facebook web

RODO: Zgoda bezpieczniejsza niż prawnie uzasadniony interes administratora. Oprogramowanie dobrym rozwiązaniem

Rozmowa Piotra Ślusarczyka, eksperta netPR.pl, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.

 

Piotr Ślusarczyk: Podstawą prawną do przetwarzania danych osobowych w kontaktach z mediami może być prawnie uzasadniony interes administratora. Czy daje to stuprocentową gwarancję bezpieczeństwa w przypadku wysyłki informacji prasowej do mediów?

Dr Maciej Kawecki: Po pierwsze trzeba powiedzieć, że nowe przepisy unijne wprowadzają przesłankę tzw. prawnie uzasadnionego interesu, przez który rozumie się również marketing. Marketing usług administratora oraz podmiotów trzecich. To jest bardzo istotne, że również reklamowanie usług podmiotów trzecich rozumiane jest jako marketing. To, czy informacje prasowe będą mogły być uznane za marketing, zależy od ich treści. Jeżeli informacje prasowe służą informowaniu o jakiejś rzeczywistości, nie służą reklamowaniu jakichś konkretnych produktów i usług, to w mojej ocenie nie są informacją marketingową. I dużo bezpieczniej byłoby odebrać od osoby, której takie informacje wysyłamy, zgodę na ich kierowanie. Natomiast jeżeli mają one charakter stricte marketingowy, co pewnie występuje o wiele, wiele rzadziej, wtedy możemy uznać, że jest to tzw. prawnie uzasadniony interes administratora.

PŚ: Czy w przypadku mniejszych podmiotów, jakimi często są agencje PR (to nie są zwykle duże podmioty, ale na danych osobowych pracuje wielu konsultantów) oprogramowanie nie byłoby dobrym rozwiązaniem, gdy nie śledzimy zmian w jednym pliku, tylko tych plików jest wiele na różnych komputerach?

MK: Zdecydowanie tak, natomiast dopatrywałbym się w czym innym problemu związanego z technicznym aspektem realizowania prawa do bycia zapomnianym czy w ogóle RODO. Musimy pamiętać o tym, że bardzo wielu przedsiębiorców prowadzi tzw. backupy, kopie zapasowe, gromadzi dane dla celów archiwalnych. Bardzo często roszczenia przedawniają się po paru latach, w związku z tym dane te są długo składowane. Nierzadko okres, kiedy możemy je gromadzić, już dawno upłynął, a one są nadal przechowywane gdzieś w naszych zasobach. Mało tego, bardzo często nie możemy do tych danych dojść, ponieważ po latach nakładają się one na siebie. W związku z tym nie są w żaden sposób usystematyzowane, są nie do znalezienia, nie do odkrycia. W efekcie, jeżeli ktoś żąda usunięcia danych osobowych albo zażąda np. prawa dostępu do swoich danych lub prawa do ich zaktualizowania, robimy to w bazie podstawowej, zasadniczej, ale już nie realizujemy tego w tych bazach archiwalnych, backupowych. Na tym polega cały problem. I tutaj rzeczywiście stworzenie specjalistycznego oprogramowania, które pozwalałoby „naznaczać” określoną osobę, kiedy gromadzę jej dane, i widzieć je w bazach backupowych czy bazach archiwalnych w momencie, kiedy usuwam te dane np. z bazy podstawowej, było rozwiązaniem bardzo cennym.

PŚ: A jakie jeszcze funkcje oprogramowania moglibyśmy wymienić, jeśli chodzi o pomoc w realizacji rozliczalności?

MK: Rozliczalność to możliwość wykazania wszystkiego, co robimy z danymi. Jeżeli udostępniamy je innemu podmiotowi, jeżeli je aktualizujemy, jeżeli je multiplikujemy, czyli tworzymy kopie danych, wreszcie jeżeli je usuwamy, powinniśmy móc to wykazać. To pierwsza kategoria wymogów, które muszą spełniać oprogramowania. O drugiej sekundę temu powiedziałem – oprogramowanie ma zapewniać dostęp do całego zasobu danych, którymi dysponujemy. W prawie ochrony danych osobowych mówi się o autonomii informacyjnej. Jest to prawo do decydowania o sobie samym. Ja jako osoba, której dane dotyczą, mam prawo decydować, dysponować swobodnie moimi danymi osobowymi zawartymi we wszystkich bazach przedsiębiorcy. Czasami mamy trudność z dotarciem do tych danych. Oczywiście mówimy cały czas o przetwarzaniu danych w systemach informatycznych.

