Pobierz plik z transkrypcją

Dzień dobry, witam Was serdecznie. Nazywam się Marcin Tomczak. Będę prowadził cykliczny, codwutygodniowy program „Mecenas marketingu”. W tym programie będziemy rozmawiać z ciekawymi ludźmi, ludźmi prawa i polityki, poruszać tematy prawne związane z marketingiem, ale też z IT, czyli wszystko to, co może Was właśnie dotyczyć. Będą i ciekawostki, i praktyczne porady.

Dzisiaj zajmiemy się trzema tematami. Powiemy o prawie dla twórców internetowych. Mam przed sobą taką oto ciekawą książkę, która ostatnio została wydana. W drugiej części przejdziemy do dosyć interesującego zagadnienia też zahaczającego mocno o internet, czyli prawa mody, a w trzeciej będziemy mówić o bardzo topowym i gorącym temacie związanym z ochroną danych osobowych, czyli z tzw. RODO.

Pierwszym moim gościem jest Agnieszka Witońska-Pakulska, pani mecenas, radca prawny. Przyjechała do nas z samego Krakowa, dzisiaj od rana jechała. Agnieszka jest szefem Departamentu Własności Intelektualnej w kancelarii Pakulski, Kilarski i Wspólnicy. Na co dzień doradza wielu podmiotom, zarówno z kraju, jak i z zagranicy. Są to podmioty z sektora mody, w tym domy modowe, firmy odzieżowe, producenci akcesoriów modowych, a także jubilerzy, projektanci, fotograficy, agencje reklamowe i modelingowe. W pierwszej części porozmawiamy z Agnieszką o ich hicie, czyli książce Prawo dla twórców internetowych.

Agnieszko, skąd pomysł na książkę?

Agnieszka: Z doświadczenia. W mojej działalności prawniczej często zdarza się tak, że zgłaszają się do nas młode osoby, nawet z takimi prostymi zapytaniami przez nasz formularz, jak coś zrobić, czy można coś wykorzystać. Bo blogi tworzą w internecie głównie młodzi ludzie, którzy kierują się swoją pasją, czy to do motoryzacji, czy sztuki kulinarnej. I czasami po prostu nie wiedzą, jak poruszać się w internecie, czy można zamieszczać jakieś zdjęcia, na co zwrócić uwagę, jak kupują zdjęcia stockowe. I pomyślałam sobie, że wychodząc naprzeciw ich oczekiwaniom, by nie musieli szukać pojedynczych informacji w internecie, aby zebrać to w jedną całość, te najbardziej podstawowe i przydatne informacje zamieściliśmy w jednej publikacji, napisanej też przystępnym językiem, żeby dało się to zrozumieć.

Czytałem, faktycznie jest to dobrze napisane, da się to czytać w przeciwieństwie do innych publikacji prawnych. Powiedz: komu przyda się ta książka?

Agnieszka: Na pewno tym, którzy zaczynają swoją działalność w internecie, zastanawiają się dopiero nad tym, czy założyć bloga i jak to zrobić. Ale przyda się również osobom, które już działają w internecie i przy tej swojej codziennej działalności zastanawiają się, czy coś można, czy nie. Ta książka wskaże im, tam, gdzie się oczywiście da, jednoznaczne odpowiedzi, a tam, gdzie nie jest to do końca możliwe, jak to w prawie bywa, czyli nasze słynne „to zależy”, wskazuje na te rozwiązania, które są bezpieczne.

W książce mamy kilka ważnych części. Zajęłaś się blogiem, social media oraz konkursami, newsletterem, ochroną danych osobowych. Daj naszym widzom parę wskazówek odnośnie do prowadzenia bloga: o czym trzeba pomyśleć, co wziąć pod uwagę?

