się do mnie ludzie z dużych w firm po to, żebym wdrożył im RODO. To najczęściej są osoby, które pięć lat temu na jakimś szkoleniu podpisały świstek, że są ABI. Teraz ktoś z zarządu mówi im: „Panie Janku, pan jest u nas ABI-m, więc słyszał pan, wchodzi RODO, ma pan się zająć tym wdrożeniem”. Szkoda mi tych osób, bo okazuje się, że w tej chwili obecnych przepisów mało kto rzetelnie przestrzega, wszyscy traktują je po macoszemu, ABI również. Teraz im przypomniano, gdy przepisy mają się trochę zaostrzyć. IOD, przyszły ABI, będzie miał trochę mocniejsze kompetencje i będzie mógł sankcjonować. Z tego wynika, że rozsądniejsze będzie też outsourcowanie tej funkcji.

Ale czy to znaczy, że w małej firmie taka osoba będzie musiała być i trzeba będzie zapłacić komuś za to, żeby był takim inspektorem?

Niekoniecznie. To nadal może być twój pracownik i nadal nie musisz z tego tytułu więcej płacić.

A jak mam firmę jednoosobową to mogę być to ja, jako właściciel?

Jak masz firmę jednoosobową, to nie ma sensu tego delegować, bo ty jesteś administratorem sam z siebie. W każdym razie, ta osoba to nadal może być pracownik. To nie jest tak, że RODO narzuca nam z tego powodu większy wydatek. Nadal jest mocna sugestia, żeby firma miała osobę odpowiedzialną za dane. Dotąd to był ABI, niejednokrotnie dotąd była to osoba, która była powoływana tylko proforma. IOD będzie mocniejszy, będzie miał większe kompetencje i większą możliwość sankcjonowania, czyli oczekiwania tego, że jego polecenia będą wdrażane.

Jeżeli mam małą firmę i mam trzech albo pięciu pracowników, to lepiej żebym to ja był takim inspektorem czy lepiej dać to jakiemuś pracownikowi, który będzie mi w takim razie wydawał polecenia?

Lepiej żebyś to był ty. Przynajmniej na tę skalę.

Mamy te różne elementy i teraz, jak je ułożyć w kolejności? Przede wszystkim, czy jest jakakolwiek różnica, czy ja do tej pory miałem zbiory danych zgłoszone do GIODO czy nie? Jak to realizować?

W kontekście wdrażania to akurat nie powinno stanowić różnicy. To znaczy pojawią się podmioty, które do maja będą mówić, żeby zrobić u nich szkolenie, bo są wielomilionowe kary albo wynoszące 4% obrotu, zrobią wam szkolenie dla pracowników i zapłacicie za to spore pieniądze. Często te firmy biorą kilkaset złotych od pracownika, a wy będziecie uważali, że każdy pracownik musi być przeszkolony, więc za to zapłacicie. Ktoś stanie z PowerPointem i będzie cytował przepisy. Potem twoi pracownicy się rozejdą i nie będą wiedzieć, co to ma wspólnego z nimi. Ich podejście do ochrony danych osobowych będzie niezmienne i tylko sobie pomyślą, że stracili czas i będą się wściekać, że nie zrobili swoich bieżących zadań, bo poszli na jakieś głupie szkolenie.

Dobra, czyli nie idźcie tą drogą. Nie inwestujcie w durne szkolenia. Wobec tego wiemy już, jak tego nie robić. Jak to zrobić dobrze?

Sugeruję tutaj, żeby dokonać zewnętrznego audytu tego, jak kwestia ochrony danych osobowych wygląda w tej chwili. Patrzymy na przykład na takie działy, jak dział sprzedaży. Dział sprzedaży podpisuje umowy z klientami, no, i tam są dane. Te dane przekazywane są działowi księgowości i tam jest ryzyko wycieku. Jakie są to dane? Czy na przykład mamy tutaj jakichś samozatrudnionych? Przypominam, że jeżeli mamy samozatrudnionych, to formalnie rzecz biorąc to jest inna firma, powinien się pojawić komunikat, że to trafia do innej firmy niż ta, z którą klient się umawiał.

Popatrz, jak obecnie wyglądają procedury bezpieczeństwa w twojej firmie

Rozmawiałem kiedyś o wdrożeniu RODO i prezes firmy mówi, że u nich wszystko gra, jeśli chodzi o dane, mają wszystko świetnie zrobione i nic nie wycieknie. Ja mu powiedziałem zgodnie z prawdą, że jak szedłem do gabinetu to minąłem recepcję i na recepcji wypluło się w moim kierunku z drukarki czyjeś CV. Wiem, jak ta osoba się nazywa, kiedy się urodziła i to CV nie powinno tam leżeć – powinniście mieć państwo procedury, że ta drukarka albo jest gdzie indziej, albo że jest stosowany AirPrint, a nie, że wydruk na niej leży. Na wydruku mogą być dane księgowe, CV, wszystko.