PŚ: Chciałbym jeszcze dopytać o prawo do bycia zapomnianym. Czy ono w praktyce nie oznacza czegoś takiego jak prawo do bycia zapamiętanym na zawsze? Chodzi mi tutaj o sytuację w agencji PR, gdy jednego dnia dziennikarz zgłasza prawo do bycia zapomnianym, a na drugi dzień przez konsultanta, który o tym nie wiedział, zostaje dopisany do bazy. Czy system powinien w jakiś sposób takiego dziennikarza rozpoznać i zapobiec takiemu dopisaniu?

MK: Muszę dopytać, jak następowałoby dopisanie do bazy. Na żądanie dziennikarza?

PŚ: Mówimy tutaj o tej drugiej sytuacji, czyli bez wiedzy dziennikarza, Rozumiem, że jeżeli dziennikarz ponownie, na drugi dzień, zgłasza zainteresowanie, żeby w tej bazie być, to nie ma problemu.

MK: To drugie działanie uznałbym za bezprawne. To nie jest działalność polegająca na tworzeniu materiałów prasowych, w związku z tym Rozporządzenie znajduje pełne zastosowanie. Jeżeli dane gromadzone są w jakiejkolwiek bazie w jakimkolwiek celu z wyjątkiem przypadku, gdy przepisy prawa czy interes publiczny wprost uzasadniają gromadzenie takich danych, powinna być na to udzielona zgoda. Natomiast nie do końca widzę związek pomiędzy tym a prawem do bycia zapomnianym. Prawo do bycia zapomnianym to jest prawo, które trochę więcej obiecuje, niż daje. Jeden z mitów, które związane są z RODO – a pojawia się ich coraz więcej, niestety – dotyczy właśnie prawa do bycia zapomnianym. To jest nic innego jak prawo żądania usunięcia danych osobowych, które od 20 lat w polskim systemie prawnym istnieje. Jeżeli nie ma podstaw prawnych do przetwarzania naszych danych osobowych, to wtedy mamy prawo zażądać ich usunięcia. Natomiast reforma wprowadza przypadki, w których prawo do bycia zapomnianym nie przysługuje. Między innymi bardzo ważna w działalności PR czy w ogóle w obszarze mediów jest wolność wypowiedzi, działalność prasowa. Jeżeli przetwarzanie danych jest konieczne do korzystania z wolności wypowiedzi, działalności prasowej, to wtedy mamy prawo odmówić zrealizowania prawa do bycia zapomnianym. Mówiąc wprost: jeżeli np. na jakimś forum internetowym, którego prowadzenie jest działalnością prasową, widnieje moje nazwisko i skorzystam z prawa do bycia zapomnianym, to forum ma prawo odmówić mi usunięcia moich danych, dlatego że ich udostępnienie jest związane z wolnością wypowiedzi, z której ktoś korzysta, w tym przypadku dziennikarz czy autor tekstu.

PŚ: A technicznie? Jeżeli dziennikarz zgłosił chęć skorzystania z tego prawa, czy oprogramowanie może w jakiś sposób zapamiętać, że to był ten konkretny kontakt, który chciał być usunięty z bazy?

MK: Nie powinno. Artykuł 11 Rozporządzenia, który jest jednym z ważniejszych elementów RODO, mówi bardzo istotną rzecz: nawet zasada rozliczalności nie może zobowiązywać do gromadzenia nadmiarowych danych. Czyli nie gromadzimy danych osobowych tylko po to, żeby wykazać, że zrealizowaliśmy obowiązek wynikający z RODO. Mówiąc jeszcze inaczej: jeżeli dziennikarz skorzysta z prawa do bycia zapomnianym, powinniśmy oczywiście dysponować informacją, że w dniu takim i takim rekord usunęliśmy, ale już nie – informacją o tym, jakie konkretnie dane osobowe, ponieważ to byłoby zdecydowanie nadmiarowe.