Agnieszka: Pierwsza, najbardziej kluczowa i istotna kwestia przy zakładaniu bloga to jest oczywiście sama nazwa. Złe jej wybranie może powodować, że będzie to generowało problemy. Zgłosi się do nas jakiś podmiot, który już wcześniej miał np. zarejestrowaną nazwę jako znak towarowy, albo jeszcze bardziej prozaiczna kwestia: wymyślimy sobie nazwę, z którą strasznie się zżyjemy i która będzie nam się bardzo podobała, a nie sprawdzimy, czy jest wolna domena. Więc na pewno zanim obierzemy nazwę i się do niej przyzwyczaimy, to trzeba sprawdzić wszystkie możliwe informacje jej dotyczące, czyli czy przypadkiem nie jest zarejestrowana jako znak towarowy na rzecz innego podmiotu.

Czy jest wolna domena, a jeżeli tak, to z jakimi rozszerzeniami. Dobrze jest sprawdzić, czy ktoś nie ma spółki zarejestrowanej pod tą nazwą i nie stwierdzi, że będziemy wprowadzali w błąd. Więc jeżeli chodzi o blogi, to na pewno ta pierwsza kluczowa rzecz to nazwa, natomiast druga to jak tego bloga będziemy chcieli ustawić, na jakiej platformie stworzyć.

Musimy zakupić sobie jakiś theme, chyba że wybierzemy darmowy. Więc konieczne jest sprawdzenie też tych wszystkich rzeczy dotyczących tego theme’u i tego, czy przysługują nam do niego prawa. I potem jeśli chodzi o bloga, to samo jego prowadzenie też jest rzeczą, która wymaga uwagi i roztropności, tzn. z jakich zdjęć korzystamy, jak cytujemy, czy oznaczamy w dobry sposób autorstwo osób, których zdjęcia wykorzystujemy. Prowadzenie bloga musi być przyjemne, bo na tym to ma polegać, ale trzeba się też między blogerami nawzajem szanować i baczyć na swoje prawa.

A co nam może grozić, jeśli będziemy popełniać błędy? Czy to faktycznie jest tak, że komercjalizując bloga, czyli zaczynając na nim zarabiać, możemy wpaść w jakieś kłopoty?

Agnieszka: To jest tak, że przy każdej działalności gospodarczej, komercyjnej im większy sukces osiągamy, tym bardziej czyha na nas konkurencja i zastanawia się, co można by było z nami zrobić. Dlatego oczywiście, że tak, ryzyko rośnie w miarę zdobywania popularności. Jeżeli chodzi o własność intelektualną, ktoś może mieć do nas pretensje, że wykorzystaliśmy jego zdjęcie, może chcieć kierować sprawę na drogę sądową, chcieć, żebyśmy zmienili nazwę, domenę. To są już kwestie bardzo indywidualne, natomiast jeśli chodzi o problemy, które mogą się pojawić, to jest ich cały wachlarz.

A jakieś tipy dla tych, którzy siedzą na Fejsie, mają tam swój profil i bawią się jeszcze w konkursy? Na co tu zwrócić uwagę?

Agnieszka: Na to, żeby w bardzo precyzyjny sposób oznaczać, kto jest organizatorem konkursu, dlatego że to na organizatorze konkursu ciążą wszystkie obowiązki. Jeżeli dana osoba, czyli załóżmy bloger, nie jest tak naprawdę organizatorem konkursu, tylko współorganizuje go z jakąś marką, to w sposób jednoznaczny powinno być wskazane, że ta marka jest organizatorem konkursu. I oczywiście warunki tego konkursu powinny być również zamieszczone, nie w jakiś megarozbudowany sposób, ale przystępny, zwięzły, tylko żeby było wiadomo, co, kto i jak może wygrać.

Zgłaszają się do nas, do blogera, firmy, które chcą skorzystać z zasięgu blogera. Ten bloger już utworzył sobie bazę mailingową, bowiem ludzie zapisywali się do newslettera, i chce wysyłać ten newsletter. Na co tu zwrócić uwagę, żeby nie mieć problemów?

