facebook web

RODO: Zgoda bezpieczniejsza niż prawnie uzasadniony interes administratora. Oprogramowanie dobrym rozwiązaniem

Rozmowa Piotra Ślusarczyka, eksperta netPR.pl, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.

 

Piotr Ślusarczyk: Podstawą prawną do przetwarzania danych osobowych w kontaktach z mediami może być prawnie uzasadniony interes administratora. Czy daje to stuprocentową gwarancję bezpieczeństwa w przypadku wysyłki informacji prasowej do mediów?

Dr Maciej Kawecki: Po pierwsze trzeba powiedzieć, że nowe przepisy unijne wprowadzają przesłankę tzw. prawnie uzasadnionego interesu, przez który rozumie się również marketing. Marketing usług administratora oraz podmiotów trzecich. To jest bardzo istotne, że również reklamowanie usług podmiotów trzecich rozumiane jest jako marketing. To, czy informacje prasowe będą mogły być uznane za marketing, zależy od ich treści. Jeżeli informacje prasowe służą informowaniu o jakiejś rzeczywistości, nie służą reklamowaniu jakichś konkretnych produktów i usług, to w mojej ocenie nie są informacją marketingową. I dużo bezpieczniej byłoby odebrać od osoby, której takie informacje wysyłamy, zgodę na ich kierowanie. Natomiast jeżeli mają one charakter stricte marketingowy, co pewnie występuje o wiele, wiele rzadziej, wtedy możemy uznać, że jest to tzw. prawnie uzasadniony interes administratora.

PŚ: Czy w przypadku mniejszych podmiotów, jakimi często są agencje PR (to nie są zwykle duże podmioty, ale na danych osobowych pracuje wielu konsultantów) oprogramowanie nie byłoby dobrym rozwiązaniem, gdy nie śledzimy zmian w jednym pliku, tylko tych plików jest wiele na różnych komputerach?

MK: Zdecydowanie tak, natomiast dopatrywałbym się w czym innym problemu związanego z technicznym aspektem realizowania prawa do bycia zapomnianym czy w ogóle RODO. Musimy pamiętać o tym, że bardzo wielu przedsiębiorców prowadzi tzw. backupy, kopie zapasowe, gromadzi dane dla celów archiwalnych. Bardzo często roszczenia przedawniają się po paru latach, w związku z tym dane te są długo składowane. Nierzadko okres, kiedy możemy je gromadzić, już dawno upłynął, a one są nadal przechowywane gdzieś w naszych zasobach. Mało tego, bardzo często nie możemy do tych danych dojść, ponieważ po latach nakładają się one na siebie. W związku z tym nie są w żaden sposób usystematyzowane, są nie do znalezienia, nie do odkrycia. W efekcie, jeżeli ktoś żąda usunięcia danych osobowych albo zażąda np. prawa dostępu do swoich danych lub prawa do ich zaktualizowania, robimy to w bazie podstawowej, zasadniczej, ale już nie realizujemy tego w tych bazach archiwalnych, backupowych. Na tym polega cały problem. I tutaj rzeczywiście stworzenie specjalistycznego oprogramowania, które pozwalałoby „naznaczać” określoną osobę, kiedy gromadzę jej dane, i widzieć je w bazach backupowych czy bazach archiwalnych w momencie, kiedy usuwam te dane np. z bazy podstawowej, było rozwiązaniem bardzo cennym.

PŚ: A jakie jeszcze funkcje oprogramowania moglibyśmy wymienić, jeśli chodzi o pomoc w realizacji rozliczalności?

