Pobierz plik z transkrypcją

Dzień dobry! Witam Was w nowej rzeczywistości. Od dzisiaj obowiązują przepisy RODO. Podobnie jak Wy, my również przejedliśmy się mocno tym tematem, dlatego dzisiaj potraktujemy RODO na wesoło. Chcieliśmy zaprosić do studia Marylę Rodowicz, ale niestety, nie pasowało jej, więc dzisiaj jest z nami Piotr Dobrowolski, który jest radcą prawnym. Prosił, by nie nazywać go specjalistą od RODO, bo w ostatnim czasie każdy jest już specjalistą od RODO. Na wesoło, ale porozmawiamy także o tych problemach, które dotykają zwykłych ludzi i przedsiębiorców – o absurdach.

Witam w studiu Piotra Dobrowolskiego.

Dzień dobry!

Mieliśmy zrobić wymianę wizytówek.

Tak, oczywiście, bardzo proszę. I teraz przyjmij ode mnie, proszę, obowiązek informacyjny.

Muszę to podpisać?

Nie musisz. Natomiast w związku z tym, że zbieram Twoje dane osobowe, właśnie wykonałem obowiązek informacyjny. Oczywiście to żart. Nie tak to powinno wyglądać. We wczorajszej już Ustawie o ochronie danych osobowych też był taki obowiązek informacyjny, czyli jeżeli zbieram czyjeś dane osobowe, to muszę tę osobę poinformować o szeregu różnych kwestii. RODO wprowadziło tam pewne modyfikacje i teraz jest swego rodzaju szaleństwo z wysyłaniem tych informacji itd. I jest pytanie: co zrobić, gdy dostaję wizytówkę? Też powinienem w zasadzie poinformować, bo przecież zbieram Twoje dane. Jest tu Twoje imię i nazwisko i nawet Twoje dane biometryczne, bo jest wizerunek, telefon, mail. I co z tym zrobić? Oczywiście nie będziemy biegać z kartką. Niektórzy stosują taką praktykę, że po zakończonym spotkaniu wracam do siebie i piszę: „Cześć, Marcin, dziękuję Ci za dobre spotkanie”, podsumujemy sobie coś, notatkę robimy itd. i np. mogę w stopce maila wykonać obowiązek informacyjny, załączyć link do polityki prywatności na stronie. Natomiast broń Boże, żeby ktoś biegał z jakąś kartką do wizytówki, bo też się pojawiło: „Co z wizytówkami, czy w ogóle teraz wolno je dawać, czy nie?”. Obserwujemy różnego rodzaju szaleństwo, że w ogóle trzeba wizerunki zacierać, usuwać zewsząd imiona i nazwiska. Spotkałem się z takim poglądem, że w przychodniach lekarskich na tabliczkach przy nazwiskach lekarzy nie powinno być specjalizacji, bo osoba, która siedzi w poczekalni, jest wywoływana: „Marcin Tomczak proszony, gabinet numer pięć”. Kiedy idziesz do gabinetu numer pięć, a tam jest nazwisko specjalisty, to wszyscy dowiedzą się, co Ci dolega. Nie ulegajmy paranoi.

Tych absurdów jest bardzo dużo. Czy faktycznie świat zmienił się od wczoraj? Czy te przepisy są dla nas korzystne?

Trzeba powiedzieć o jednej rzeczy: ochrona danych osobowych to nie jest nowe zjawisko. Poprzednia ustawa obowiązywała u nas od 1997 r. – to była Ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. Wszyscy powinniśmy być z tym zjawiskiem oswojeni od dwudziestu lat. Natomiast RODO wprowadza pewną ewolucję, pewne zmiany podejścia do ochrony danych osobowych i tak naprawdę więcej ułatwia niż utrudnia. Problem, jaki jest z RODO, to to, że RODO jest przykładem tzw. soft law, czyli nie mówi konkretnie, co masz zrobić. Poprzednia Ustawa o ochronie danych osobowych i rozporządzenia wykonawcze do niej zakreślały konkretne obowiązki. Masz mieć politykę bezpieczeństwa, w tej polityce masz mieć to, to, to i to, masz mieć instrukcję zarządzania systemem informatycznym, masz to zabezpieczyć w taki i taki sposób. Robiłeś to, odkładałeś do szafy, jest git i niby jesteś bezpieczny. To kompletnie nie na tym polega.

Ja dzisiaj też zauważam tendencję do skupiania się na papierologii. Niektórzy myślą, że jak zrobię z tego dokumentację, podpiszę, umieszczę gdzieś na stronie jakąś politykę bezpieczeństwa, to jest git i jestem zabezpieczony. Tu nie o to chodzi. Zabezpieczanie danych to nie robienie papierów. To jest pewien element tego całego systemu, natomiast nie w tym rzecz. Chodzi o to, że to, co jest na tym papierze napisane, ma żyć, funkcjonować. RODO właśnie w ten sposób podchodzi, że nie będzie dyrektyw ani konkretnych nakazów, co masz zrobić, tylko ono mówi Ci, że masz zabezpieczyć to w sposób adekwatny. Adekwatny do czego? Do ryzyk. Podejście oparte na ryzyku – risk base approach – to jest zasada, która wynika z RODO. Oznacza ona, że jeżeli prowadzisz jakąkolwiek działalność gospodarczą, to masz sobie zdiagnozować, jakie mogą się wydarzyć ryzyka w stosunku do danych osobowych. Innymi słowy, jak one mogłyby zostać ukradzione, zmodyfikowane, w jaki sposób ktoś mógłby się włamać do Twojego biura i wynieść dokumenty? Jak ktoś może Ci ukraść komputer, fizycznie Ci go zabrać? Jeśli chodzisz po mieście, po knajpach, po spotkaniach z komputerem, na którym są dane osobowe, to co z nim robisz, w jaki sposób go pilnujesz, by nikt Ci go nie ukradł? Jak zabezpieczasz swoje środowisko IT, żeby ktoś z zewnątrz się do niego nie dostał? I to jest pewnego rodzaju problem.

Bo wszyscy mówią: „Przeczytałem to RODO, ale tam nic nie ma. Żadnych konkretów”. Jak się tak wczytać głębiej, to pewnie je odnajdziemy. Natomiast faktycznie RODO jest takim miałkim aktem prawnym, bo to jest soft law. Prawo zaprojektowane na kilkadziesiąt lat – mówi się nawet o pięćdziesięciu latach – po to, żeby nie musiało co chwilę nadążać za zmieniającą się rzeczywistością, żebyśmy nie musieli co chwilę go nowelizować, bo np. zmieniły się poziomy zabezpieczeń, to teraz nowelizujemy rozporządzenie wykonawcze, że już masz system szyfrowania danych nie taki, tylko inny. Nie, tu masz powiedziane „adekwatnie”, jeżeli pojawi się na świecie jakieś ryzyko, jeżeli okaże się, że dzisiejsze systemy szyfrowania danych są nieodpowiednie, bo można je łatwo złamać, to trzeba zastosować nowe. Każdy będzie to musiał zrobić we własnym zakresie. RODO nakazuje podejście nieustanne. To będzie pewnego rodzaju kontinuum. Nie jak dotychczas: robię dokumentację, coś tam podpisaliśmy, do szuflady, przyszła kontrola, pokazujemy, proszę, jest. Nie, RODO mówi, że masz te procesy nieustannie monitorować. Masz cały czas zastanawiać się nad tym, czy te ryzyka się nie zmieniają, nie rosną. Co jakiś czas robić sobie przegląd tych zabezpieczeń, jakie mamy w biurze. To jest ochrona danych osobowych.