Agnieszka: Oczywiście powinniśmy zwrócić uwagę na to, czy będziemy posiadali odpowiednie zgody na to, żeby ten newsletter wysyłać. Powinniśmy je sobie archiwizować, zwracać uwagę na to, czy ktoś przypadkiem nam tej zgody nie cofnął. Więc ten system powinien być po pierwsze stworzony, a po drugie później też kontrolowany. Przy newsletterze również powinniśmy mieć jakiś regulamin, nie jakoś bardzo rozbudowany, jednak powinien być. I jeszcze powinniśmy dbać o to, aby newsletter był ciekawy – ale to już kwestia mniej prawna.

Czy korzystając z zewnętrznych dostawców systemów do wysyłania newslettera, jesteśmy dużo bezpieczniejsi, niż robiąc to na własną rękę?

Agnieszka: Wszystko zależy od tego, jak bardzo dba o to ten podmiot, z którego usług korzystamy. I to zależy. Na pewno poważne firmy dbają o to, żeby zapewnić nam działanie w zgodzie z prawem, natomiast zdarzają się też firmy, które pewnie nie do końca – a wychodzi to w praniu – czy to archiwizują te zgody, czy mają wszystko przeanalizowane pod względem prawnym. Dlatego nawet jeżeli się decydujemy na korzystanie z jakiegoś zewnętrznego dostawcy, to powinniśmy upewnić się, że jego polityka i jego sposób działania są takie, jakie być powinny, żeby nie wyszło to w praniu.

Każdy popełnia błędy, to wiemy. Chciałbym, abyś opowiedziała nam o jakichś przypadkach, kiedy faktycznie skończyło się sporem sądowym, były wyciągnięte konsekwencje lub zawarta ugoda.

Agnieszka: Przykład, na który natrafiłam, pisząc tę książkę, i który mnie bardzo zaskoczył, jest trochę związany z kwestią podatkową, gdyż wydawało mi się, że blogerzy z markami dobrze współpracują. I mogłoby się wydawać, że marka nigdy przeciwko blogerowi nie będzie. A natrafiłam na sytuację, w której jedna z marek złożyła donos na blogera, że otrzymywał darowizny, z których się nie rozliczył. Nie wyszło jej to na dobre, ponieważ urząd skarbowy przyczepił się tak naprawdę do tej marki i firmy, że ona nie rozliczała się sama w sposób prawidłowy z urzędem skarbowym. Tak naprawdę ten donos wyszedł jej bokiem.

Czyli rozumiem, że była taka kontrola krzyżowa.

Agnieszka: Tak, jeden doniósł, a okazało się, że wyszło jemu źle. Dlatego trzeba uważać. To jest tak, że jest dobrze, dokąd jest dobrze. I dlatego umowy się naprawdę przydają. Trzeba je podpisywać w sposób rozważny, bo to, czego prawnik nie jest w stanie zrobić, to na pewno cofnięcie czasu. Nie damy rady zmienić źle podpisanej umowy. To, co jest podpisane, to będzie i na tym przyjdzie nam później pracować.

A gdybyś doradzała marketingowcom, to kiedy należy tak naprawdę korzystać z prawnika? Kiedy to jest nieodzowne, kiedy z prawnikiem powinno się współpracować projektowo, a w jakim momencie tak naprawdę już powinniśmy się wspierać stale?

Agnieszka: Ja uważam, że powinno się to robić już od samego początku, gdyż najgorzej jest próbować zaleczać dane sytuacje. Jeżeli ktoś wpada na jakiś pomysł, chce podjąć jakieś działania marketingowe, powinien zgłosić się do prawnika i przeanalizować z nim, w jaki sposób chce działać i jak to ugryźć od strony prawnej. Dlatego że przyjęte już na samym początku konstrukcje i sposób działania mają swoje konsekwencje w przepisach, czy to Kodeksu cywilnego, czy przepisach podatkowych. I tak naprawdę jeżeli przyjdzie się na samym początku, ułoży ten sposób działania marketingowego jak trzeba, to wszystko to ładnie zgra się razem i nie będzie w zasadzie żadnych problemów, jeżeli będzie się później tak postępowało, jak to na samym początku było obrane. Więc zdecydowanie uważam, że powinno się przychodzić na samym początku.

Takie dobre szkolenie na starcie, przygotowanie pewnych dokumentów, zasad gry – i można działać.

Agnieszka: Dokładnie tak. I potem gra pełną parą.

Przejdźmy do prawa mody, bo to jest bardzo interesująca działka, którą się zajmujesz. Zahacza bardzo mocno o marketing i o kwestie internetowe, wszystko to, co nas interesuje. Prowadzisz akcję Legally Fashionable. Powiedz o niej parę słów.

Agnieszka: Akcja powstała również z doświadczenia i mojej obserwacji, że nie każdy konsument zdaje sobie sprawę z tego, że moda to nie jest biznes, który sprzedaje nam tylko ubrania, ale jest też biznesem kreatywnym. I prawa do różnych rzeczy w modzie przysługują, czy to do grafiki, która zamieszczona jest na koszulce, czy wzoru torebki, czy znaków towarowych. I akcja, i kampania Legally Fashionable mają na celu zwrócenie uwagi na to, że markom modowym przysługują prawa, które chronią. Wykładają na nie dość spore sumy pieniędzy, aby być rozpoznawalnym na rynku i dostarczać konsumentom rzeczy, które będą się im podobały, wyróżniały ich spośród tłumu. I stąd właśnie ta kampania w celu zwrócenia uwagi, że w modzie są przedmioty podlegające ochronie.

Pierwszym elementem tej kampanii jest koszulka z grafiką Anny Halarewicz. I celem tego pierwszego elementu było zwrócenie uwagi na to, jak można oznaczyć, że przysługują prawa autorskie do tej grafiki, ponieważ na wewnętrznej części metki jest wpisane, że prawa przysługują ilustratorce.

Jesteś też świetnym mecenasem marketingu, dlatego chciałbym chwilę porozmawiać o Twoim marketingu. Podejmujesz sporo różnych świetnych inicjatyw, chociażby taki raport dotyczący strategii ochrony marki modowej. To jest jedna z kilku rzeczy, które przedsięwzięłaś. Powiedz parę słów o tym, co jeszcze robiłaś.

Agnieszka: Działalność prawnicza to nie tylko siedzenie przed komputerem i w przepisach prawa. Niestety, aby ludzie wiedzieli o tym, że jesteśmy, to musimy podejmować działania marketingowe. I tak naprawdę naszym zadaniem jest nie tylko toczyć spory sądowe, ale też tak naprawdę uświadamiać przedsiębiorców, jak powinni organizować swoją działalność gospodarczą i jakie obejmować strategie. Gdyż tak jak my działamy marketingowo, tak i oni działają marketingowo, a bez wsparcia prawniczego marketing nie będzie taki pełny w ich działalności.

Stąd też podjęłam decyzję, że jako prawnik trzeba się wychylić znad książek i komputera i podjąć działania strategiczne marketingowe. Jednym z pierwszych był ten raport. Dość mocno jak na swoje możliwości staram się udzielać też na Instagramie. Ta kampania jest pewnie troszkę działaniem marketingowym, aby jednak jakoś się pojawić. I oczywiście social media w postaci Facebooka, żeby gdzieś się cały czas pojawiać. Na bieżąco zastanawiamy się nad tym, jakie kolejne działania przedsięwziąć.

Przejdźmy do trzeciej części programu, czyli kwestii ochrony danych osobowych. Agnieszka zostanie z nami, ale mamy drugiego gościa, którym jest dr Michał Matuszczak z kancelarii Babiaczyk, Skrocki i Wspólnicy z Poznania. Michał jest redaktorem naczelnym portalu Prawo i Technologia. Witam Cię. Ten temat wydaje się tak bardzo gorący, że też w pewien sposób niebezpieczny. 28 maja 2018 r. będziemy mieli kilka znaczących zmian. Pytanie: co się wtedy wydarzy?

Michał: Faktycznie zmianę określa się jako rewolucyjną i to określenie nie jest na wyrost. W tym dniu wejdzie w życie wielka europejska reforma prawa ochrony danych osobowych. Przestanie obowiązywać dotychczas wiążąca polska ustawa o ochronie danych osobowych, wejdzie w życie unijne rozporządzenie zwane w skrócie RODO. I zmiany będą miały bardzo daleko idące konsekwencje dla działalności przedsiębiorców.

Trzeba też trochę uspokoić i rozwiać mity, bo kluczowym założeniem towarzyszącym pracom nad tym nowym prawem była przede wszystkim zasada proporcjonalności, tzn. faktycznie gminny ustawodawca przyjął takie założenie, że chciałby dostosować wymogi i pewne rygory związane z ochroną danych osobowych do konkretnych realiów, do skali działalności, jaką prowadzi dany przedsiębiorca, przede wszystkim do skali zagrożeń związanych z przetwarzaniem danych osobowych. Stąd też dla tych mniejszych podmiotów – tu bardziej chodzi o skalę przetwarzania danych osobowych i ewentualnych zagrożeń z tym związanych – te rygory mogą być mniejsze niż w przypadku dotychczas obowiązujących przepisów prawa w zakresie ochrony danych osobowych.

Natomiast te podmioty, które faktycznie przetwarzają dane osobowe w dużej skali i których działalność jest związana z dużymi ryzykami naruszania praw i wolności podmiotów danych osobowych, oczywiście powinny bardzo poważnie zainteresować się tą tematyką i z dużym wyprzedzeniem zająć się implementacją tych nowych obowiązków, nowych rygorów w swojej działalności.

Wiemy, że zmiany dotykają praktycznie wszystkich firm, więc jakie działania należy podjąć? Mówisz, że jednych mocniej, innych mniej. Natomiast co powinniśmy zrobić do maja?

Michał: Każdy przedsiębiorca przetwarza dane osobowe. Samo gromadzenie, przechowywanie danych osobowych już jest ich przetwarzaniem, w związku z czym przepisy dotyczą niemal każdego. I każdy na pewno powinien przynajmniej podjąć refleksję na temat tego, jak ten proces przetwarzania danych osobowych w jego przedsiębiorstwie wygląda w zależności od skali zjawiska. Ale rekomenduje się, żeby każdy przyjrzał się temu procesowi przetwarzania danych osobowych, żeby postarał się ustalić, jakie kategorie danych są przetwarzane, w jakim zakresie, czy aby na pewno te dane są niezbędne do tego, żeby wykonywać te procesy biznesowe, które związane są z przetwarzaniem.

Należy przyjrzeć się zabezpieczeniom, jakie były do tej pory stosowane w przedsiębiorstwie w zakresie ochrony danych, i odpowiednio dostosować działania do wyników tego, nazwijmy to, miniaudytu. Te działania będą polegały m.in. na przygotowaniu odpowiedniej dokumentacji związanej z przetwarzaniem danych osobowych, czyli polityk bezpieczeństwa przetwarzania danych, procedur, które będą regulowały kwestie związane z wdrożeniem obowiązków, które nakłada RODO, odpowiednim dostosowaniem klauzul umownych, które służą np. powierzaniu przetwarzania danych osobowych czy też choćby weryfikacji formularzy uzyskiwania zgód na przetwarzanie danych osobowych, bo w tej kwestii też kilka elementów jest nowych.

Czy uważacie, że firma sama jest w stanie przygotować się do takich zmian, czy to jest niemożliwe i de facto trzeba skorzystać z pomocy zewnętrznej?

Michał: Uważam, że na etapie wstępnego doradztwa warto już zorientować się, z czym to się je, żeby prawnik faktycznie mógł zorientować się, z jaką skalą zjawiska ma do czynienia. Na pewno warto się w tej kwestii poradzić i uzyskać choćby kilka wskazówek, co dalej, czy warto zaangażować jakiś podmiot wyspecjalizowany, np. wyspecjalizowaną kancelarię prawną, która jest w stanie kompleksowo zająć się problemem, wziąć za to odpowiedzialność. Czy faktycznie jest szansa, że przedsiębiorca we własnym zakresie jest w stanie temat ogarnąć.

Agnieszka: A poza tym każdy zna się na swojej działce. Przedsiębiorca umie prowadzić swój biznes i wie, jak to dobrze robić, i powinien oddelegować to, co jest trochę poza tym zakresem, żeby z siebie zdjąć troszkę odpowiedzialności. Czasami naprawdę nie warto samemu robić wszystkiego, jeżeli są osoby, które się w tym specjalizują i będą wiedziały, jak to zrobić. Więc ja uważam, że zdecydowanie należałoby, jak było to powiedziane, chociaż po tę wstępną analizę sięgnąć. I wydaje mi się, że bardzo istotne jest też to, aby zwrócić uwagę, że jest bardzo duże prawdopodobieństwo, że osoby, których dane są przetwarzane, z całym tym rozporządzeniem się zapoznają. Żeby nie było tak, że przedsiębiorca będzie mniej doinformowany niż osoby, których dane przetwarza, żeby jednak on był bardziej przygotowany i wiedział, co mu wolno, a czego nie i czy wypełnia te obowiązki w sposób należyty.

Michał: Zgadzam się, bo faktycznie pojawiają się nowe uprawnienia, o których jest dość głośno. I myślę, że przeciętna wiedza na ten temat rośnie.

Jakie to uprawnienia?

Michał: Oprócz lepszej egzekucji starych praw, które podmioty danych miały, pojawiają się nowe, choćby takie jak głośne prawo do bycia zapomnianym, czyli prawo do trwałego usunięcia danych ze zbioru, który przetwarza administrator danych. Choćby prawo do przenoszenia danych.

Czyli chodzi o to, że w każdym momencie możemy zażądać, żeby usunięto nas z bazy.

Michał: Co do zasady tak, aczkolwiek są dość istotne wyjątki od tej reguły. Przepisy przewidują, że w pewnych sytuacjach administrator danych osobowych ma prawo odmówić. Ciekawe pytanie, z którym się spotkałem całkiem niedawno: co w przypadku, kiedy jest prowadzony monitoring wizyjny? Wiadomo, że monitoring wizyjny to gromadzenie danych osobowych, jeżeli te nagrania są przechowywane i jakoś archiwizowane. Co, jeżeli jeden z klientów nagranych na tym monitoringu poprosi o trwałe usunięcie jego danych? Jak należy się wtedy zachować?

Wiadomo, że wiąże się to z tym, że po pierwsze przedsiębiorca ma prawo przechowywać takie nagrania, jeżeli np. klient jest podejrzany o kradzież, jeśli mamy do czynienia ze sklepem, albo jest szansa, że klient zgłosi jakąś reklamację, a nagranie dotyczy usługi np. mu świadczonej. Wiadomo, że jest to awykonalne, żeby z filmu, który obejmuje szerokie grono osób, usunąć jednostkę, która została na nim nagrana i żąda, żeby usunąć jej dane osobowe z tego zbioru danych, jakim jest nagranie filmowe.

Uśmiechnęliśmy się, jak Michał powiedział „co do zasady”, bo to jest takie powiedzenie branżowe prawników. Mamy je nawet na kubkach. Ja Was proszę o pytania, zarówno do Michała, jak i do Agnieszki. Jeśli chcielibyście się dowiedzieć bardzo konkretnych rzeczy, to zapraszam. W komentarzach pod naszym live’em możecie zamieścić takie pytania, ja będę je przeglądał. Porozmawiałbym o tym, że nowe prawo faktycznie ma być dużo bardziej skuteczne. Co nam grozi, jakie są możliwe kary, jeśli nie dopełnimy pewnych obowiązków i nie będziemy zachowywać się tak, jak opisują to regulacje?

Michał: To faktycznie też jedna z tych dość istotnych zmian, a mianowicie nowe przepisy dają organowi nadzorczemu – w Polsce to będzie nowy organ: Prezes Urzędu Ochrony Danych Osobowych, który zastąpi GIODO – skuteczne instrumenty egzekwowania tych właśnie rygorów, obowiązków nałożonych na administratorów danych. Są to przede wszystkim kary pieniężne, dość surowe, bo maksymalnie mogą wynosić nawet 20 milionów euro lub 4% rocznego światowego obrotu, którakolwiek z tych kwot okaże się wyższa…

Jak to będzie wyliczane w stosunku do firm?

Michał: Nie ma bardzo precyzyjnego algorytmu, to jest maksymalna wartość kar umownych. Przepisy wskazują cały szereg kryteriów, którymi się powinien posłużyć organ nakładający tę karę. I mówi się o tym, że kara powinna być dolegliwa, ale proporcjonalna. Czyli generalnie faktycznie powinno się wziąć pod uwagę szereg czynników, które są związane z danym naruszeniem, choćby właśnie zagrożenie dla praw i wolności osób, których dane dotyczą. I dopiero na tej podstawie kara powinna być; zobaczymy, jak to w praktyce będzie wyglądało, w tej chwili trudno określić, w którą stronę pójdzie praktyka urzędu. Innym uprawnieniem, oprócz kar pieniężnych, są również tzw. uprawnienia korekcyjne, łącznie z możliwością nałożenia zakazu przetwarzania danych osobowych albo ograniczania tego przetwarzania.

Michale, Ty zajmujesz się dosyć ciekawym wycinkiem, czyli przekazywaniem danych osobowych poza Europejski Obszar Gospodarczy. Gdybyś trochę więcej powiedział o tym, kogo to dotyczy, kiedy należy ten temat sprawdzić w firmie…

Michał: Zagadnienie dotyczy wszelkich przypadków transgranicznej wymiany danych osobowych, czyli obrazowo mówiąc: kiedy dane osobowe przekraczają fizycznie, załóżmy, granice Europejskiego Obszaru Gospodarczego, bo trzeba powiedzieć, że w ramach tego obszaru przekazywanie danych osobowych innym podmiotom nie różni się niczym od przekazywania danych osobowych w ramach terytorium Polski.

Natomiast to wiąże się głównie z usługami świadczonymi z wykorzystaniem technologii internetowych, choćby np. administratorzy portali społecznościowych, którzy mają serwery zlokalizowane poza Europejskim Obszarem Gospodarczym. Albo wszelkie przypadki tzw. offshoringu, czyli outsourcingu usług, które są związane z przenoszeniem pewnych procesów biznesowych do innego kraju. I to mogą być usługi IT, marketingowe, wszelkie call center, czyli takie sytuacje, kiedy podmiot spoza Europejskiego Obszaru Gospodarczego ma dostęp do danych osobowych zgromadzonych przez przedsiębiorcę z Europy.

Czy ma znaczenie to, jaki rodzaj działalności prowadzimy, czym zajmuje się firma?

Michał: Zasadniczo nie ma to znaczenia, bo jeżeli firma w ramach swojej działalności przetwarza dane osobowe i wiąże się to z przekazywaniem ich poza obszar Europejskiego Obszaru Gospodarczego, to w tym momencie nie ma znaczenia, jaki to jest rodzaj działalności.

Czy sądzicie, że nowe prawo poskutkuje tym, że chętniej będziemy korzystać z lokalnych serwerów, czy to nie przełoży się na polskie lub też europejskie serwerownie? Wiem, że kilka firm podejmuje już takie działania, żeby wracać z danymi do kraju, bo boi się tych nowych regulacji.

Michał: W tym zakresie prawo aż tak radykalnie się nie zmienia. Regulacje, które do tej pory obowiązywały w zakresie przekazywania danych osobowych do tzw. państw trzecich, były bardzo zbliżone. Zmieni się tylko kwestia związana z egzekucją, czyli jeżeli ktoś do tej pory lekceważył te swoje obowiązki, licząc, że większa sankcja go nie spotka z tego tytułu, to teraz powinien zacząć się tego obawiać. Natomiast być może będzie taka tendencja, żeby w ten sposób to ryzyko minimalizować, starać się unikać tych sytuacji, aczkolwiek myślę, że potrzeba rynku tu wygra, jeżeli np. będzie możliwość skorzystania z usługi, która jest wykonywana znacznie taniej i lepiej gdzieś daleko w Indiach. Myślę, że przedsiębiorcy raczej będą szukać rozwiązań, które umożliwią im skorzystanie z tej tańszej usługi.

Agnieszka: Poza tym nie należy podejmować decyzji pochopnie i emocjonalnie, tylko przeanalizować, czy chociażby pod względem finansowym jednak nie bardziej opłaca się utrzymywanie tych serwerów tam, gdzie były dotychczas, po prostu to zweryfikować. Bo może się okazać, że w firmie, jeśli chodzi o przetwarzanie danych, wszystko jest w porządku i takie ryzyko jest minimalne. Więc znów konieczna jest analiza przed podjęciem jakiejś radykalnej decyzji.

Mamy pytanie od Tomka: „Czy sklepy internetowe muszą dane klientów udostępnić nowej służbie?”. Nie wiem do końca, co miał na myśli, czy służbom, które są tworzone. Powiedzcie: jak to będzie?

Michał: Czy RODO przewiduje znacznie szersze uprawnienia kontrolne? Jeżeli chodzi o służby pt. Prezes Urzędu Ochrony Danych Osobowych i jego pracownicy, to faktycznie te uprawnienia kontrolne są dość jasno i szeroko sformułowane na takiej zasadzie, że jest obowiązek udostępnienia miejsca, sprzętu, danych, pełen dostęp do procesu przetwarzania danych osobowych. Przedsiębiorca musi poddać się tym rygorom. Co do służb, to są trochę oddzielne zagadnienia.

To jest inny temat, wiadomo, że jak będziemy mieli CBA, CBŚ na karku, to pewnie i tak ostatecznie będzie 

Michał: Tak, aczkolwiek tam już bazuje się na konkretnym wyroku sądu, który albo nakazuje pewne działania, albo nie.

Słuchajcie, po jednej radzie. Zostało niecałe sześć miesięcy do tych zmian. Co firmy powinny podjąć?

Agnieszka: Na pewno działania sprawdzające, sprawdzenie tego, czy dotychczasowe sposoby przetwarzania danych osobowych są zgodne albo na ile są zgodne z nowym rozporządzeniem, które będzie wchodziło, czyli dokonanie takiego audytu tego, co było do tej pory. I na tej podstawie, po otrzymaniu wewnętrznej rekomendacji, co należałoby zmienić, dostosowanie tego, co jest, do nowej regulacji.

Michał: Moja rada jest taka, żeby nie zwlekać. Wbrew pozorom jest bardzo mało czasu, bo rozporządzenie weszło w życie w maju 2016 r., czyli mamy ten dwuletni okres przygotowawczy. Ono znajdzie zastosowanie w maju przyszłego roku, czyli trzy czwarte czasu, który był na przygotowanie, już minęło, w związku z czym należy dość intensywnie się tym tematem zainteresować i jak najszybciej podjąć działania. W przypadku np. systemów informatycznych, jeżeli byłaby potrzeba dostosowania, czas na wdrożenie odpowiednich zmian do systemu informatycznego, w skrajnym wypadku jego zmiany, jest bardzo krótki.

Bardzo Wam dziękuję. Moimi gośćmi byli Agnieszka Witońska-Pakulska, pani mecenas z Krakowa, i mecenas z Poznania, dr Michał Matuszczak. To tyle na dzisiaj, spotykamy się za dwa tygodnie. Podsyłajcie tematy, o których chcielibyście usłyszeć. Będziemy zapraszali wybitnych gości, również ze świata polityki. Postaramy się poruszać tematy na czasie, te, które są ciekawe. Niebawem pojawi się też temat uchwały krajobrazowej, która weszła już szmat czasu temu, natomiast jej wyniki są dosyć słabe. Chcemy właśnie o tym porozmawiać. Dziękuję i do zobaczenia.