MK: Rozliczalność to możliwość wykazania wszystkiego, co robimy z danymi. Jeżeli udostępniamy je innemu podmiotowi, jeżeli je aktualizujemy, jeżeli je multiplikujemy, czyli tworzymy kopie danych, wreszcie jeżeli je usuwamy, powinniśmy móc to wykazać. To pierwsza kategoria wymogów, które muszą spełniać oprogramowania. O drugiej sekundę temu powiedziałem – oprogramowanie ma zapewniać dostęp do całego zasobu danych, którymi dysponujemy. W prawie ochrony danych osobowych mówi się o autonomii informacyjnej. Jest to prawo do decydowania o sobie samym. Ja jako osoba, której dane dotyczą, mam prawo decydować, dysponować swobodnie moimi danymi osobowymi zawartymi we wszystkich bazach przedsiębiorcy. Czasami mamy trudność z dotarciem do tych danych. Oczywiście mówimy cały czas o przetwarzaniu danych w systemach informatycznych.

PŚ: Chciałbym jeszcze dopytać o prawo do bycia zapomnianym. Czy ono w praktyce nie oznacza czegoś takiego jak prawo do bycia zapamiętanym na zawsze? Chodzi mi tutaj o sytuację w agencji PR, gdy jednego dnia dziennikarz zgłasza prawo do bycia zapomnianym, a na drugi dzień przez konsultanta, który o tym nie wiedział, zostaje dopisany do bazy. Czy system powinien w jakiś sposób takiego dziennikarza rozpoznać i zapobiec takiemu dopisaniu?

MK: Muszę dopytać, jak następowałoby dopisanie do bazy. Na żądanie dziennikarza?

PŚ: Mówimy tutaj o tej drugiej sytuacji, czyli bez wiedzy dziennikarza, Rozumiem, że jeżeli dziennikarz ponownie, na drugi dzień, zgłasza zainteresowanie, żeby w tej bazie być, to nie ma problemu.

MK: To drugie działanie uznałbym za bezprawne. To nie jest działalność polegająca na tworzeniu materiałów prasowych, w związku z tym Rozporządzenie znajduje pełne zastosowanie. Jeżeli dane gromadzone są w jakiejkolwiek bazie w jakimkolwiek celu z wyjątkiem przypadku, gdy przepisy prawa czy interes publiczny wprost uzasadniają gromadzenie takich danych, powinna być na to udzielona zgoda. Natomiast nie do końca widzę związek pomiędzy tym a prawem do bycia zapomnianym. Prawo do bycia zapomnianym to jest prawo, które trochę więcej obiecuje, niż daje. Jeden z mitów, które związane są z RODO – a pojawia się ich coraz więcej, niestety – dotyczy właśnie prawa do bycia zapomnianym. To jest nic innego jak prawo żądania usunięcia danych osobowych, które od 20 lat w polskim systemie prawnym istnieje. Jeżeli nie ma podstaw prawnych do przetwarzania naszych danych osobowych, to wtedy mamy prawo zażądać ich usunięcia. Natomiast reforma wprowadza przypadki, w których prawo do bycia zapomnianym nie przysługuje. Między innymi bardzo ważna w działalności PR czy w ogóle w obszarze mediów jest wolność wypowiedzi, działalność prasowa. Jeżeli przetwarzanie danych jest konieczne do korzystania z wolności wypowiedzi, działalności prasowej, to wtedy mamy prawo odmówić zrealizowania prawa do bycia zapomnianym. Mówiąc wprost: jeżeli np. na jakimś forum internetowym, którego prowadzenie jest działalnością prasową, widnieje moje nazwisko i skorzystam z prawa do bycia zapomnianym, to forum ma prawo odmówić mi usunięcia moich danych, dlatego że ich udostępnienie jest związane z wolnością wypowiedzi, z której ktoś korzysta, w tym przypadku dziennikarz czy autor tekstu.

PŚ: A technicznie? Jeżeli dziennikarz zgłosił chęć skorzystania z tego prawa, czy oprogramowanie może w jakiś sposób zapamiętać, że to był ten konkretny kontakt, który chciał być usunięty z bazy?