Robimy audyt, jak u nas te procedury wyglądają w tej chwili. Następnie drugim etapem powinno być doczesanie tych procedur. Jak powinny wyglądać umowy, jak powinny wyglądać procedury obrotu CV-kami, czy w ogóle powinny być drukowane? W tej chwili jak rozmawiamy z kimś na rozmowie kwalifikacyjnej, to nie musimy mieć przed nosem papierowego CV, tylko możemy mieć je na komputerze lub telefonie. Jak wyglądają procedury w kadrach? Jak wyglądają procedury w dziale sprzedaży? Co ten dział podpisuje? Dział sprzedaży podpisuje i ma takie dane – czy tam jest coś w stylu checkboksów w umowie? A może się tym zająć? Może warto przy okazji pomyśleć o kwestii profilowania.

Mógłbym tutaj mnożyć te przykłady. Może się okazać, że nasz podmiot jest salonem samochodowym i współpracuje z kredytodawcą. Wchodzisz do salonu, rozmawiasz ze sprzedawcami, niemal natychmiast, hipotetycznie oczywiście, jesteś w banku, czary-mary już podpisujesz umowę kredytową. Ale to też powinno być jakoś rozegrane, bo te dane przecież trafiają do banku. Powinna być na to jakaś zgoda, powinien być w jakiś sposób umocowany do tego sprzedawca.

Często jest tak, że te procedury są jakieś, nie mówię, że zawsze jest tragedia. Warto najpierw wiedzieć na czym stoimy, czyli po pierwsze audyt, dwójka w naszej wyliczance to procedury, procesy, dokumenty czyli pomyślenie, jak to ma wyglądać. Trójka – dopiero na tym etapie – szkolenie skrojone na miarę. Szkolenie nie powinno wyglądać tak, że pani z sekretariatu dowiaduje się, że są jakieś tam kwestie profilowania i że jest kara, która wynosi tyle i tyle, bo co to ją obchodzi? Pani z sekretariatu powinna się dowiedzieć, że teraz są takie przepisy, że w związku z tym drukarka ma stać inaczej. Ona ma nie dopuścić do tego, żeby ktoś jej zaglądał w ekran itp. Panie z księgowości czy z banku powinny wiedzieć, jakie są specjalne kwestie, jeżeli obracają zarobkami danej osoby. Osoby z marketingu powinny się poduczyć o tym, jak RODO reguluje kwestie profilowania. Te szkolenia, kto wie, czy nie powinny odpowiednio dla danych osób trwać po godzinie, dwóch. Ale powinny być skrojone i naprawdę ich dotyczące.

Czwarty punkt jest dla chętnych – audyt i kontrola, która nie jest prawdziwą kontrolą, albo lepiej tajemniczy klient. Czyli przychodzi ci taki pacjent i próbuje z drukarki te CV wyciągnąć [śmiech]. To oczywiście już jest niekonieczne i jeżeli ktoś chce to zrobić po kosztach, to nie ma takiego obowiązku. Jeżeli zrobimy to w takim kwartecie: audyt, procedury, procesy, dokumenty, szkolenie skrojone na miarę, pod ewentualną czwórką wewnętrzny audyt po wdrożeniu i tajemniczy klient – to naprawdę można powiedzieć, że jesteśmy bardzo fajnie przygotowani.

Mam misję, żeby o RODO dowiedziało się jak najwięcej osób i jak najwięcej to wdrożyło. Żeby nie było tak po polsku, że wchodzi to w maju, a w kwietniu wszyscy zaczynają panikować, więc fajnie by było, jakby przedsiębiorcy zabrali się za to wcześniej. Natomiast jestem realistą i wiem, że na ten moment statystyki są takie, że najprawdopodobniej większość, a przynajmniej 40%, tego RODO nie wdroży u siebie.