Można byłoby zapytać: ale po co? Przecież to jest teraz problem. Jest taki żart prawniczy. Dzwoni ktoś do kogoś i mówi: „Cześć, słuchaj, mam problem, bo żona mnie pozwała o rozwód”. Ten odpowiada: „Słuchaj, mam świetnego adwokata”. „A mógłbyś mi podać jego numer telefonu?”. „Nie, nie mogę”. Przykład z wczoraj: dowiedziałem się, że w jednym z sekretariatów wydziału ksiąg wieczystych w sądzie komuś powiedziano, że w związku z wejściem RODO będzie problem z dostępem do danych dotyczących jego nieruchomości w księdze wieczystej. Nie o to chodzi. Nie popadajmy w paranoję. Skąd wzięło się RODO i ogólnie ochrona danych osobowych? To jest prawo do prywatności, a prawo do prywatności jest jednym z praw człowieka, a te, jak wiemy, nabierają cały czas na znaczeniu. Większy nacisk kładzie się na przestrzeń praw człowieka. Chodzi o to, że te dane osobowe, które mamy, które są nasze, krążą po świecie. Od kilku dni można się doskonale dowiedzieć, gdzie były nasze dane osobowe, bo dostajemy na skrzynki mailowe całą masę wiadomości z informacjami, np.: „Informujemy Cię, że Twój adres mailowy, Twoje dane są w naszej bazie”. I od razu mamy pewnego rodzaju przegląd tego, gdzie one mogą być potencjalnie. A jest jeszcze masa podmiotów, które tego nie zrobiły, i te dane osobowe mogą gdzieś sobie krążyć po całym świecie.

Dane osobowe to jest coś wirtualnego, my tego troszeczkę nie czujemy: mam zabezpieczyć, ale co? Zobacz, chciałbyś, abym przywiózł Ci coś z Trójmiasta. Mówisz: „To jest mój samochód, weź go, pojedź do Gdańska, tam jest jakaś paczka, przywieź mi ją”. Czyli powierzasz mi swój majątek – swój samochód. Ja tego samochodu mam użyć do konkretnego celu. Pojechać do Gdańska, coś wziąć i przywieźć. Pytanie: czy chciałbyś, abym tym samochodem skoczył sobie gdzieś jeszcze na wycieczkę za granicę? Pewnie byś nie chciał. Czy chciałbyś, abym ten samochód postawił sobie pod domem z kluczykami w stacyjce, aby każdy mógł sobie wsiąść, pojeździć, oddać albo ukraść? Nie chciałbyś. Chciałbyś, abym zniszczył ten samochód, pojechał na rajd? Nie. I tak samo jest z danymi osobowymi. Jeżeli powierzasz komuś dane osobowe w określonym celu, to tylko po to, by ktoś ten cel wykonał. Jak kupujesz buty w sklepie internetowym, to podajesz dane osobowe po to, żeby ktoś mógł przysłać Ci towar, za który zapłacisz. I w żadnym innym celu więcej. Nie, żeby wziął sobie te dane, wysyłał Ci później jakieś oferty, sprzedał je gdziekolwiek indziej. Chcesz mieć kontrolę. I RODO wzmacnia pewne mechanizmy.

Na RODO musimy patrzeć z dwóch stron. Przedsiębiorca patrzy od tej strony: „O Jezu, to jest problem”. To do końca nie jest problem. To są te wszystkie obowiązki, które mam od dwudziestu lat, odrobinę zmodyfikowane, o troszeczkę innym podejściu, jest o kilka obowiązków więcej. Natomiast dla nas, jako konsumentów, to jest fantastyczne narzędzie kontroli tego, co się będzie działo. Dlaczego jest wokół tego tyle szumu? Bo są mityczne kary. Wtedy też one były, tylko kiepsko egzekwowane. Aby dostać karę od GIODO, trzeba było się bardzo postarać. Dzisiaj mamy kary, ale pojawi się jeszcze jeden instrument, mianowicie prawo każdej osoby, której dane dotyczą, do dochodzenia roszczeń bezpośrednio u administratora danych. I tu już jest gorzej.

Czy kojarzysz ten kawał z kupą? Jak byś się do niego odniósł?

Faktycznie, jest coś takiego. „Dzień dobry, tak, zrobiłem kupę na pańskim trawniku, to jest pańskie terytorium, w związku z tym stał się problem”. Mamy coś takiego jak prawo przenoszenia danych, ja je wykonuję. Polega ono na tym, że można zażądać, żeby administrator danych wydał Ci dane, które masz, w ustrukturyzowanej formie i w pliku, który nadaje się do odczytu maszynowego, żeby wyeksportował te dane do jakiegoś pliku i wysłał Tobie albo innemu administratorowi. Podaje się tu prosty przykład: Idziesz do banku po kredyt. Podajesz całą masę danych, wypełniasz formularze i okazuje się, że niestety tego kredytu nie dostajesz. Więc idziesz do innego banku. Dają Ci to znowu, a Ty mówisz: „A ja to już raz zrobiłem”. W związku z tym piszesz do banku i proszę bardzo, Twoje dane przeniesione są do innego banku. Ktoś z tą kupą wymyślił, że w związku z tym, że tam jest kod DNA, to masz obowiązek jakby wykorzystać prawo przenoszenia danych, spakować to do słoika i zanieść do jakiejś przychodni. No tak, pewnie, że kod DNA będzie informacją o osobie. Natomiast pojawia się pytanie, w jaki sposób Ty byłbyś w stanie ustalić, że to jest kod DNA konkretnie tej osoby? Środki i koszty, które musiałbyś ponieść, żeby to ustalić, są nieadekwatne w stosunku do próby osiągnięcia celu. Ten kawał jest troszeczkę przerysowany, ale faktycznie w związku z tym, że pojawia się to zjawisko, że osoby fizyczne mogą dochodzić osobiście roszczeń, już indywidualnie, nie tylko poprzez wnoszenie skargi do organu nadzoru, którym dzisiaj jest prezes Urzędu Ochrony Danych Osobowych.

Od dzisiaj GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, stał się prezesem Urzędu Ochrony Danych Osobowych, i to jest organ, który będzie dbać o to, żeby dane były w należyty sposób przetwarzane i zabezpieczone. Nie tylko możemy tam wnieść skargę, nie tylko oni mogą reagować sami, ale oprócz tego możemy dochodzić roszczeń samodzielnie od administratora danych. Pojawia nam się tutaj zjawisko tzw. RODO-trollingu i tzw. łowców klauzul 2.0, jak niektórzy to nazywają. Od kilku lat obserwowaliśmy to zjawisko dochodzenia roszczeń z tytułu niedozwolonych klauzul umownych stosowanych w umowach, regulaminach portali internetowych, biur podróży, sklepów internetowych itd. Wykorzystywano tu pewien mechanizm, który funkcjonował w Kodeksie postępowania cywilnego. To nazywało się „postępowanie o naruszenie zbiorowego interesu konsumentów”. Wytaczano powództwa i tam chodziło o taką sytuację, że nie badaliśmy klauzul w umowach, które już zostały zawarte, tylko w tych, którymi posługuje się przedsiębiorca, czyli Ty potencjalnie mógłbyś z nim zawrzeć tę umowę. To był dość poważny problem. Ktoś umiejętnie wykorzystał system prawa i zrobił to niejako w jego majestacie.

Mówimy dzisiaj o RODO na wesoło, ale jest też taki czarny scenariusz, w którym możemy być atakowani.

Tak, to taki trolling, wysyłanie zapytań. Trolling zaczął się troszeczkę wcześniej. Pojawiały się takie hasła, że jest obowiązek przeprowadzenia jakiegoś audytu.

Wymuszenia audytu przez prawników.

Nie tylko przez prawników. Pojawiały się różnego rodzaju firemki, które mówiły o tym, że jak nie przeprowadzisz audytu, to będziesz musiał zapłacić karę. Oczywiście wszystko to była nieprawda. Ministerstwo cyfryzacji na szczęście zareagowało, choć trochę za późno. Inspektor danych osobowych miał naprawdę dużo czasu. Mówi się, że RODO wchodzi w życie dzisiaj. RODO to jest akt prawny pochodzący z 2016 r., natomiast stworzono tzw. okres dostosowawczy, który trwał dwa lata i dzisiaj się skończył. Kampanię informacyjną można było rozpocząć wcześniej, a to zaczęło się na ostatnią chwilę. Efektem jest panika, bo ludzie nie rozumieją, na czym polega RODO, demonizują je, że to jakiś straszny potwór, demon, który przyjdzie i wszystko zamiecie. Zupełnie niepotrzebnie.

Sam mam dużo radości z tego, mam wrażenie, że faktycznie wszystko jest na ostatnią chwilę.