MK: Nie powinno. Artykuł 11 Rozporządzenia, który jest jednym z ważniejszych elementów RODO, mówi bardzo istotną rzecz: nawet zasada rozliczalności nie może zobowiązywać do gromadzenia nadmiarowych danych. Czyli nie gromadzimy danych osobowych tylko po to, żeby wykazać, że zrealizowaliśmy obowiązek wynikający z RODO. Mówiąc jeszcze inaczej: jeżeli dziennikarz skorzysta z prawa do bycia zapomnianym, powinniśmy oczywiście dysponować informacją, że w dniu takim i takim rekord usunęliśmy, ale już nie – informacją o tym, jakie konkretnie dane osobowe, ponieważ to byłoby zdecydowanie nadmiarowe.

PŚ: Dziękuję bardzo za odpowiedź.

MK: Dziękuję bardzo.

Najnowsze

Rozmowa z profesorem Jerzym Olędzkim: ponad 50% materiałów PR-owych jest wykorzystywanych przez media . W ostatnich latach można zauważyć zmianę sposobu funkcjonowania dziennikarzy i mediów w ogóle. Skrzynki odbiorcze dziennikarzy zasypywane są mailami od PR-owców, a więc źródło artykułów i informacji publikowanych w mediach coraz częściej pochodzi z agencji PR-owych. ...

Pierwsze wrażenie robi się tylko raz. Postaw na witrynę mobile-friendly. Być może już niedługo komputery stacjonarne będą służyć nam tylko do pracy, a szukać interesujących treści w internecie będziemy wyłącznie na urządzeniach mobilnych. Jego konsumpcja na smartfonach i tabletach stale rośnie i według wielu badań generowany na nich ruch w sieci już od kilku lat przewyższa ten pochodzący z urządzeń stacjonarnych. ...

Różnice między PR a promocją i reklamą się zacierają. Rada Etyki Public Relations bije na alarm. Pojęcie public relations się rozmywa. PR jest mieszany z innymi formami komunikacji i różnice między nim a promocją, reklamą czy nawet CSR się zacierają. Prowadzi to do destrukcji w społeczeństwie wartości etycznych takich jak zaufanie, wiarygodność czy szacunek dla odbiorcy. ...

Jakie działania podejmują banki w ramach CSR-u. Dla banków – tak jak i dla wielu innych podmiotów działających na rynku – liczy się przede wszystkim osiąganie zysków. W swojej działalności nie skupiają się jednak tylko na aspekcie finansowym. Coraz większe znaczenie mają dla nich również takie kwestie, jak potrzeby pracowników, klientów, społeczności lokalnych, wspieranie kultury, edukacji czy ochrona środowiska. ...

Wideo

Rozmowa z profesorem Jerzym Olędzkim: ponad 50% materiałów PR-owych jest wykorzystywanych przez media . W ostatnich latach można zauważyć zmianę sposobu funkcjonowania dziennikarzy i mediów w ogóle. Skrzynki odbiorcze dziennikarzy zasypywane są mailami od PR-owców, a więc źródło artykułów i informacji publikowanych w mediach coraz częściej pochodzi z agencji PR-owych. ...

Pierwsze wrażenie robi się tylko raz. Postaw na witrynę mobile-friendly. Być może już niedługo komputery stacjonarne będą służyć nam tylko do pracy, a szukać interesujących treści w internecie będziemy wyłącznie na urządzeniach mobilnych. Jego konsumpcja na smartfonach i tabletach stale rośnie i według wielu badań generowany na nich ruch w sieci już od kilku lat przewyższa ten pochodzący z urządzeń stacjonarnych. ...

Jakie działania podejmują banki w ramach CSR-u. Dla banków – tak jak i dla wielu innych podmiotów działających na rynku – liczy się przede wszystkim osiąganie zysków. W swojej działalności nie skupiają się jednak tylko na aspekcie finansowym. Coraz większe znaczenie mają dla nich również takie kwestie, jak potrzeby pracowników, klientów, społeczności lokalnych, wspieranie kultury, edukacji czy ochrona środowiska. ...

Postmillenialsi – instrukcja obsługi. Postmillenialsi, jacy są? Czym się charakteryzują? Jak pracować z pokoleniem Z? Czy to jest łatwe? Na te i inne pytania odpowiada Sylwia Królikowska, trenerka biznesu z Van Dahlen Group. ...