Możemy tutaj wrócić do kwestii potencjalnej kontroli albo potencjalnego wycieku. Wyciekły nam dane, mieliśmy sami na siebie donieść, no, i mówimy: „Halo, ale panie PUODO, zrobiliśmy naprawdę wszystko, co mogliśmy, proszę zobaczyć, donieśliśmy sami na siebie, współpracowaliśmy przy tym wycieku, wyciek nastąpił, przyznajemy to, ale proszę spojrzeć, dochowaliśmy tu takich procedur, pracownicy byli przeszkoleni, były to zresztą szkolenia indywidualne, wcześniej mieliśmy audyt, mieliśmy tajemniczego klienta, naprawdę zrobiliśmy co mogliśmy”. Ta kara będzie się z każdym zdaniem tego typu zmniejszać, a niejednokrotnie, jeżeli to nie jest jakiś ekstremalny wyciek, może się skończyć na pouczeniu, ostrzeżeniu – bo ten repertuar kar nie jest tylko finansowy, tak jak u policjantów. Może się skończyć na pouczeniu i bez konsekwencji finansowych.

Powiedziałeś, że pewnie sporo firm nie zdąży do tego maja, nie wdroży tych wszystkich rzeczy, i chciałem się zapytać właśnie o terminy. Kiedy firmy powinny się za to zabrać? Skoro w tej chwili jeszcze nie ma finalnych przepisów, które będą w Polsce obowiązywać, za chwilę będą Święta, będzie Boże Narodzenie, potem zacznie się rok, no, i takie okienko, kiedy, wydawać by się mogło, jest optymalny czas, jest dosyć krótkie. Z drugiej strony, jeżeli ja wdrożę takie procedury nawet pojutrze, to czy trochę nie wyjdę przed szereg, bo ciągle jednak obowiązują stare przepisy?

Uważam, że jak najszybciej, z takiego prostego powodu, że zrobienie tego nie jest wyjściem przed szereg, bo ci nie zaszkodzi. To, że zaudytujesz firmę, że sekretarka odwróci tę nieszczęsną drukarkę i się nauczy jak, to robić, bo przecież to jest OK, teraz też.

Ale tych dokumentów, które dzisiaj obowiązują, nie wyrzucać, nie niszczyć, bo one ciągle są potrzebne.

Zwracam uwagę na to, że obowiązek zgłaszania zbiorów do GIODO zniknie, ale zniknie w maju i do maja ten obowiązek jest. Wiadomo, że przekazy medialne lubią to trochę upraszczać, więc jeżeli chcecie dobrze to wiedzieć, to nie skupiajcie się na takim mainstreamie, tylko wyczytajcie, jak to wygląda.

Jest jeszcze jeden aspekt, w który chciałem się wgłębić. Mówiłeś o tych procedurach i procesach, które zachodzą w firmach. W wielu przypadkach te procedury i procesy odbywają się w chmurze, czy to są mailingi, czy to jest CRM, czy to jest hosting, czy to są faktury. Trochę już o tym powiedzieliśmy, że tak naprawdę nie jestem w stanie ja jako przedsiębiorca, ocenić w pełni zabezpieczeń, które ma tego rodzaju podwykonawca, ale w pewnych momentach pojawiają się wątpliwości, takie trochę bardziej wyraźne, na przykład: czy lepiej korzystać z serwisów, które są serwisami unijnymi, czy mogę bez oporów korzystać z serwisów amerykańskich?

Przede wszystkim, jeżeli to będą serwisy unijne, to będą podlegać RODO, więc to jest najprostsza odpowiedź, jakiej mogę udzielić. Jeżeli chcemy mieć pewność, że jest to OK pod kątem RODO, to bierzemy coś z Unii, bo podlega takim samym przepisom. Natomiast co do serwisów amerykańskich, ciężko powiedzieć. Myślę, że powinno być tak, że jak dane przetwarzane są powiedzmy w Stanach, w Kanadzie, to raczej OK, no, ale jeżeli mamy tutaj do czynienia z Bangladeszem, to może być troszkę mniej mile widziane. Znowu sprowadza się to do tego, że nie jest to dla ciebie zabronione, tylko RODO narzuca na ciebie obowiązek poinformowania o tym, i to jest super. RODO narzuca na ciebie obowiązek, żebyś miał swój rejestr czynności przetwarzania, w którym będziesz miał powiedziane, jak jest to przetwarzane. RODO da prawo, żeby się tego dowiedzieć, osobie przetwarzanej, więc dla mnie to wszystko w pewien sposób się przenika i jest spójne bardziej niż obecny kształt, gdzie nikt nic nie wie.

Jest jedna rzecz, której na pewno nie wiemy, chociaż może ja nie wiem, może ty wiesz. Mówiłeś o serwisach unijnych i pozaunijnych, a jak w tym wszystkim ma się Brexit i Wielka Brytania?