Ministerstwo Cyfryzacji zaproponowało, żeby spenalizować próbę wymuszania różnego rodzaju zachowań na gruncie RODO. Pracują nad przepisami natury prawnokarnej. Nie jest to wcale taki zły pomysł. Generalnie regulowanie wszystkiego dookoła przepisami natury prawnokarnej nie jest dobrym rozwiązaniem, natomiast w tej dziedzinie być może się sprawdzi. Szantażowanie tym, że np. doniosę na Ciebie do prezesa Urzędu Ochrony Danych Osobowych, jeżeli nie wykonasz jakiegoś tam obowiązku, miałoby być karalne. Być może to ukróci pewnego typu zachowania.

Wrzućmy w materiałach przykładowe maile i sobie je omówmy. Od kilku dni jesteśmy zasypywani mailami. Moja opinia jest taka, że to jest już późno i bez sensu. Ciężko o jakiekolwiek zgody. Czy to ma sens? Czy w ogóle, jeśli mamy kogoś w bazie, pytanie go jeszcze raz o zgodę ma sens i w jaki sposób powinno się to odbyć?

Przede wszystkim trzeba wiedzieć o jednym. Ten obowiązek informacyjny też istniał na gruncie poprzedniej ustawy. Tu odrobinę się zmieniło, doszło kilka elementów, natomiast nie pojawiły się jakieś dodatkowe. To nie jest więc tak, że teraz nagle musimy zrobić coś zupełnie od nowa, bo jeżeli zbieraliśmy wcześniej czyjeś dane, budowaliśmy sobie bazy, to ten obowiązek musieliśmy wykonywać, z pewnymi wyłączeniami. Ja na przykład nie miałem takiego obowiązku z uwagi na konieczność zachowania tajemnicy zawodowej. Wyobraź sobie, że przychodzisz do mnie z jakąś sprawą, podajesz mi dane swojego przeciwnika procesowego, świadków itp. Opracowujemy koncepcję Twojego powództwa, tamta strona nic jeszcze nie wie, a ja wykonuję obowiązek informacyjny i wysyłam do niej pismo z informacją: „Pan Marcin Tomczak zgłosił się do mnie ze sprawą przeciwko pani/panu i mam takie i takie dane, wykorzystam je po to i po to”. U mnie to tak nie działa.

Natomiast zbieranie jakichś zgód na nowo jest w mojej ocenie chybione. Dlaczego? Zgoda to jest w ogóle ostatnia rzecz, o której powinniśmy myśleć. Najpierw poszukujemy podstawy przetwarzania danych w zupełnie innym miejscu. Podstawą przetwarzania danych jest wykonywanie umowy, obowiązek wynikający z przepisów prawa – nie musisz pytać swojego klienta, czy możesz zanieść fakturę do księgowej po to, żeby wykonała obowiązki wynikające z Ustawy o rachunkowości. Nie musisz pytać swojego klienta, czy możesz wysłać plik JPK. Dalej, uzasadniony interes administratora danych – nie musisz pytać klienta o to, czy możesz przechowywać jego dane przez ileś kolejnych lat dlatego, że być może będziesz musiał go pozwać, bo on Ci nie zapłaci; albo być może on będzie chciał Cię pozwać, a ma na to w dzisiejszym stanie prawnym dziesięć lat, bo taki jest okres przedawnienia roszczeń wynikających z umowy, za chwilę być może zostanie skrócony do sześciu. Więc to są te podstawy przetwarzania danych, których szukamy najpierw. Gdy nie jesteśmy w stanie ich tu znaleźć, to dopiero później zbieramy zgodę. Nie musisz zbierać zgody od pracowników na przetwarzanie ich danych osobowych, bo Kodeks pracy mówi Ci, które i w jaki sposób możesz przetwarzać, chyba że byłyby to inne.

Poszukiwanie i na siłę zbieranie zgód to jakieś szaleństwo, które nie jest do niczego potrzebne. Chyba że faktycznie zbadałeś sytuację i widzisz, że nie masz jakiejś podstawy przetwarzania danych, to OK, wtedy zbierasz zgodę. Ale zgoda jest o tyle skomplikowana, że musi spełniać ileś kryteriów. Musi być konkretna, jednoznaczna, dobrowolna, świadoma. W związku z tym musisz wykonać ileś ruchów. Zgodę możesz w każdej chwili odwołać, więc ona jest tą najbardziej skomplikowaną z podstaw przetwarzania danych i należy od niej w ogóle uciekać. Najpierw szukamy podstawy w zupełnie innych przepisach, natomiast w tym podpunkcie „a”, „f”, teraz mówi się, że ulubiona podstawa to jest „efka”, ponieważ jest to litera „f”, art. 6 podpunkt f, gdzie jest mowa o uzasadnionym interesie administratora danych. Tam ewentualnie szukamy podstawy do przetwarzania danych. A zgoda? Dopiero gdzieś tam daleko. Więc jeżeli ktoś zebrał dane osobowe, ma je w bazie, wykonał wcześniej obowiązek informacyjny pod rządami poprzedniej ustawy, to nie ma sensu, żeby teraz robić to na nowo. Niektórzy w tych korespondencjach informują o tym, że zmieniła się polityka płatności na stronie internetowej.

Nasi widzowie pytają nas o to, bo wiadomo – patrzymy na te najbardziej znane portale, np. Gazeta.pl, Onet.pl, WP.pl, Interia.pl. Trzeba powiedzieć wprost, że jedne informowały o zmianie polityki prywatności z klasą, drugie trochę mniej. Mamy przypadek poruszony wczoraj przez ojca Michała Olszewskiego, który pokazywał to właśnie na przykładzie Gazety. Był tam taki tekst: „Drogi użytkowniku. Przez dalsze aktywne korzystanie z naszego Serwisu (scrollowanie, zamknięcie komunikatu, kliknięcie na elementy na stronie poza komunikatem) bez zmian w zakresie prywatności wyrażasz zgodę na przetwarzanie danych osobowych…”. Czy to jest OK? Do tego doszedł właśnie ten obrazek, który chcę Wam pokazać, czyli „Wyrażasz zgodę na przetwarzanie” i mamy „Zamknij”, „Zamknij i zapisz zmiany”, to dosyć niefortunne.

I ten checkbox jest domyślnie zaznaczony?

Tak.

No nie, tak nie powinno być. Dobrowolność udzielenia zgody polega na tym, że ona nie jest od niczego uzależniona, czyli ja sam o tym decyduję. Nie może być tak, że ktoś mi to w jakiś sposób narzuca – bo korzystasz z czegoś innego, to od razu wyrażasz zgodę. Nie może być takiej sytuacji, że te checkboxy są domyślnie zaznaczone, muszę je zaznaczyć. Czasami są takie sytuacje, że wchodzimy sobie na stronę i mamy ileś tych checkboxów, one niby są, ale są domyślnie zaznaczone i za bardzo nawet nie mogę ich wyłączyć, bo i takie sytuacje też bywały. Tak nie powinno być. Taka zgoda, która nie jest udzielona w sposób świadomy, dobrowolny i konkretny, to nie jest zgoda. Jej po prostu nie ma. W związku z tym przetwarzamy dane bez podstawy.

Tak, tu Andy do nas napisał: „Podobnie było na WP.pl. Z praktyki życiowej, jak się ma do RODO, zwłaszcza w punkcie, że domyślnie brak odpowiedzi to niewyrażenie zgody, z wczorajszą i dzisiejszą planszą na Wirtualnej Polsce, gdzie kliknięcie X, czyli wyłączenie okna, zostało zdefiniowane jako wyrażenie zgody”. To chyba nie jest fair.

Nie. To nie może być narzucone. To musi być wyraźna zgoda. To nie jest tak, że w sposób dorozumiany ją wyrażamy poprzez checkbox, że ja muszę zaznaczyć, podpisać. Jest ileś tam różnych możliwości. Natomiast nie powinno być to robione w sposób dorozumiany.

Pokażemy również przykłady maili. To dosyć śmieszny mail, przykładowe 10 zł: „Nie pozwólmy, żeby RODO stanęło między nami. Jeśli chcesz w naszych wiadomościach otrzymywać oprócz nowości i zapowiedzi specjalne oferty, indywidulane kody promocyjne, to potrzebujemy Twojej dodatkowej zgody. Już teraz mamy dla Ciebie pierwszy taki kod – 10 zł na zakupy. Tak, chcę otrzymać kod o wartości 10 zł na zakupy”. Dosyć przekupne.

Mam tu pewne wątpliwości. Powiem tak, nie ma zupełnie potrzeby dawania komuś 10 zł za to, że wyrazi zgodę. Można by to zrobić w zupełnie inny sposób. Specjalne oferty, indywidualne kody promocyjne – tu musimy pamiętać, że to jest nie tylko RODO, ale wchodzimy też troszeczkę na grunt Ustawy o świadczeniu usług drogą elektroniczną i wszystkiego, co się z tym wiąże. Natomiast mam pewną wątpliwość co do tego, czy można robić tak, że niejako kogoś przekupujemy – że dostanę 10 zł za to, że wyrażę zgodę. Nie tędy droga.

To wydaje się faktycznie słabe. Żeby było śmieszniej, przejdziemy do tematów grobowych i pokażemy Wam fragment filmu Plebania. Będziemy mogli nawiązać do dosyć śmiesznej sytuacji – do danych na nagrobkach. Czy to jakoś wpłynie na nasze życie? Co z tymi danymi?

Na nagrobkach mamy dane osób zmarłych. Osoba zmarła nie jest osobą fizyczną, a tylko osoba fizyczna ma dane osobowe. To jest najkrótsza odpowiedź. Osoba fizyczna to jest każdy człowiek od chwili urodzenia do chwili śmierci. Osoba fizyczna kończy się z chwilą śmierci, w związku z czym zmarły nie jest osobą fizyczną. On nie ma danych osobowych, w tym sensie, że one nie podlegają takiej ochronie, natomiast tam jest troszeczkę inny problem. To nie jest tak, że możemy sobie przejść nad tym do porządku dziennego, ponieważ pojawia nam się taka kategoria jak dobra osobiste osób bliskich zmarłego. Nie oznacza to, że z nagrobków będzie trzeba usunąć wszystkie dane, które pojawiły się tam wcześniej, natomiast gdybyś urządził jakiś obsceniczny happening na cmentarzu, na grobie jakiejś osoby, urządził kontrowersyjną sesję fotograficzną i te dane byłyby tam widoczne, to bliskie osoby tego zmarłego mogłyby poczuć się urażone i wystąpić z roszczeniami, ale w tym momencie o naruszenie dóbr osobistych. Jeżeli więc chodzi o osoby zmarłe, to odpowiedź jest krótka: dane osobowe dotyczą osoby fizycznej, osoba fizyczna to nie jest osoba zmarła.

[Fragment serialu Plebania]

– W czym mogę pomóc, synu?

– Wypisać się chciałem.

– Wypisać?

– No, wypisać, wypisać.

– Skąd?

– No ze wszystkich subskrypcji, które mam tutaj na cmentarzu.

– Ale co rozumiesz przez subskrypcje?

– Niech ksiądz nie kręci. Rozporządzenie o ochronie danych osobowych jest. Nie przestrzegacie tego w ogóle. Imiona, nazwiska, daty urodzenia, zdjęcia na nagrobkach, wszystko jest. Moglibyście jakieś filtry na nagrobki nałożyć. Wie ksiądz, w jak dużą ilość danych osobowych ja wszedłem w posiadanie, idąc tutaj do księdza? Poza tym Nowakowie to oni wcale nie zginęli śmiercią tragiczną. Zresztą oni dalej piją.

– Ale ja nie bardzo rozumiem, co masz na myśli.

– Niech się ksiądz nie kłopocze z tym guziczkiem od alarmu. Kabel przegryzłem, bo szedł koło mojej skrzynki i mi z wi-fi interferował. No! Kara będzie! 20 mln euro dla parafii.

– Ale to się może jakoś dogadamy. Mówiłeś, że chciałeś się wypisać.

– Z kwiatów i ze zniczy.

– Czemu?

– No bo ja się nie zapisywałem na to. Co chwilę dostaję jakieś gówno kolorowe cieknące, a od patrzenia w płomień to w gacie co wieczór szczam. Z tych kwiatów to nawet nie muszę się wypisywać, bo i tak zaraz ukradną, ale znicze to musisz mi załatwić takie, żebym mógł sobie nacisnąć tam guziczek, że ja nie chcę.

– Bardzo bym chciał ci pomóc, synu. Ale ja nie wiem, czy takie znicze w ogóle istnieją.

– To artykuł 17 RODO.

– Artkuł… 17… RODO…

– Wie ksiądz, co to jest?

– No nie wiem.

– No właśnie.

– To jest prawo do bycia zapomnianym.

– Ale to znaczy, że co, mam ci nagrobek skasować?

– Od razu skasować. Chcesz mi zabrać jedyny dokument tożsamości? Przecież ja Twoim autem co wieczór na stację benzynową jeżdżę, na hot dogi.

– Ale ja nie mam auta. Ale to auto księdza Ludwika. No dobrze, to może spróbujemy z filtrami?

– Nie, to dobre do lekarza albo do jakiegoś urzędu, tam i tak wszystkie dane są wywalone na ladzie, że każdy se je może zobaczyć.

– To może przeniosę Cię na inny cmentarz.

– A jak wytłumaczysz ekshumację i migrację między domenami? Zrobimy tak. Kupisz taki stojak na ulotki. Taki statyw, taki wiesz. Zamiast ulotek wstawisz tam umowy powierzenia przetworzenia danych osobowych. I postawisz to przed wejściem na cmentarz. Każdy, kto będzie wchodził na cmentarz, będzie musiał sobie pobrać, przeczytać, podpisać. I może wejść. Proste.

– Ale to nikt nie podpisze. Ale to cmentarz będzie pusty. Nikt nie będzie chciał tu przychodzić.

– Ale będziesz zgodny z RODO.

Taka ciekawa rzecz, jak prawo do bycia zapomnianym – czy to jest tak, że my właściwie wszędzie możemy żądać usunięcia informacji o nas, naszych danych? Mam na myśli nawet to względem pracodawcy, gdziekolwiek pracodawca posługuje się naszymi danymi. Czy możemy go prosić, wymusić, żeby się nimi nie posługiwał?

Absolutnie nie. Prawo do bycia zapomnianym można wykonać wtedy, gdy nie ma innej podstawy do ich przetwarzania. Trudno wyobrazić sobie sytuację, w której zatrudniony pracownik nagle mówi do pracodawcy: „Proszę mnie zapomnieć”. I co teraz? Nagle ma wyrzucić, zniszczyć, spalić teczkę akt osobowych? To jest absurd. Moglibyśmy sobie wyobrazić taką sytuację, że po zakończeniu stosunku pracy ktoś wpada na pomysł i wykonuje prawo do bycia zapomnianym: „Proszę natychmiast usunąć wszystkie moje dane osobowe”. Ale w takiej sytuacji pracodawca powie: „Przykro mi, nie mogę tego zrobić, ponieważ mogą pojawić się potencjalne roszczenia, a po drugie, istnieją przepisy prawa, które nakazują mi przetrzymywać, przechowywać Twoje dane osobowe przez określony czas”. Chociażby akta osobowe trzeba przechowywać przez pięćdziesiąt lat. Ten okres ma zostać skrócony, ale wciąż jeszcze obowiązuje. A więc absolutnie to tak nie działa. Wyobrażam sobie, że niektórzy będą próbowali korzystać z tego prawa w sposób nieprawidłowy, próbując uchylić się od zapłaty. Wykonasz usługę, wyślesz fakturę i ktoś Ci nie zapłaci, i powie: „Ja w takiej sytuacji wykonuję prawo do bycia zapomnianym, proszę natychmiast usunąć wszystkie moje dane”. Skoro usuwasz wszystkie jego dane, to pozbawiasz się w ogóle jakiejkolwiek możliwości ruchu. Absolutnie, to tak nie działa.

Możesz wykonać to prawo do bycia zapomnianym, jeżeli np. wyraziłeś zgodę na przetwarzanie jakichś tam danych osobowych w jakimś zakresie – to wtedy tak, odwołujesz zgodę, domagasz się zapomnienia Ciebie i taki podmiot będzie musiał te dane usunąć. Jednak jeżeli on ma inne podstawy przetwarzania danych, jeżeli wcześniej wykonywał dla Ciebie usługę, to może przechowywać te Twoje dokumenty i dane osobowe chociażby dlatego, że musi wykonać obowiązki wynikające z Ustawy o rachunkowości, ponieważ mogą być roszczenia w jedną i drugą stronę. Prawo do bycia zapomnianym nie jest więc prawem absolutnym. Musimy pamiętać, że jest pewnego rodzaju kolizja dóbr i czasem jedno z nich wygrywa. Spodziewam się, że to będzie właśnie tak wyglądało, że niektóre osoby źle zrozumieją, na czym to polega. Rozpędzą się i wszędzie będą rozsyłać informacje, żeby o nich zapomnieć, i zdziwią się, bo to nie wszędzie zadziała.

Przytoczę teraz pewną satyrę, którą stworzył mecenas Łukasz Brydak. Ona pokazuje różne momenty naszego codziennego życia. „Mecenas Xsawery Krzyżtopór Żulicki otworzył oczy i przeciągnął się, jak na swoje możliwości – rozkosznie. Zaraz, co to było »Xsawery« – pomyślał o sobie. Mógł tak zrobić, bo podpisał ze sobą oświadczenie RODO. O, k… mać – pomyślał – za trzydzieści minut sprawa. Zerwał się i niewiele myśląc, zadzwonił po taksówkę. – Dzień dobry, potrzebuję taksówki na nazwisko K… – W tym miejscu przerwała mu zdecydowanie telefonistka: Proszę natychmiast przerwać podawanie nazwiska. Nie gromadzimy nazwisk, zakazuje tego RODO. Inaczej będę musiała się rozłączyć. Proszę podać indywidualne hasło. – Może »Najlepsze kasztany są na placu Pigalle« – zaproponował Krzyżtopór. – Niech się pan bardziej wysili. Na to hasło mamy już dwadzieścia taksówek w mieście i się teraz taryfy z łącznikami od siedmiu boleści szukają – zbeształa go telefonistka. – To poproszę na hasło »Krzyżtopór Żulicki«. – Takie hasło może być, nawet oryginalne – oceniła fachowo telefonistka. Mecenas ubrał się i pognał na dół”. Czyli de facto mecenas podał swoje imię i nazwisko jako hasło. Telefonistka mogła nawet nie wiedzieć, że to jest jego imię i nazwisko. „Mecenas ubrał się i pognał na dół. Jazda wyglądała jak w Iraku podczas bombardowania. Wszystkie samochody jechały z zasłoniętymi rejestracjami, bo RODO. A przecież taka blacha to żelazne dane osobowe”. Pewnie nie do końca.

W pewnych okolicznościach mogą to być dane osobowe. Zwróć uwagę, że są takie miejsca, parkingi przy galerii handlowej, kiedy wjeżdżając, pobierasz kwitek i kamera sczytuje Twoją tablicę. Następnie płacisz w parkomacie. Wyjeżdżając, nie zdążysz tego kwitka włożyć z powrotem do urządzenia, ponieważ już Ci się szlaban podnosi. Dlaczego? Bo kamera znowu sczytała Twoją rejestrację i doszła do wniosku, że zapłaciłeś, więc może Cię wypuścić. Jeżeli zapłacisz bilonem czy banknotem, nie ma problemu, ale jeżeli zapłaciłeś kartą, to ten system może połączyć te dwa fakty, czyli Twoją rejestrację z Twoim imieniem i nazwiskiem, i możemy mieć pewnego rodzaju problem. Oczywiście jest jeszcze pytanie, czy Ty płaciłeś. Bo może płacił ktoś z Twoich znajomych.

I jeszcze jesteś na kamerze nagrany w tym samochodzie.

Tak, jesteś na kamerze i to jest przetwarzanie danych biometrycznych. Dla policjanta dana rejestracja oczywiście będzie informacją na Twój temat. Dlaczego? Dlatego, że on może sobie to w CEPiK-u bardzo łatwo sprawdzić. Natomiast co do zasady, jeżeli wyjdziesz na ulicę i popatrzysz sobie na tablice rejestracyjne, to pytanie: w jaki sposób jesteś w stanie ustalić, kto jest właścicielem danego samochodu? Nie jest to wcale takie proste.

Super. Dałeś mi do myślenia z tą kartą.

Dawno się o tym mówiło. Zanim weszło RODO, to już mówiono, że tu mogą pojawić się wątpliwości właśnie związane z kwestią przetwarzania danych osobowych. Że jeżeli płacisz kartą, od razu operator tego systemu jest w stanie połączyć te dwie rzeczy, te dwie informacje.

Jedziemy dalej samochodem z naszym mecenasem. „Dotarł do sądu nawet chwilę po czasie, bo nie miał daleko. W drzwiach pokazał legitymację z zaklejonym zdjęciem, bo strażnicy przyjaźnie pomachali mu, odwracając wzrok od legitymacji, jakby mogła ich porazić”. Sytuacja komiczna.

Jasne, że tak. To jest właśnie pewnego rodzaju paranoja. Teraz nagle wszyscy będą chcieli unikać przetwarzania danych, bo za chwileczkę okazałoby się, że musimy chodzić z zasłoniętymi oczami, bo przecież widzimy wizerunki ludzi. Nie, absolutnie, nie przesadzajmy.

„Mecenas na szczęście podpisał z sądem porozumienie dotyczące gromadzenia danych osobowych, więc sąd mógł mu wysłać zawiadomienie podające salę. Inni koledzy, co nie zrobili tego na czas, nerwowo przeglądali w holu anonimowe koperty zawierające anonimowe wezwania i zawiadomienia. Problem, że ktoś inny nie podpisał porozumienia i mecenas nie miał bladego pojęcia, co to za sprawa. Sekretarka mu tylko konfidencjonalnie podała, że chyba z urzędu”.

To, co dzieje się w sądzie, wynika z określonych przepisów. Ktoś mógłby mnie zapytać, jakim prawem ja dysponuję danymi świadka – wysyłając pozew do sądu, wpuszczając to jako świadek dowodowy, podaję przyzwolenie świadka i podaję jego imię i nazwisko, adres, to są dane osobowe. Ktoś mógłby powiedzieć: „Ale jakim prawem w ogóle Pan to zrobił?”. No takim prawem, że Kodeks postępowania cywilnego mi tak każe. Mam udowodnić pewną okoliczność. Dalej mowa jest o tym, jakie dane się podaje, gdy zawiadamia się świadka. Więc to wszystko, co dzieje się w sądzie, jest regulowane osobnymi przepisami i tam jest najzwyczajniej w świecie podstawa. Nie możemy teraz popaść w paranoję, że w sądzie odmówimy podania imienia i nazwiska czy swoich danych, bo to są dane osobowe, które chronimy. Absolutnie nie.

Nasz mecenas wpadł na salę. „Sędzia Oprawicki, stary wyjadacz, uśmiechnął się i powiedział: Tylko na pana mecenasa czekaliśmy. Na sali był już tłumek kilkunastu oskarżonych i kilku obrońców, a reszta pewnie nadal próbowała dopasować wezwania z trzema niewiadomymi na dole. – No więc pan prokurator pytał, którzy i do czego się przyznają – łagodnie zapytał sędzia. Na ławie oskarżonych zapanowało zamieszanie. – Ale do czego? – zapytał jeden bardziej dociekliwy. – Ale ja tu miałem mieć sprawę rozwodową – zakwilił drugi. W tym miejscu sędzia przerwał: No, niestety, system z zamykaniem w areszcie wszystkich anonimowych podsądnych (wie pan – RODO) ma swoje wady. Ale przynajmniej pana dane osobowe są bezpieczne – dodał pojednawczo”.

Idziemy tym samym tropem. Nie ten kierunek, nie temu służy RODO.

„W tym miejscu trzeci zerwał się i krzyknął: Ja się przyznałem, ale mnie policjanci pobili. – Jacy policjanci? – zapytał sędzia. – Nie wiem, w ramach RODO odmówili mi podania swoich danych osobowych”.

Obowiązek podania danych osobowych znowu wynika z przepisów. To nie jest tak, że policjant robi to dobrowolnie, tylko policjant ma taki obowiązek. Jest funkcjonariuszem publicznym i ma obowiązek poinformować nas o swoich danych, wylegitymować się itd.

Zdarzyło mi się zapłacić mandat i przyznam szczerze, że jeśli miałem problem z policjantem i nie do końca się z nim zgadzałem w pewnych kwestiach, zawsze pytałem o to, jak się nazywa, kto jest jego przełożonym i dla której komendy pracuje. Faktycznie, policjanci musieli udzielić tej informacji. Pamiętajmy więc, że ci, którzy mają obowiązek, np. policja, tej informacji muszą udzielić.

To, o czym mówiłem wcześniej – jedną z podstaw przetwarzania danych jest przepis prawa. Jeżeli przepis prawa mówi, że coś musisz albo coś Ci wolno, to po prostu możesz. Jeżeli przepis prawa mówi, że możesz domagać się od kogoś podania pewnych informacji, to ten ktoś nie może zasłonić się ochroną danych osobowych.

„– Jacy policjanci? – zapytał sędzia. – Nie wiem, w ramach RODO odmówili mi podania swoich danych osobowych. – No to może ich pan w dupę pocałować – stwierdził prokurator Małolepszy, raptem obudzony ze snu. – Niech pan powie, jak się pan nazywa, to na pana skargę do Zbyszka napiszę – krzyknął trzeci oskarżony. Prokurator uśmiechnął się i stwierdził: Wie pan, myśmy oświadczenia o RODO nie spisali. W tym miejscu mecenas odwrócił się do jedynego siedzącego na ławie, który mu kogokolwiek przypomina, nie pamięta nazwiska, notatki były zakazane, bo RODO. I szeptem zapytał: Ale czy pan przypadkiem nie ma sprawy o nakazanie rozbiórki samowoli budowlanej? Oskarżony uśmiechnął się zakłopotany i stwierdził: Faktycznie, od tego się zaczęło. Po czym zerwał się, krzycząc: Ja się przyznaję. Sędzia zapytał zbaraniały – Ale do czego? – Ano nie wiem, wszystko jedno – uparł się z uśmieszkiem na twarzy. Kolejni oskarżeni przyznawali się do różnych zachowań, ale to raczej drobnica w rodzaju kradzieży w kiosku. Kilku szło w zaparte. Sędzia po wysłuchaniu zarządził przerwę i po przerwie ogłosił wyrok: Ci, co się nie przyznają – z powrotem na dołek, niech ktoś się inny z nimi męczy. Ci, co wiedzą, do czego się przyznali – po roku pozbawienia wolności. Tylko, panowie, podpiszcie porozumienia w sprawie RODO z zakładem karnym, bo nie będą mogli gromadzić informacji, ile odsiedzieliście”.

No pewnie, że będą mogli.

„– Pan, co się przyznał, ale nie wie do czego, czternaście dni aresztu. I pan to już odsiedział, pan ma połowę, bo widzieliśmy się tu tydzień temu. Ten pan, co twierdzi, że pobili go policjanci, zostanie przesłuchany ponownie na komisariacie, może tym razem dojdzie z funkcjonariuszami do porozumienia w kwestii RODO”. O tym już mówiliśmy. No właśnie, te zmiany wpłyną na nasze życie, ale nie ma co przesadzać.

Mogą wpłynąć, oczywiście. Możemy się liczyć z takimi zjawiskami jak w tym filmiku. Znowu trzeba zwrócić uwagę, że zdaje się z księdzem rozmawiała osoba, która właśnie świeżo wstała, że tak powiem, z grobu. Czyli osoba, która nie ma danych osobowych, bo nie jest osobą fizyczną. Ale tam się właśnie pojawiło coś takiego, że doszło do jakiegoś uchybienia na cmentarzu parafii i pewnie się dogadamy, bo jak nie, to dwadzieścia milionów euro kary. To jest próba wymuszenia, która być może będzie jakoś tam penalizowana. Ileś tam osób czy instytucji może rozumieć w sposób opaczny przepisy. Tak było też, gdy weszła w życie Ustawa o ochronie danych osobowych. Zanim to się troszeczkę przegryzło, pewne instytucje rozumiały to opacznie, dzisiaj to się nie powinno wydarzyć, bo ochrona danych osobowych nie rewolucjonizuje się, ona ewoluuje w troszeczkę innym kierunku. Dla niektórych osób po prostu nagle pojawił się taki problem jak ochrona danych osobowych, ponieważ oni żyli w nieświadomości, że ona funkcjonuje od dwudziestu lat. Niektóre osoby mogą opacznie to zrozumieć i właśnie będzie tak jak w tym przykładzie, że „Nic Ci nie powiem, niczego Ci nie dam, niczego Ci nie pokażę, bo RODO”. Nie, absolutnie nie, nie wpadajmy w paranoję, nie o to w tym wszystkim chodzi.

Mamy pytanie od widza: Pytanie dotyczące ciasteczek, zarówno ułatwiających życie, jak i zbieranie statystyk w celach np. marketingowych. Czy jeśli tego typu cookies będą domyślnie włączone, a użytkownik zostanie poinformowany, że są wykorzystywane w takim i takim celu, oraz dostanie instrukcję, jak zmienić ustawienia w przeglądarce, to jest to wystarczające, czy trzeba najpierw poczekać na zgodę, zanim ciastka zaczną działać?

Powinien być wykonany obowiązek informacyjny w tym zakresie, że cookies są i każda przeglądarka ma mieć system, który umożliwia ich włączanie albo wyłączanie, czyli ja mogę zdecydować z poziomu przeglądarki o tym, czy cookies włączyć, czy wyłączyć. Jeżeli chcę, jeżeli się na to godzę, jeżeli mam na to ochotę, proszę bardzo, włączam sobie. Najpierw muszę być poinformowany o tym, co to jest cookies, do czego one służą, jakie są tego konsekwencje – włączam, działa, jest OK. Tak w mojej ocenie będzie wyglądała prawidłowa procedura.

Na zakończenie naszej dyskusji przejdźmy do świata dużego biznesu i polityki. Mieliśmy wystąpienie, a właściwie przesłuchanie Marka Zuckerberga przed przedstawicielami Komisji UE. Sam Zuckerberg postanowił, że to nasze europejskie RODO wdroży na cały świat. Jak ocenisz, czy to jest OK?

Tak, oczywiście. To jest krok w dobrym kierunku. Facebook jako podmiot działający na całym świecie podlegałby RODO wyłącznie w zakresie tego, co dzieje się na terenie UE, bo jest takie pojęcie jak „przekazywanie danych do państwa trzeciego”. W obowiązku informacyjnym też trzeba o tym powiedzieć, czy ja przekazuję dane do państwa trzeciego. To państwo trzecie od razu kojarzy nam się z państwami trzeciego świata, a to wcale nie o to chodzi. Państwa trzecie to wszystko to, co jest poza Europejskim Obszarem Gospodarczym. Europejski Obszar Gospodarczy to jest, mówiąc w ogromnym uproszczeniu, Unia Europejska plus Islandia i Norwegia. Jeżeli np. trzymamy sobie dane na dyskach Google, które mogą być gdzieś tam w całym świecie, to w takiej sytuacji przekazujemy dane do państwa trzeciego. Natomiast jest coś takiego, co nazywa się privacy shoot – tarczą prywatności. To jest umowa, która została zawarta z Komisją Europejską. Dzięki niej, w ogromnym uproszczeniu, u podmiotów, które przystąpiły do tego programu, do tej umowy privacy shoot, obowiązki wynikające z RODO są spełnione w takim samym stopniu. Jest to więc bezpieczne i jeżeli chciałbym przetrzymywać sobie na dysku Google dane, trzymać je gdzieś tam w usługach Microsoft, to jest OK, dlatego że wszystkie te podmioty przystąpiły do programu privacy shoot i jest to bezpieczne.

Powiedziałeś, że Google do tego przystąpiło. Czy to oznacza, że korzystanie z Google Drive, dokumentów Google, nawet przez prawników, jest w porządku?

Nie, w tym zakresie nie zaleca się tego. Dlaczego? Jest jeszcze oczywiście kwestia, o którego Google pytamy. Jeżeli chcielibyśmy korzystać sobie z darmowego Gmaila, z darmowej usługi Google Drive, to niekoniecznie. Dlaczego? Po pierwsze, to jest usługa dedykowana do korzystania w celach prywatnych, a w celach prywatnych RODO nie stosujemy. Przetwarzanie danych osobowych w celach prywatnych nie podlega RODO. Prosty przykład. Jeżeli wpisujesz sobie do telefonu imię, nazwisko i numer telefonu, to co robisz? Zaczynasz przetwarzać dane osobowe systemem teleinformatycznym. Jeżeli to są dane Twojego znajomego, kolegi, to RODO nie ma z tym nic wspólnego. Natomiast jeżeli to jest telefon służbowy albo masz jeden telefon i korzystasz z niego prywatnie, a nie służbowo, i tam masz również dane swoich kontrahentów, to musisz je zabezpieczyć. Jeżeli korzystasz z Google Drive w wersji darmowej, to jest ona po pierwsze dedykowana do działalności prywatnej, a po drugie nie zapewnia należytego bezpieczeństwa, ponieważ dostajesz coś za darmo, ale na coś się też godzisz. Gdy przeczytamy sobie regulamin usługi Google, to tam jest napisane, co oni z tymi danymi robią. Mogą robić najróżniejsze rzeczy – udzielasz daleko idących licencji na korzystanie z tych danych, więc w związku z tym w działalności zawodowej, a już tym bardziej prawniczej, może niekoniecznie będzie to rekomendowane. Ale jeżeli wykupisz sobie usługę Pro, czyli dedykowaną dla biznesu, to będzie zupełnie inna sytuacja. Dlatego ja przestrzegam przed korzystaniem w ogóle w działalności biznesowej z różnego rodzaju usług darmowych, bo zwykle jest tak, że dostajesz coś za darmo, ale w zamian za to Ty też masz od siebie coś dać, np. możliwość zbierania o Tobie jakichś tam danych w celach profilowania, stworzenia statystyk itp. Należałoby to więc bardzo poważnie rozważyć i dla celów biznesowych, służbowych używać bezpiecznych kont płatnych, bo wtedy podpisujesz umowę i możesz czegoś wymagać.

Mam jeszcze dwa pytania natury ogólnej. Marek zapytał: „Co z kamerami, które na żywo pokazują jakieś miejsca publiczne? Czy to jest legalne w świetle RODO?”.

Tak, to jest pewnego rodzaju problem. Mieliśmy też problem z monitoringiem pracowników. Tu na szybko przerzucono przepisy z ustawy tzw. sektorowej do Ustawy o ochronie danych osobowych. Musimy pamiętać, że prace nad Ustawą o ochronie danych osobowych trwały tak naprawdę do ostatniej chwili. Ona została ogłoszona wczoraj po południu w Dzienniku Ustaw pod pozycją tysiąc. Natomiast dalej w procesie legislacyjnym mamy ustawę dostosowującą, tzw. ustawa sektorowa, która dostosowuje ponad dwieście aktów prawnych do RODO. Był problem z monitoringiem pracowników – na jakiej podstawie mielibyśmy to robić. Te przepisy szybko przerzucono do Ustawy o ochronie danych osobowych, więc od dzisiaj mamy tę podstawę.

Natomiast faktycznie z kamerami i monitoringiem publicznym jest ten problem, że brakuje nam tak naprawdę regulacji. Powinna pojawić się jakaś ustawa o monitoringu wizyjnym i wtedy mielibyśmy jakąś regulację. Pytanie, kto jest administratorem tej kamery ogólnodostępnej, kto jej używa, czy wizerunki osób są tam przetwarzane. Bo jeżeli to jest tak, że to jest np. kamerka na stok, czyli masz zainstalowaną kamerę, widzisz sobie panoramę, ogólnie rzecz ujmując – warunki na stoku, czy jest szansa rozpoznania wizerunków konkretnych osób? Pewnie niewielka, bo to jest duża odległość. Natomiast jeżeli będzie tak, że masz swoją własną kamerę, prowadzisz monitoring i przetwarzasz dane na dużą skalę, ponieważ ona monitoruje nie tylko Twój budynek, ale jeszcze ulicę, to w tym momencie może się okazać, że będziesz musiał wypełnić dodatkowe obowiązki wynikające z RODO, bo być może zacznie się przetwarzanie wizerunku osób w monitoringu na dużą skalę.

Pojawi się tu też coś takiego, co nazywa się DPIA, czyli ocena skutków przetwarzania, i mogą pojawić się kwestie związane z wypełnieniem dalej idących obowiązków. Przetwarzanie danych w monitoringu to więc temat na pewno zasługujący na rozwiązanie natury legislacyjnej, którego ciągle nie mamy. Powinna zostać stworzona jakaś ustawa o monitoringu wizyjnym, która rozwiązałaby pewne kwestie.

Ostatnie pytanie: „Czy RODO zakończy pytania o kod pocztowy w Castoramie?”.

Trzeba byłoby się przejechać do Castoramy i sprawdzić, czy ciągle pytają. Natomiast pytanie – czy sam kod pocztowy jest daną osobową? Jeżeli płacisz gotówką przy kasie, ktoś pyta się o kod pocztowy – czy jesteś w stanie zidentyfikować daną osobę? Bo dane osobowe to wszystkie komunikaty i informacje dotyczące osoby zidentyfikowanej. Ciebie znam, nazywasz się Marcin Tomczak, jestem w stanie wskazać Cię na ulicy. Ale również mamy osobę, którą możemy zidentyfikować po różnego rodzaju identyfikatorach, np. takim identyfikatorem jest numer NIP. Jeżeli znajdę sobie na ulicy kartkę z zapisanym ciągiem cyfr, to pewnie nam to nic nie powie. Ale jak ją wezmę i wrzucę sobie w Google, to może okazać się, że jest to czyjś NIP i już będę wiedzieć, kto to jest. Pytanie, czy gdybyś kod pocztowy wpisał w Google, to on cokolwiek Ci da, czy w jakikolwiek sposób jesteś w stanie do tego dojść? Ale może płaciłeś kartą – wtedy już mamy inną sytuację, bo zaczyna nam się spinać kilka różnych elementów, czyli do Twojego imienia i nazwiska, które gdzieś tam się przetworzy, mamy dopięty jeszcze kod pocztowy. Z ciekawości trzeba byłoby się przejechać i zobaczyć, jaką praktykę przyjęli.

Piotr, spójrz na ekran. Mamy tu cztery kroki do tego, żeby mieć zgodność z RODO. Jakie są Twoje cztery, a może więcej kroków, żeby mieć zgodność z RODO? Co byś polecił na zakończenie?

Jeżeli chodzi o zgodność z RODO, to przede wszystkim musimy powiedzieć o przedsiębiorcach. Ponieważ jeśli jesteśmy osobą prywatną, to zgodność z RODO nas nie dotyczy. To raczej my wymagamy, żeby ktoś inny był zgodny z RODO. W mojej ocenie, po pierwsze, nie należy ulegać panice. Ktoś nagle dochodzi do wniosku, że pojawiło się coś nowego, czemu musi sprostać, a to są rzeczy, które obowiązują już od dawna. Nie należy popadać w skrajności, w nadmierny sposób zbierać zgód, jeżeli chcemy mieć już podstawę przetwarzania danych, ale też nagle wszystko kasować, niszczyć, likwidować itp. Wprawdzie RODO przewiduje pewnego rodzaju obowiązki dotyczące przetwarzania danych, że możemy robić to tylko przez określony czas, ale to nie oznacza, że musimy skasować wszystkie bazy danych, wszystko wyrzucić do kosza. Nie popadajmy w takie złudne myślenie, że jak mam dokumentację, to jestem załatwiony. RODO to nie tylko temat prawa, regulacji, ale te regulacje wytyczają nam pewne ramy i musimy zadbać o sferę IT. To, w jaki sposób przetwarzamy dane w komputerach, czy one są zabezpieczone, czy mamy programy antywirusowe, czy szyfrujemy dane, czy je bezpiecznie przechowujemy, to jest ta sfera, której trzeba byłoby się przyjrzeć.

To, jak mamy zabezpieczone biura – czy do mojego biura każdy może wejść i pod moją nieobecność wynieść komputer, akta. Kiedyś w kancelariach prawnych była plaga kradzieży – zamki nie były zabezpieczone albo nie było zamków elektronicznych, elektromagnetycznych, każdy mógł nacisnąć klamkę. Wchodzili złodzieje, rozglądali się, nikogo nie ma w sekretariacie – łapali komputer, wychodzili. To jest incydent bezpieczeństwa, przed którym trzeba będzie się chronić. Ja bym raczej myślał o świadomości. Trzeba czytać, słuchać jakichś webinarów, np. w tej chwili Ministerstwo Cyfryzacji zabrało się za takie rzeczy. Doktor Maciej Kawecki prowadził takie webinary, w których na pewne pytania odpowiadał i pewne rzeczy wyjaśniał. Świadomość i zrozumienie tego, czym są dane osobowe, czemu służy ta ochrona, ten system i wdrożenie tego u siebie, ale nie wdrożenie tak, że ja sobie napiszę dokumenty i myślę, że jest OK, tylko żebym ja miał świadomość tego, co się z tym może dziać, że na co dzień o tym myślę, cokolwiek robię.

Jest taka zasada, która mówi, że trzeba uwzględniać ochronę danych osobowych w fazie projektowania – privacy by design. Cokolwiek robisz, projektujesz, chcesz stworzyć nową akcję marketingową, zaprojektować nową usługę dla klientów, zastanów się, w jaki sposób te dane będą tam przetwarzane, jakie będzie ryzyko ich naruszenia w tym całym procesie. Ja się śmieję, że przykład privacy by design to jest wybór nowego biura. Wybierasz nowe biuro – zastanów się, na ile ono zabezpiecza Ci kwestię danych. Na ile ktoś będzie mógł wejść do tego biura, na ile ktoś będzie mógł w łatwy sposób te dane ukraść. To bardzo trywialne, ale to też ma znaczenie. Więc przede wszystkim – myślmy.

Najgorsze, co można zrobić, to syndrom wyparcia, czyli ja teraz zrobię wszystko, żeby mnie RODO nie dotyczyło. Tak się nie da. RODO jest i trzeba się z nim oswoić, zaakceptować. RODO będzie jak ZUS, jak podatki, tamte trzeba płacić i RODO też trzeba będzie przestrzegać. Nie ma sensu tworzyć jakichś dziwnych mechanizmów, że ja sobie wymyślę system, który pozwoli mi nie zabezpieczać danych. Były kiedyś takie genialne pomysły: mamy dla Ciebie pomysł, jak nie płacić ZUS-u w Polsce. Założysz sobie firmę na Wyspach i tam będziesz płacić ZUS. To działało przez kilka lat i po kilku latach boleśnie się zemściło, bo zamiast płacić po tysiąc złotych miesięcznie, nagle trzeba było po kilkadziesiąt tysięcy, z odsetkami jeszcze oddać. Więc nie kombinujmy w ten sposób, nie ulegajmy jakimś genialnym pomysłom typu „Ja Ci zrobię tak, abyś Ty nie musiał się przejmować RODO”. Słyszałem takie pomysły: „Ja będę sobie używać teraz telefonu, który nie jest podłączony do internetu, więc nie będę przetwarzać danych” lub „Starą nokię sobie wezmę”. Wiesz, jak wygląda zabezpieczenie smartfona? Możesz wpisać sobie kod, możesz zabezpieczyć odciskiem palca. Zrozumienie tego problemu jest w mojej ocenie kluczowe i nie trzeba się tego bać. Poczytać, zrozumieć, doedukować się, pójść na szkolenie, pytać. Tylko też trzeba uważać, bo pojawia się cała masa dziwnych teorii i złych doradców.

Podsumowując: nie panikujemy, dbamy o bezpieczeństwo w sposób systematyczny, niekoniecznie mnożymy papiery. Chociaż tu się zastanawiam, że w momencie kontroli nie zakładamy, że będzie ich dużo. Ten diabeł nie jest taki straszny. Myślimy, że ostatecznie będzie dotyczył pewnie większych spółek w momencie kontroli, czy jednak te papiery się nie przydadzą?

Ja nie mówię, żeby ich nie robić. Miejmy tę dokumentację, przygotujmy ją. Tak naprawdę dokumentacja, którą już mieliśmy wcześniej, absolutnie może u nas pozostać. Możemy ją ewentualnie troszeczkę zmodyfikować. To będzie też zależało od skali działalności, jaką prowadzimy. Jeżeli mamy większe przedsiębiorstwo, zatrudniamy pracowników, to już mamy tę całą sferę HR-ową, którą musimy zabezpieczyć. Jeśli działamy jednoosobowo, to jest zupełnie inaczej. Dokumentacja niech będzie, tylko ja przestrzegam przed takim złudnym poczuciem bezpieczeństwa, że skoro mam papiery, to załatwiłem wszystko. Bo to nie jest wszystko. Myślimy o tej ochronie danych cały czas. Co jakiś czas myślimy o tym, czy coś się przypadkiem nie zmieniło. Dokonujemy przeglądów naszego systemu zabezpieczeń. To są takie proste rzeczy, jak dokonywanie aktualizacji na komputerze. Co jakiś czas wyskakuje nam aktualizacja, więc albo robimy to od razu, albo odkładamy. Aktualizacja jest po coś, jest często dlatego, że być może pojawiły się jakieś luki, dziury w systemie i ktoś próbuje się przez nie przedostać. Aktualizacja jest to po, by je załatać, robimy ją już. Ustawiamy sobie wygaszacz ekranu, blokowanie monitora, ograniczanie korzystania z sieci otwartych. Idziemy sobie do Maca na kawę, odpalamy kompa, by popracować, podłączamy się do publicznej sieci – to nie jest najbezpieczniejszy sposób, tam bardzo łatwo się dostać.

Trzeba też zwrócić uwagę na zewnętrzne nośniki danych, tzw. pendrive’y, gdy ktoś przenosi tak dokumenty. Są takie pendrive’y, które mają oprogramowanie niszczące dysk w komputerze. Trzeba to sprawdzić w programie antywirusowym albo, jeżeli często używamy dużych pendrive’ów, mieć jakiś jeden stary komputer, który będzie testowy. Tam wkładamy, zgrywamy dane. Wynoszenie danych na nośnikach – pendrive łatwo zgubić. Jako standard należałoby sobie wprowadzić szyfrowanie danych. Wynosisz to na pendrivie, szyfrujesz. To jest incydent bezpieczeństwa, ale o znaczeniu małym, dlatego że nikt tych danych nie odczyta bez klucza, nawet jeżeli zgubisz. To są raczej tego typu kwestie. Jeżeli prowadzimy przedsiębiorstwo, mamy pracowników, to wdróżmy sobie ten system, przeszkolmy ich, nauczmy ich tego, żeby oni w codziennej praktyce, codziennej działalności, pracy też o tym myśleli, żeby tego nie bagatelizowali, bo zawsze człowiek jest najsłabszym ogniwem i nie zabezpieczy nam tego. Choćbyśmy zrobili tyle, to nic nam to nie da, jeżeli ci ludzie tego nie przeczytają, nie zrozumieją i nie będą stosowali.

Dokładnie, czyli ludzie muszą być mocnym faktorem. Piotrze, dziękuję Ci bardzo za ciekawą rozmowę. Tak zakończył się 10. odcinek „Mecenasa marketingu”. Temat RODO jest gorący, już może nawet przegrzany. Nie wiem, czy jeszcze do niego wrócimy, choć pewnie chcielibyśmy za jakiś czas zobaczyć, jakie będą konsekwencje, czy w ogóle będą konsekwencje ze strony tych przedsiębiorców, którzy nie dostosowali się do nowych przepisów. Będziemy obserwować sytuację. Jeżeli wspólnie uznamy, że warto jeszcze raz porozmawiać o tym temacie, to porozmawiamy. Tymczasem życzę Wam udanego weekendu. I nie bójcie się RODO, nie taki diabeł straszny. Pozdrawiam!