PŚ: Dziękuję bardzo za odpowiedź.

MK: Dziękuję bardzo.

Najnowsze

Są co najmniej 3 powody, żeby prowadzić bloga. Blogowanie najczęściej kojarzy się z tematami, które szeroko można określić jako lifestyle. Jedzenie, ubrania, gadżety i podróże to jedne z najpopularniejszych tematów. Niech pierwszy wyłączy Wi-Fi, kto by nie zajrzał na wpisy blogowe o tytułach: zatyczki wychodzą z uszu lub nasze soczewki patrzą na ciebie? Jeżeli jeszcze nie prowadzisz firmowego bloga to załóż go już dziś. ...

Jak pogłębić storytelling w kinie?. Wyjście do kina kojarzy się pozytywnie – z relaksem i wolnym czasem spędzanym z rodziną lub znajomymi. A dobry nastrój sprzyja… podatności na komunikat marketingowy. Stykając się z przekazem, będąc w dobrym humorze, lepiej zapamiętujemy daną reklamę oraz markę1. ...

Wideo w godzinę – w mediach na lata. Zapotrzebowanie na kontent wideo w mediach wciąż rośnie. Niestety w biurach prasowych tego rodzaju materiałów nadal jest niewiele. Aby wesprzeć firmy w tworzeniu tych treści, multimedialna agencja informacyjna infoWire.pl uruchomiła sklep internetowy z płatnościami online. ...

Informacja prasowa nie taka straszna, czyli jak napisać ją dobrze?. Jak sama nazwa wskazuje, informacja prasowa ma służyć przekazaniu do mediów informacji, najczęściej o jakimś istotnym zdarzeniu, którą chcemy się podzielić. Okazuje się jednak, że nie każdy potrafi ją napisać prawidłowo, a gdy tak się dzieje, dziennikarze nie chcą jej publikować. ...

Wideo

Robisz zakupy? Uważaj na manipulacje stosowane przez sprzedawców. Zdarza ci się wracać z zakupów z czymś zupełnie niepotrzebnym? Kupujesz czasami produkty, na których się zawodzisz? A jak często nabywasz te rzeczy pod wpływem sprzedawcy? Niestety w niektórych firmach pracują ludzie, którzy robią wszystko – nie wyłączając oszustw – byle tylko wcisnąć konsumentom swoje towary. ...

Jest ona kluczem do sukcesu w życiu prywatnym i zawodowym. Poznaj zasady dobrej autoprezentacji. Pierwsze wrażenie jest bardzo istotne nie tylko w życiu prywatnym, ale i zawodowym. Często to od niego zależy czy dostaniemy nową pracę lub zdobędziemy nowego klienta. Na co zwrócić uwagę poznając nową osobę, a czego unikać w tych pierwszych sekundach? A co najważniejsze; czy pierwsze wrażenie da się je zaplanować? Mózg nie lubi się pocić „Ludzki mózg lubi uproszczenia dlatego...

Korzystasz z darmowych filmów i zdjęć? Sprawdź, czy nie łamiesz prawa. W sieci pełno jest portali z darmowymi filmami i zdjęciami. Internauci korzystają z nich bardzo chętnie. Czy jednak publikowanie tych utworów na innych stronach lub przerabianie na własne potrzeby jest na pewno legalne? Jeżeli chcemy wykorzystać jakiś film dostępny w internecie, czy to do celów osobistych, czy to komercyjnych, powinniśmy sprawdzić, czy zezwala nam na to regulamin...

Pracodawca wykorzystuje twój wizerunek? Musi mieć na to twoją zgodę. Kodeks pracy nie daje pracodawcy prawa do korzystania z wizerunku pracownika. Jeśli pracodawca chce ten wizerunek w jakichś celach (np. promocyjnych) wykorzystywać lub potrzebuje go z powodu charakteru prowadzonej działalności, musi uzyskać zgodę zatrudnionej osoby. ...