Brexit rozciąga się w czasie. Wielka Brytania na pewno do maja nie opuści Unii, a więc obejmą ją te przepisy. Ona prędzej czy później wyjdzie z Unii, a pewnie i tak zostanie objęta RODO. Co się stanie później? Teoretycznie Wielka Brytania może zechcieć sobie te przepisy zamienić na inne, natomiast pewnie zauważyłeś, że Wielka Brytania dąży do wyjścia z Unii, a jednocześnie w dużej mierze jej przepisy są spójne z unijnymi, bo im się opłaca, żeby tak było. Oni oczywiście chcą nas opuścić na takich zasadach, żeby to, co jest dla nich korzystne, zostało. Do tego będą się sprowadzać te brexitowe negocjacje. Zakładam, że oni będą mieli RODO, bo nie będą mieli wyboru, a potem dla pewnej wygody je sobie zostawią, bo po co mają sobie wprowadzać jakieś rozróżnienie, skoro już los im narzucił to, że mają mieć zgodność z Polską, a mają u siebie tylu Polaków.

W kontekście powierzania danych w RODO jest zmiana na korzyść, bo możemy umowę nawiązać w formie elektronicznej i nie musi to być umowa podpisywana, wysłana. To zniknie. To było mało życiowe, bo jeżeli chcemy, żeby nasze newslettery wysyłał ktoś ze Stanów, to musimy przez wielką wodę wysyłać sobie nawzajem kawałek papieru.

Czy RODO pomoże nam pozbyć się spamu? Czy raczej nie ma na to szans?

Wydaję mi się, że spamu nie pozbędziemy się nigdy, natomiast RODO może nam o tyle pomóc, że dowiemy się, gdzie jesteśmy przetwarzani, gdzie są przekazywane nasze dane, będziemy mieli prawo się temu sprzeciwić. Jeżeli ktoś rzeczywiście się tym zajmie, skoncentruje mocno na tych kwestiach, to byłbym dobrej myśli, że trochę nam to ułatwi. Od strony ułatwienia pozbywania się spamu już istniejącego i minimalizowania jego ilości, a nie jestem w stanie zagwarantować zlikwidowania takiego typowego spamu.

Ostatnie już pytanie, już naprawdę na koniec. Jak zniechęcić spamera, jak sobie poradzić ze spamerem tak z prawniczego punktu widzenia, czy jest jakiś chwyt, czym ja mu mogę zagrozić? Nawet gdybym poszedł z tym gdzieś na policję? Jak nie wiem po pierwsze, gdzie z tym iść, a po drugie czego żądać, czy ja się mogę na tym wzbogacić, czy pieniądze mogą iść na cel charytatywny? Jak zniechęcić spamera?

Zwróć uwagę, że udało nam się przez całą naszą dzisiejszą rozmowę przejść w ogóle bez użycia słowa artykuł, paragraf, jakichś numerków i, wiesz, nie chciałbym psuć tej pięknej praktyki. Nie chciałbym teraz zarzucać jakimiś przepisami, zresztą cytując z pamięci, jest ryzyko, że coś powiem źle. Czy moglibyśmy się umówić, że ja bym podrzucił tobie, a ty osobom nas słuchającym, taki wzór ciętej odpowiedzi najeżonej prawniczym żargonem, której ten spamer się przestraszy.

No, panie mecenasie… Oczywiście, że tak! Z dużą radością.

To nie chodzi o to, żeby go z policją ścigać, ale żeby nie dostawać tego więcej. Można zrobić takiego straszaka. Podrzuciłbym ci coś takiego i może nagle zaczęłoby to krążyć po internecie i robić dobrą robotę.

W takim razie nie zatrzymuję cię, idź pisać. Na koniec jakieś słowa mądrości, takie podsumowanie, bo rozmawialiśmy długo. Z czym chciałbyś zostawić naszych słuchaczy, jeżeli chodzi o RODO?

RODO nie jest tak straszne, jak próbują was nastraszyć ci, którzy próbują na waszej niewiedzy zarobić. Jeżeli nie dowiedzieliście się wystarczająco o RODO w toku naszego spotkania, odezwijcie się do mnie i wam pomogę. RODO to nie jest jakaś straszna tragedia, mam nadzieję, że udało mi się przekonać was, że w wielu miejscach jest przychylne. Nie zostawiajcie tego na ostatnią chwilę.

Wielkie, wielki dzięki, bo to naprawdę kawał wiedzy i mam nadzieję, że uporządkuje wszystkim słuchaczom w głowach.

Dzięki, do usłyszenia!

Na stronie zostały wykorzystane linki afiliacyjne. Jeżeli wejdziesz przez nie na stronę sprzedawcy i dokonasz zakupu, sprzedawca podzieli się ze mną częścią swojej marży (nie wpływa to na twoją cenę). Wymieniam wyłącznie te produkty i usługi, z których rzeczywiście korzystam i jestem z nich zadowolony.

Przeskocz do: